Заметки администратора

Tomcat 6 на 80-м порту

2009-09-24T15:47:00.005+02:00

Данная заметка описывает "с нуля" процесс установки и конфигурирования Tomcat 6 на 80-м порту для Linux Debian 5.0 Lenny.
Для работы Tomcat необходимо наличие Java (пакет sun-java6-jdk (или хотя бы sun-java6-jre) из non-free репозитария). 6-го Tomcat пока нет в Debian Stable версии, поэтому ставим всё руками.
Скачиваем, распаковываем, подготавливаем пользователя и наводим порядок с правами.

wget http://www.apache.lt/tomcat/tomcat-6/v6.0.20/bin/apache-tomcat-6.0.20.tar.gz
tar zxf apache-tomcat-6.0.20.tar.gz
mv apache-tomcat-6.0.20/ /opt/
cd /opt
ln -s apache-tomcat-6.0.20/ tomcat
useradd --system --home-dir /opt/tomcat tomcat
chown -R tomcat:tomcat /opt/apache-tomcat-6.0.20/
mkdir /var/run/tomcat && chown tomcat /var/run/tomcat
ln -s /var/log/tomcat /opt/tomcat/logs/

В файл /etc/profile добавляем описание переменной JAVA_HOME

JAVA_HOME=/usr/lib/jvm/java-6-sun/
export JAVA_HOME

Как сказано в официальной документации для работы Tomcat на привилигерованном порту (коим является порт 80) от имени обычного пользователя необходимо использовать jsvc:

cd /opt/tomcat/bin
tar xvfz jsvc.tar.gz
cd jsvc-src
autoconf
./configure --with-java=/usr/lib/jvm/java-6-sun/
make
cp jsvc ..
cd ..

В основном конфигурационном файле tomcat'а, меняем порт на 80

connector port="80" protocol="HTTP/1.1" connectiontimeout="20000" redirectport="8443"

Осталось подготовить init-скрипт и сконфигурировать автоматический запуск tomcat-сервиса

# cat > /etc/init.d/tomcat
#! /bin/sh -e
#
# /etc/init.d/tomcat -- startup script for the Tomcat 6.0 servlet engine
#
### BEGIN INIT INFO
# Provides:          tomcat
# Required-Start:    $local_fs $remote_fs $network
# Required-Stop:     $local_fs $remote_fs $network
# Should-Start:      $named
# Should-Stop:       $named
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Start Tomcat.
# Description:       Start the Tomcat servlet engine.
### END INIT INFO

NAME=tomcat
DESC="Tomcat 6.0 servlet engine"
CATALINA_HOME=/opt/$NAME
TOMCAT_USER=tomcat
LOGDIR="/opt/tomcat/logs"
PIDFILE="/var/run/tomcat/$NAME.pid"
TMP_DIR=/tmp
CATALINA_OPTS=""
CLASSPATH=\
#$JAVA_HOME/lib/tools.jar:\
#$CATALINA_HOME/bin/commons-daemon.jar:\
$CATALINA_HOME/bin/bootstrap.jar

case "$1" in
start)
 echo "Starting $DESC using Java from $JAVA_HOME"
 #
 # Start Tomcat
 #
 $CATALINA_HOME/bin/jsvc \
 -user $TOMCAT_USER \
 -home $JAVA_HOME \
 -Dcatalina.home=$CATALINA_HOME \
 -Djava.io.tmpdir=$TMP_DIR \
 -wait 10 \
 -pidfile $PIDFILE \
 -outfile $CATALINA_HOME/logs/catalina.out \
 -errfile '&1' \
 $CATALINA_OPTS \
 -cp $CLASSPATH \
 org.apache.catalina.startup.Bootstrap
 #
 # To get a verbose JVM
 #-verbose \
 # To get a debug of jsvc.
 #-debug \
 exit $?
 ;;
stop)
 echo "Stopping $DESC"
 #
 # Stop Tomcat
 #
 $CATALINA_HOME/bin/jsvc \
 -stop \
 -pidfile $PIDFILE \
 org.apache.catalina.startup.Bootstrap
 exit $?
 ;;
restart|force-reload)
 $0 stop
 sleep 1
 $0 start
 ;;
*)
 echo "Usage: /etc/init.d/tomcat {start|stop|restart}" >&2
 exit 1
 ;;
esac

exit 0
[Ctrl+D]
# chmod +x /etc/init.d/tomcat
# update-rc.d tomcat defaults
Adding system startup for /etc/init.d/tomcat ...
/etc/rc0.d/K20tomcat -> ../init.d/tomcat
/etc/rc1.d/K20tomcat -> ../init.d/tomcat
/etc/rc6.d/K20tomcat -> ../init.d/tomcat
/etc/rc2.d/S20tomcat -> ../init.d/tomcat
/etc/rc3.d/S20tomcat -> ../init.d/tomcat
/etc/rc4.d/S20tomcat -> ../init.d/tomcat
/etc/rc5.d/S20tomcat -> ../init.d/tomcat

Запускаем сервис

# /etc/init.d/tomcat start
Starting Tomcat 6.0 servlet engine using Java from /usr/lib/jvm/java-6-sun

Ссылки:

Bacula Heartbeat Interval

2009-09-01T08:14:00.004+02:00

При использовании резервного копирования Bacula вылезает ньюанс, если между Director-сервером и FD-сервером (клиентом) находится маршрутизатор (используется NAT) - выполняемая задача (job) может вдруг ни с того, ни с сего остановиться с ошибкой "Fatal error: Network error with FD during Backup: ERR=Connection reset by peer".
Дело всё в том, что Director, инициируя задачу на клиенте, в процессе выполнения просто ждёт - весь трафик идёт между FD-сервером (клиентом) и SD-сервером (storage). Маршрутизатор спустя установленное время (timeout, у cisco - 7200 секунд) решив, что соединение между Director-сервером и FD-сервером (клиентом) умерло, просто удаляет информацию о соединении из своей таблицы соединений, обрывая таким образом выполняемую задачу.
Решается проблема тривиально - на FD-сервере (клиенте) в конфигурационном файле в секцию FileDaemon добавить:

Heartbeat Interval = 60

При действующем Heartbeat-интервале FD-сервер в процессе выполнения работы пересылает heartbeat-пакеты Director-серверу, создавая таким образом активность в соединении и маршрутизатор, видя, что соединение "живо", не вмешивается.

Ссылки:

Пример конфигурирования IPMI на сервере

2009-08-26T13:18:00.005+02:00

IPMI - интеллектуальный интерфейс управления платформой, помогающий следить (и не только) за сенсорами состояния железа на сервере (температуры, напряжения, скоростью вращения вентиляторов, состоянием источников питания и т.п.).
Задача - сконфигурировать IPMI-интерфейс на сервере, с возможностью получать данные о сенсорах по сети. Операционная система RHEL/CentOS 5, сервер Intel S5000PAL.
Для начала нужно установить пакеты с модулями и необходимыми утилитами:

yum install OpenIPMI-tools OpenIPMI
chkconfig ipmi on && service ipmi start
Starting ipmi drivers:                                     [  OK  ]

Прежде чем приступать к конфигурированию, необходимо решить, на каком физическом сетевом адаптере сервер будет отвечать на IPMI-запросы. На языке IPMI, сетевой адаптер - это канал. Первый канал соответствует первому сетевому интерфейсу, но их mac-адреса отличаются, поэтому можно смело выбирать незанятую ip-сеть для IPMI-мониторинга и назначать выбранному каналу (сетевой плате) ip-адрес для использования IPMI.
Для примера я выбрал первый канал (первую сетевую плату).

ipmitool shell
ipmitool> lan set 1 ipaddr 10.10.16.115
Setting LAN IP Address to 10.10.16.115
ipmitool> lan set 1 defgw ipaddr 10.10.16.254
Setting LAN Default Gateway IP to 10.10.16.254

Открываем возможность использования IPMI по сети, а также говорим, что будем использовать MD5-хэширования при аутентификации:

ipmitool> lan set 1 access on
ipmitool> lan set 1 auth ADMIN MD5

Создаем пользователя, включаем его и назначем ему ADMINISTRATOR-права:

ipmitool> user set name 2 monuser
ipmitool> user set password 2 monpassword
ipmitool> user enable 2
ipmitool> channel setaccess 1 2 ipmi=on privilege=4
ipmitool> user list 1
ID  Name             Enabled Callin  Link Auth  IPMI Msg   Channel Priv Limit
2   monuser           true    true    false      true       ADMINISTRATOR
ipmitool>

Вот так выглядит первый канал, после всех приготовлений:

ipmitool> lan print 1
Set in Progress         : Set Complete
Auth Type Support       : NONE MD5 PASSWORD
Auth Type Enable        : Callback :
                     : User     :
                     : Operator :
                     : Admin    : MD5
                     : OEM      :
IP Address Source       : BIOS Assigned Address
IP Address              : 10.10.16.115
Subnet Mask             : 255.255.255.0
MAC Address             : 00:04:23:dc:12:d2
SNMP Community String   :
IP Header               : TTL=0x40 Flags=0x40 Precedence=0x00 TOS=0x10
BMC ARP Control         : ARP Responses Enabled, Gratuitous ARP Enabled
Gratituous ARP Intrvl   : 2.0 seconds
Default Gateway IP      : 10.10.16.254
Default Gateway MAC     : 00:00:00:00:00:00
Backup Gateway IP       : 0.0.0.0
Backup Gateway MAC      : 00:00:00:00:00:00
RMCP+ Cipher Suites     : 0,1,2,3,4,5,6,7,8,9,10,11,12,13,14
Cipher Suite Priv Max   : XXXXXXXXXXXXXXX
                     :     X=Cipher Suite Unused
                     :     c=CALLBACK
                     :     u=USER
                     :     o=OPERATOR
                     :     a=ADMIN
                     :     O=OEM
ipmitool>

Теперь с monitoring-сервера можно обращаться к IPMI-интерфейсу и забирать информацию об интересующих сенсорах:

ipmitool -I lan -A MD5 -U monuser -P monpassword -H 10.10.16.115 power status
Chassis Power is on
ipmitool -I lan -A MD5 -U monuser -P monpassword -H 10.10.16.115 sensor
BB +1.2V Vtt     | 1.197      | Volts      | ok    | na        | 1.096     | 1.134     | 1.285     | 1.323     | na     
BB +1.5V AUX     | 1.474      | Volts      | ok    | na        | 1.334     | 1.373     | 1.622     | 1.669     | na     
BB +1.5V         | 1.482      | Volts      | ok    | na        | 1.326     | 1.365     | 1.625     | 1.677     | na     
BB +1.8V         | 1.795      | Volts      | ok    | na        | 1.622     | 1.673     | 1.907     | 1.969     | na     
BB +3.3V         | 3.337      | Volts      | ok    | na        | 2.941     | 3.027     | 3.578     | 3.681     | na     
BB +3.3V STB     | 3.388      | Volts      | ok    | na        | 3.027     | 3.113     | 3.509     | 3.612     | na     
BB +1.5V ESB     | 1.505      | Volts      | ok    | na        | 1.357     | 1.404     | 1.591     | 1.638     | na     
BB +5V           | 5.070      | Volts      | ok    | na        | 4.446     | 4.576     | 5.408     | 5.564     | na     
BB +12V AUX      | 11.842     | Volts      | ok    | na        | 10.416    | 10.726    | 13.144    | 13.578    | na     
BB +0.9V         | 0.902      | Volts      | ok    | na        | 0.811     | 0.835     | 0.950     | 0.979     | na     
Serverboard Temp | 28.000     | degrees C  | ok    | na        | 5.000     | 10.000    | 61.000    | 66.000    | na     
Ctrl Panel Temp  | 22.000     | degrees C  | ok    | na        | 0.000     | 5.000     | 44.000    | 48.000    | na     
Fan 2            | 7267.000   | RPM        | ok    | na        | 1720.000  | 1978.000  | na        | na        | na     
Fan 4            | 5590.000   | RPM        | ok    | na        | 1720.000  | 1978.000  | na        | na        | na     
Fan 5            | 7316.000   | RPM        | ok    | na        | 2046.000  | 2356.000  | na        | na        | na     
PS1 AC Current   | 0.434      | Amps       | ok    | na        | na        | na        | 11.222    | 11.904    | na     
PS2 AC Current   | 0.434      | Amps       | ok    | na        | na        | na        | 11.222    | 11.904    | na     
PS1 +12V Current | 7.000      | Amps       | ok    | na        | na        | na        | 66.000    | 70.000    | na     
PS2 +12V Current | 7.000      | Amps       | ok    | na        | na        | na        | 66.000    | 70.000    | na     
PS1 +12V Power   | 80.000     | Watts      | ok    | na        | na        | na        | 792.000   | 840.000   | na   
...

И это только сбор информации, а можно и питанием удалённо управлять, в обход операционной системы, так что будете аккуратны :)

Ссылки:

В помощь администратору: Autossh

2009-08-21T08:15:00.002+02:00

Иногда необходимо иметь возможность удалённо управлять какими-то системами, которые находятся за firewall'ами, которые Вы не контролируете. В таких случаях помогают ssh-тунели с использованием перенаправления (forwarding) портов. Например, допустим имеется удалённая машина trick, которая находится за маршрутизатором в удалённой локальной сети, и вторая машина rose имеющая внешний ip-адрес. Для того, чтобы иметь возможность с rose заходить на trick (либо использовать какой-то сервис на trick), необходимо поднять туннель с использованием перенаправления удаленных портов (remote port forwarding):

ssh -f -N username@rose -R 3722:127.0.0.1:22

Получаем такую картину: на rose в списке открытых портов появляется порт 3722, который на самом деле перенаправляет все пакеты на 22-й порт trick-системы. После этого можно логиниться через ssh на trick из rose:

ssh username@127.0.0.0 -p 3722

А что делать, чтобы тунели были постоянно доступны? Ведь ssh-соединения бывают рвуться и тогда опять необходимо с trick-системы инициировать тунель. А если trick находится в 100 км от Вас? А если их таких у Вас 20? :) Вот тут-то и помогает замечательная вещь - autossh, утилитка занимающаяся тем, что поддерживает поднятые ssh-тунели в рабочем состоянии. Перед её запуском необходимо установить переменную AUTOSSH_PORT, указывающую номер порта, который будет использоваться для heartbeat-пакетов на предмет того - жив ли тунель.
Также, если тунели необходимо поднимать во время старта системы, советуют установить переменную AUTOSSH_GATETIME=0. Переменная AUTOSSH_DEBUG позволит получить из логов дополнительную информацию о ходе процесса.

export AUTOSSH_DEBUG=1
export AUTOSSH_GATETIME=0
export AUTOSSH_PORT=20037
autossh -f -N username@rose -R 3722:127.0.0.1:22

Без ключа -f апликация не отправляется в фон, поэтому данный режим полезен, чтобы разбираться с проблемами при установлении тунеля, если они возникают.
В приведенном выше примере кроме портов rose:3722 и trick:22 поднимается ещё 3 дополнительных (так как установлена переменная AUTOSSH_PORT) - trick:20037, rose:20037, trick:20038, связанных между собой в цепочку для прохождения heartbeat-пакета. Таким образом, что отправляя запрос на trick:20037, пакет приходит на rose:20037, который в свою очередь перенаправляет его дальше на trick:20038. Получается своеобразный "бумеранг", позволяющий следить за тунелем.

Links:

Keeping your SSH connections alive with autossh

Конфигурирование bonding для сетевых интерфейсов на RHEL/CentOS 5

2009-07-03T13:50:00.009+03:00

Конфигурация необходимых сетевых интерфейсов:

eth0

# cat > /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
BOOTPROTO=none
ONBOOT=yes
MASTER=bond0
SLAVE=yes
USERCTL=no
[Ctrl+D]

eth1:

# cat > /etc/sysconfig/network-scripts/ifcfg-eth1
DEVICE=eth1
BOOTPROTO=none
ONBOOT=yes
MASTER=bond0
SLAVE=yes
USERCTL=no
[Ctrl+D]

bond0:

# cat > /etc/sysconfig/network-scripts/ifcfg-bond0
DEVICE=bond0
BOOTPROTO=none
ONBOOT=yes
NETWORK=10.10.70.0
IPADDR=10.10.70.77
NETMASK=255.255.255.0
USERCTL=NO
[Ctrl+D]

Загружаем модуль и перегружаем сеть:

# cat >> /etc/modprobe.conf
alias bond0 bonding
options bond0 mode=1 miimon=100
[Ctrl+D]
# service network restart

Просмотр статуса:

# cat /proc/net/bonding/bond0
Ethernet Channel Bonding Driver: v3.2.4 (January 28, 2008)

Bonding Mode: fault-tolerance (active-backup)
Primary Slave: None
Currently Active Slave: eth1
MII Status: up
MII Polling Interval (ms): 100
Up Delay (ms): 0
Down Delay (ms): 0

Slave Interface: eth0
MII Status: up
Link Failure Count: 2
Permanent HW addr: 00:1b:11:50:7a:01

Slave Interface: eth1
MII Status: up
Link Failure Count: 1
Permanent HW addr: 00:18:fe:8c:a1:96

Links:

Как безболезненно сменить ip-адрес сайта (хоста)?

2009-06-29T13:46:00.012+03:00

За разрешение имён хостов в ip-адреса и наоборот ответственна служба DNS. Чтобы снизить нагрузку на уполномоченные за зону (домен) сервера используется кеширование dns-запросов, и в настройках DNS-сервисов есть параметры, помогающие гибко сконфигурировать данную функциональность.

В описании зоны есть параметры для вторичных серверов:
refresh - интервал обновления зоны (в секундах) для вторичных уполномоченных серверов
retry - интервал попытки обновления зоны (в секундах) при неудаче обновления
expire - интервал истечения полномочий для вторичных уполномоченных серверов при неудаче обновления (в секундах)

В рамках вопроса, который интересовал меня (см. subject) наиболее интересны параметры Default TTL, TTL, Minimum TTL. Они определяют время TTL (Time-to-live - "время жизни"), в течение которого DNS-серверы (кроме вторичных), получившие информацию о записях с любого DNS-сервера, будут ее хранить в своей памяти (кэше) и сообщать ее по запросам других DNS-серверов.

TTL - этот параметр определяет период времени (в секундах), в течение которого другие DNS-сервера должны хранить запись в кэше. Если значение параметра в записи не указано, то "время жизни" определяется параметром Default TTL.

Default TTL - определяет значение параметра TTL для тех записей, для которых это значение не установлено явно. Обычно используется именно Default TTL вместо указания TTL для каждой записи.

Minimum TTL - определяет "время жизни" отрицательных ответов на запросы о ресурсах, не существующих в DNS.

Таким образом, если Вы готовитесь сменить ip-адрес сайта (хоста) и хотите об этом объявить через СМИ (с указанием конкретной даты), Вам необходимо заранее изменить (Default)TTL-записи Вашей зоны (либо конкретных хостов в зоне) на маленькие значения, например 5 минут (60 секунд), подождать, пока изменения вступят в силу и обязательно проверить.
После того как перенос будет завершён не забудьте вернуть значения назад, чтобы снизить нагрузку на уполномоченные за Вашу зону dns-сервера.
Безусловно, это не решит всех проблем, так как есть крупные dns-forward'еры (dns-сервера), которые используются большим числом людей (например, провайдер даёт пользоваться своим dns-сервером) и которые могут игнорировать заданные Вами TTL-значения. В данном случае ничего кроме пресловутого "ждите" не поможет. Хотя можете попробовать добраться до админов данного dns-сервера и попросить их руками выбросить из кэша данные о Вашем старом ip-адресе :)

Links:

Замена PGP ключей в Debian для подписывания пакетов

2009-06-10T14:55:00.005+03:00

Debian в очередной раз меняют pgp-ключи, которыми подписаны deb-пакеты в официальных репозитариях. Чтобы apt продолжал работать, необходимо выполнить следущее:

# gpg --keyserver wwwkeys.eu.pgp.net --recv-keys 9AA38DCD55BE302B
gpg: keyring `/root/.gnupg/secring.gpg' created
gpg: requesting key 55BE302B from hkp server wwwkeys.eu.pgp.net
gpg: key 55BE302B: public key "Debian Archive Automatic Signing Key (5.0/lenny) " imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)
# gpg --armor --export 9AA38DCD55BE302B | apt-key add -
OK
# apt-get update

Ссылки:

RootConf

2009-04-02T00:09:00.000+02:00

13-14 апреля 2009 г. в Москве будет проходить RootConf - профессиональная конференция системных администраторов.
Я буду участвовать в качестве докладчика с материалом "HA-кластер своими руками".
Ожидается масса интересных докладов и мастер-классов!
По-моему отличный шанс пообщаться вживую и поделиться друг с другом опытом :)

Локальный CentOS репозитарий

2009-02-13T14:56:00.003+02:00

Роман Шрамко напомнил о давней идее - организовать локальный CentOS репозитарий. Приложив минимум усилий, имеем скрипт centos_repository_update.sh, который через cron всё делает автоматечески.

#!/bin/bash

rsync="/usr/bin/rsync -aqHz --delete --delay-updates --bwlimit=512"
mirror=mirrors.kernel.org::centos
ver=5
archlist="i386"
baselist="os updates extras"
local=/var/centos

for arch in $archlist
do
for base in $baselist
do
remote=$mirror/$ver/$base/$arch/
$rsync $remote $local/$ver/$base/$arch/
done
done

Прежде чем запускать скрипт, необходимо создать требуемую структуру каталогов

mkdir -pv /var/centos/5/{os,updates,extras}

Вот теперь можно запустить сам скрипт centos_repository_update.sh и, пока он скачивает пакеты, сконфигурировать доступ к каталогу /var/centos через http-протокол с клиентов.
На клиентах необходимо отредактировать описания доступных репозитариев (каталог /etc/yum.repos.d), неиспользуемые репозитарии можно отключить. Вот пример переписанного конфигурационного файла для работы с новоиспечённым локальным репозитарием:

[base]
name=CentOS-$releasever - Base
baseurl=http://server/centos/$releasever/os/$basearch/
gpgcheck=1
gpgkey=http://server/centos/RPM-GPG-KEY-CentOS-5

[updates]
name=CentOS-$releasever - Updates
baseurl=http://server/centos/$releasever/updates/$basearch/
gpgcheck=1
gpgkey=http://server/centos/RPM-GPG-KEY-CentOS-5

[extras]
name=CentOS-$releasever - Extras
baseurl=http://server/centos/$releasever/extras/$basearch/
gpgcheck=1
gpgkey=http://server/centos/RPM-GPG-KEY-CentOS-5

Перед запуском утилиты yum, необходимо ещё выложить в корень (в директорию /var/centos/) репозитария открытый gpg-ключ релиза (файл /var/centos/5/os/i386/RPM-GPG-KEY-CentOS-5).

Ссылки:

Установка и конфигурирование transmission на dd-wrt

2009-02-12T15:14:00.008+02:00

Железо - Linksys WRT54GL (v1.1) + NAS (HDD, доступный через CIFS/SMB), OS - dd-wrt v.24. Потребность - закрутить на всём этом хозяйстве torrent-демон transmission с возможностью управления закачками через web.
Сперва стоит позаботиться о том, чтобы файловая система jffs работала без проблем и была примонтирована (/jffs, NAS как раз для этого и нужен). На её основе будет построена новая ветка /jffs/opt, в которую будет установлены все необходимые для работы transmission пакеты Optware.

# mkdir /jffs/opt
# mount -o bind /jffs/opt /opt

Далее необходимо пройти минимальную установку Optware:

# wget http://www.3iii.dk/linux/optware/optware-install-ddwrt.sh -O /tmp/optware-install.sh
# sh /tmp/optware-install.sh

Теперь можно запускать установку transmission, установив прежде переменную PATH:

# export PATH=/opt/bin:/opt/sbin:$PATH
# ipkg-opt install transmission

Домашней директорией для transmission будет /jffs/torrents, поэтому запускаем демон, указав необходимые параметры

/opt/bin/transmission-daemon -g /jffs/torrents/.config/transmission-daemon -a "192.168.1.33"
killall transmission-daemon

Запустив однажды transmission, создаётся дерево служебных подкаталогов, скаченные файлы складываются в корень созданной структуры (/jffs/torrents), конфигурационный файл - /jffs/torrents/.config/transmission-daemon/settings.json:

/jffs/torrents/.config/
/jffs/torrents/.config/transmission-daemon
/jffs/torrents/.config/transmission-daemon/settings.json
/jffs/torrents/.config/transmission-daemon/stats.json
/jffs/torrents/.config/transmission-daemon/blocklists
/jffs/torrents/.config/transmission-daemon/resume        
/jffs/torrents/.config/transmission-daemon/torrents

Остаётся открыть порт 9091 для доступа к web-интерфейсу

/usr/sbin/iptables -I INPUT 1 -p tcp --dport 9091 -j logaccept

и добавить запуск transmission в startup-скрипт

mount -o bind /jffs/opt /opt
export PATH=/opt/bin:/opt/sbin:$PATH
/opt/bin/transmission-daemon -g /jffs/torrents/.config/transmission-daemon

Web-интерйейс доступен с компьютера 192.168.1.33 по адресу http://host:9091/transmission/web/.

Ссылки:

DD-Wrt Wiki

Использование LDAP-базы пользователей в Tomcat

2008-09-11T08:06:00.003+02:00

Для аутентификации и авторизации в Tomcat очень удобно использовать LDAP-директорию. Для примера можно рассмотреть доступ к manager'у приложений, который идёт в комплекте с Tomcat (http://servername:port/manager/html). Данное приложение пропускает только тех пользователей, которые прошли аутентификацию и имеют роль manager.
Прежде всего необходимо подготовить LDAP-директорию, она должна иметь примерно такую структуру

dn: o=My Organization,c=RU
o: My Organization
objectClass: organization
objectClass: top

dn: ou=People,o=My Organization,c=RU
objectClass: top
objectClass: organizationalUnit
ou: People

dn: uid=user3,ou=People,o=My Organization,c=RU
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
sn: Test
uid: user3
userPassword: password3
cn: User 3

dn: uid=user2,ou=People,o=My Organization,c=RU
cn: User 2
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: top
sn: Test
uid: user2
userPassword: password2

dn: ou=groups,o=My Organization,c=RU
objectClass: organizationalUnit
objectClass: top
ou: groups

dn: cn=manager,ou=groups,o=My Organization,c=RU
cn: manager
objectClass: groupOfUniqueNames
objectClass: top
uniqueMember: uid=user3,ou=People,o=My Organization,c=RU

После этого в конфигурационном файле TOMCAT_HOME/server.xml необходимо закомментировать использование ресурса UserDatabase и UserDatabaseRealm, вместо него добавить

<realm classname="org.apache.catalina.realm.JNDIRealm"
    connectionurl="ldap://LDAP_SERVER"
    rolebase="ou=groups,o=My Organization,c=RU"
    rolename="cn"
    rolesearch="(uniqueMember={0})"
    userpattern="uid={0},ou=People,o=My Organization,c=RU"/>

и перезапустить Tomcat.
Если всё получилось, доступ к ресурсу http://servername:port/manager/html будет иметь только пользователь user3, пользователь user2 хоть и пройдет аутентификацию, но доступа к ресурсу не получит, так как не включен в группу manager (не имеет данной роли).

Репликация в MySQL

2008-06-19T19:35:00.007+03:00

Срочно понадобилось иметь копию двух таблиц (test_db.wiz_main и test_db.wiz_data) на втором mysql-сервере. Причем, чтобы все новые изменения с master-таблиц, сразу же появлялись на втором сервере. Как вариант решения была выбрана репликация.

Для того, чтобы организовать репликацию между двумя MySQL-серверами необходимо:

На master-сервере

1) Включить binarylog, если он еще не включён и назначить master-серверу идентификатор (server-id). Для этого в my.cnf добавить и перегрузить:

log-bin=/var/db/mysql/srv011-bin.log
server-id = 1

2) Создать пользователя с правами:

GRANT REPLICATION SLAVE ON *.* TO 'slave_user'@'%' IDENTIFIED BY '';
FLUSH PRIVILEGES;

3) Заблокировать требуемые таблицы на время dump'а. Во время блокировки также необходимо посмотреть текущее состояние в binary логе

mysql> FLUSH TABLES WITH READ LOCK;
mysql> show master status;
+-------------------+----------+--------------+------------------+
File               Position  Binlog_Do_DB  Binlog_Ignore_DB
+-------------------+----------+--------------+------------------+
srv011-bin.000813   1156293                            
+-------------------+----------+--------------+------------------+
1 row in set (0.00 sec)

4) Сделать dump требуемых таблиц и снять блокировку

mysqldump -u root -p test_db > /root/test_db.db
mysql> UNLOCK TABLES;

На slave-сервере

1) Указать, где находится master-сервер и какие конкретно базы (таблицы) следует реплицировать. Для этого в my.cnf добавить:

max-user-connections=50
master-host=212.122.238.32
master-user=slave_user
master-password=v9X8Ds4
server-id= 2
replicate-do-db=test_db
replicate-do-table=test_db.wiz_data
replicate-do-table=test_db.wiz_main

2) Указать "отправную точку", с которой следует начать репликацию данных.

mysql> CHANGE MASTER TO MASTER_LOG_FILE='srv011-bin.000813';
Query OK, 0 rows affected (0.05 sec)

mysql> CHANGE MASTER TO MASTER_LOG_POS=1156293;
Query OK, 0 rows affected (0.05 sec)

mysql> SHOW SLAVE STATUS\G
*************************** 1. row ***************************
      Slave_IO_State:
         Master_Host: 212.122.238.32
         Master_User: slave_user
         Master_Port: 3306
       Connect_Retry: 60
     Master_Log_File: srv011-bin.000813
 Read_Master_Log_Pos: 1156293
      Relay_Log_File: relay.000001
       Relay_Log_Pos: 4
Relay_Master_Log_File: srv011-bin.000813
    Slave_IO_Running: No
   Slave_SQL_Running: No
     Replicate_Do_DB: test_db
 Replicate_Ignore_DB:
  Replicate_Do_Table: test_db.wiz_main,test_db.wiz_data
Replicate_Ignore_Table:
Replicate_Wild_Do_Table:
Replicate_Wild_Ignore_Table:
          Last_Errno: 0
          Last_Error:
        Skip_Counter: 0
 Exec_Master_Log_Pos: 1156293
     Relay_Log_Space: 4
     Until_Condition: None
      Until_Log_File:
       Until_Log_Pos: 0
  Master_SSL_Allowed: No
  Master_SSL_CA_File:
  Master_SSL_CA_Path:
     Master_SSL_Cert:
   Master_SSL_Cipher:
      Master_SSL_Key:
Seconds_Behind_Master: NULL
1 row in set (0.00 sec)

3) Инициировать репликацию

mysql> start slave;
Query OK, 0 rows affected (0.00 sec)

mysql> SHOW SLAVE STATUS\G
*************************** 1. row ***************************
      Slave_IO_State: Waiting for master to send event
         Master_Host: 212.122.238.32
         Master_User: slave_user
         Master_Port: 3306
       Connect_Retry: 60
     Master_Log_File: srv011-bin.000813
 Read_Master_Log_Pos: 1174592
      Relay_Log_File: relay.000001
       Relay_Log_Pos: 18347
Relay_Master_Log_File: srv011-bin.000813
    Slave_IO_Running: Yes
   Slave_SQL_Running: Yes
     Replicate_Do_DB: test_db
 Replicate_Ignore_DB:
  Replicate_Do_Table: test_db.wiz_main,test_db.wiz_data
Replicate_Ignore_Table:
Replicate_Wild_Do_Table:
Replicate_Wild_Ignore_Table:
          Last_Errno: 0
          Last_Error:
        Skip_Counter: 0
 Exec_Master_Log_Pos: 1174592
     Relay_Log_Space: 18347
     Until_Condition: None
      Until_Log_File:
       Until_Log_Pos: 0
  Master_SSL_Allowed: No
  Master_SSL_CA_File:
  Master_SSL_CA_Path:
     Master_SSL_Cert:
   Master_SSL_Cipher:
      Master_SSL_Key:
Seconds_Behind_Master: 0
1 row in set (0.00 sec)

Ссылки:

2>&1

2008-06-06T08:49:00.002+03:00

Cron

перенаправить стандартный вывод и вывод об ошибках в файл /var/log/cron

52 6 1 * * root /root/scripts/check_disk.sh >> /var/log/cron 2>&1

отправить стандартный вывод и вывод об ошибках на me@domain.net

01 21 * * * root /root/scripts/check_disk.sh 2>&1 | mail -s "Disk check output" me@domain.net

Shell

отличие конструкций '2>&1 > file' и '> file 2>&1'

$ cat food 2>&1 > file
cat: food: No such file or directory
$ cat food > file 2>&1
$ cat file
cat: food: No such file or directory

Использование Bacula для backup'а Oracle баз данных

2008-05-16T16:41:00.003+03:00

При использовании Bacula для копирования Oracle баз данных в online-режиме (не останавливая базу, при включенной опции ARCHIVELOG) советую использовать идущую с Oracle'ом утилиту RMAN. После того, как соответствующее окружение (Flash Recovery Area, Catalog и т.п.) для RMAN'а будет настроено, на Bacula-клиенте можно использовать скрипт /u01/app/oracle/product/10.2.0/db_1/scripts/runbeforebackup:

#!/bin/bash            

if [ "$1" = "1" ]
then
       LEVEL=1
elif [ "$1" = "0" ]
then
       LEVEL=0
else
       echo "Bad backup level"
       exit 1
fi
rman catalog rcatuser/PASSWORD@RCAT target / << EOF
RUN {
       BACKUP incremental level=$LEVEL as compressed backupset DATABASE INCLUDE CURRENT CONTROLFILE plus archivelog delete input;
}
EOF

На Bacula Director'е в соответствующие job'ы добавить строки:

ClientRunBeforeJob = "/bin/su - oracle -c \"/u01/app/oracle/product/10.2.0/db_1/scripts/runbeforebackup.sh LEVEL\""

где LEVEL - 0 (Full Backup) или 1 (Incremental Backup).
В зависимости от backup-политики на Вашем предприятии, конфигурируйте как часто следует использовать каждый из уровеней.

Ссылки:

Использование Bacula для backup'а MySQL баз данных

2008-05-09T15:55:00.005+03:00

При использовании Bacula для копирования MySQL баз данных на Bacula-клиенте (там, откуда необходимо копировать mysql-базы) необходимо создать скрипт /usr/loca/bin/mysqlhotcopyall:

#!/bin/bash
DBLIST="db1 db2 db3 mysql" # здесь необходимо указать имена баз, которые следует копировать
DBDIR=/var/lib/bacula/mysql
UP=" --user=$1 --password=$2"
LOGFILE=/var/log/backup.log
mkdir $DBDIR
for DATABASE in $DBLIST
do
mysqlhotcopy $UP $DATABASE ${DBDIR} --allowold >> ${LOGFILE}
done

Также необходимо в MySQL'е создать пользователя bacula, который будет выполнять блокировку и копирование указанных баз на время backup'а. Данному пользователю должны быть предоставлены глобальные привилегии SELECT, RELOAD, LOCK TABLES.

CREATE USER 'bacula'@'localhost' IDENTIFIED BY 'PASSWORD';
GRANT SELECT, RELOAD, LOCK TABLES ON *.* TO 'bacula'@'localhost' IDENTIFIED BY 'PASSWORD';

На Bacula Director'е в соответствующий job добавить строки:

ClientRunBeforeJob = "/usr/local/bin/mysqlhotcopyall bacula PASSWORD"
ClientRunAfterJob = "/bin/rm -rf /var/lib/bacula/mysql"

Благодаря указанным параметрам перед backup'ом с помощью утилиты mysqlhotcopy указанные базы будут скопированы в каталог /var/lib/bacula/mysql. После backup'а содержимое данного каталога будет очищено.

Поправка - данное решение работает только для таблиц типа MyISAM и ARCHIVE, таблицы INNODB следует копировать как минимум вручную, либо mysqldump'ом.

PPTP VPN-клиент для Linux Ubuntu

2008-05-07T22:11:00.012+03:00

Для того, чтобы установить VPN-туннель с удаленной сетью и работать в ней как в обычной локальной сети достаточно установить пакет pptp-linux:

sudo apt-get install pptp-linux

После этого достаточно добавить логин/пароль в файл /etc/ppp/chap-secrets в формате:

$DOMAIN\\$USERNAME PPTP $PASSWORD *

А также создать файл /etc/ppp/peers/$TUNNEL примерно такого содержания:

pty "pptp $SERVER --nolaunchpppd"
name $DOMAIN\\$USERNAME
remotename PPTP
require-mppe-128
file /etc/ppp/options.pptp
ipparam $TUNNEL

Для установления соединения:

sudo pon $TUNNEL

Для разрыва соединения:

sudo poff $TUNNEL

В заключении необходимо прописать дополнительный маршрут для доступа к удаленной сети (например к сети 192.168.1.0/24 через маршрутизатор 192.168.1.1):

sudo route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

Чтобы это хозяйство использовать ежедневно, желательно всё оформить в виде скрипта /etc/ppp/ip-up.d/$TUNNEL, тогда каждый раз при успешном установлении соединении будет выполняться данный скрипт.

cat > /etc/ppp/ip-up.d/$TUNNEL
#!/bin/bash

route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1
[Crtl+d]
chmod +x /etc/ppp/ip-up.d/$TUNNEL

Ссылки:

PPTP Client

Mailhub-сервер на базе Exim

2008-05-02T23:33:00.003+03:00

Второй раз столкнулся с задачей конфигурирования основного mx-сервера и так уж получилось, что это вновь оказался Exim (дистрибутив Debian Etch 4.0r3). Решил уже всё дотошно описать, чтобы впоследствии можно было с легкостью восстановить требуемую конфигурацию. Данное описание содержит комментарии только к внесенным мною изменениям, стандартные конфигурационные параметры я не описываю и не указываю.

В моей конфигурации основной mx-сервер выступает в роли "привратника", который принимает из Internet всю почту и рассылает далее по внутренним smtp-серверам, поэтому упор делается на отброс нежелательной корреспонденции (spam'a).
Комментарии приветствуются :)

Основной конфигурационный файл Exim для "пересборки" выглядит примерно так:

# cat /etc/exim4/update-exim4.conf
dc_eximconfig_configtype='internet'
dc_other_hostnames='mail.mycompany.com'
dc_local_interfaces=''
dc_readhost=''
dc_relay_domains='mycompany.com:mycompany.eu:mycompany.net'
dc_minimaldns='false'
dc_relay_nets=''
dc_smarthost=''
CFILEMODE='644'
dc_use_split_config='true'
dc_hide_mailname=''
dc_mailname_in_oh='true'
dc_localdelivery='mail_spool'

Для удобства внесения изменений в конфигурацию я использую мини-скрипт rebuild

cat > /etc/exim4/rebuild
#!/bin/bash
update-exim4.conf
/etc/init.d/exim4 restart
[Ctrl+d]
chmod +x /etc/exim4/rebuild

В базовой комплектации Debian Exim идёт в "лёгкой" сборке, но для того, чтобы использовать возможность фильтровать вирусы с помощью ClamAv необходим heavy-пакет.

# apt-get install exim4-daemon-heavy

Антивирус прикручивается к Exim'у просто, но для его установки следут использовать volatile-репозитарий. Перед установкой пакета clamav-daemon, следует добавить в /etc/apt/sources.list соответствующую строку и обновить apt-get.

# cat >> /etc/apt/sources.list
deb http://volatile.debian.org/debian-volatile etch/volatile main contrib non-free
[Ctrl+d]
# apt-get update
# apt-get install clamav-daemon

Чтобы clamav-пользователь имел возможность читать и писать в каталог /var/spool/exim4/scan, его необходимо добавить в группу Debian-exim

# usermod -G Debian-exim clamav

Чтобы научить Exim отдавать на проверку stmp-траффик, необходимо добавить строку

av_scanner = clamd:/var/run/clamav/clamd.ctl

в main-отдел конфигурации Exim'а (каталог /etc/exim4/conf.d/main/).
Затем добавить в acl-отдел конфигурации строки

deny message = This message contains a virus: ($malware_name) please scan your system.
malware = */defer_ok

Далее начинается самое ответственное - конфигурация Exim'а для первичной фильтрации спама:
/etc/exim4/conf.d/main/01_exim4-config_listmacrosdefs

CHECK_RCPT_IP_DNSBLS = bl.spamcop.net

/etc/exim4/conf.d/main/02_exim4-config_options

smtp_banner = Welcome to the Moon $tod_full - изменяем banner
rfc1413_query_timeout = 0s - отключаем Ident-запросы, чтобы избавиться от задержки при подключению к smtp-сервису
helo_allow_chars = _ - чтобы разрешить в HELO/EHLO символ _

/etc/exim4/conf.d/acl/30_exim4-config_check_mail

acl_check_mail:
deny
message = no HELO given before MAIL command
condition = ${if def:sender_helo_name {no}{yes}}

accept

/etc/exim4/conf.d/acl/30_exim4-config_check_rcptd

acl_check_rcpt:
accept
hosts = :
# описание этого условия можно найти тут
drop message = Forged IP in HELO.
log_message = HELO is our IP
condition   = ${if eq {${lookup {$sender_helo_name} \
   lsearch{/etc/exim4/reject_helo} \
   {yes}{no}}}{${if !eq {$sender_host_address}{127.0.0.1}{yes}{no}}}{yes}{no}}

accept
.ifndef CHECK_RCPT_POSTMASTER
local_parts = postmaster
.else
local_parts = CHECK_RCPT_POSTMASTER
.endif
domains = +local_domains : +relay_to_domains

accept
hosts = +relay_from_hosts
control = submission/sender_retain

accept
authenticated = *
control = submission/sender_retain

accept
domains = +local_domains
endpass
message = unknown user
verify = recipient

# Иногда бывает удобно воспользоваться данным условием, чтобы заблокировать отправителей,
# указав их в файле /etc/exim4/local_sender_blacklist
deny
message = sender envelope address $sender_address is locally blacklisted here. If you think this is wrong, get in touch with postmaster
!acl = acl_whitelist_local_deny
senders = ${if exists{CONFDIR/local_sender_blacklist}\
            {CONFDIR/local_sender_blacklist}\
            {}}

# То же самое, только касательно хостов-отправителей
deny
message = sender IP address $sender_host_address is locally blacklisted here. If you think this is wrong, get in touch with postmaster
!acl = acl_whitelist_local_deny
hosts = ${if exists{CONFDIR/local_host_blacklist}\
          {CONFDIR/local_host_blacklist}\
          {}}

# Полезное правило, но с ним нужно быть осторожным. На основном mx-сервере я оставляю его
# в warn-режиме, чтобы вдруг не заблокировать неродиво настроенных серверов, а вот на вторичных всегда выставляю в deny.
warn
message = X-Host-Lookup-Failed: Reverse DNS lookup failed for $sender_host_address (${if eq{$host_lookup_failed}{1}{failed}{deferred}})
condition = ${if and{{def:sender_host_address}{!def:sender_host_name}}\
               {yes}{no}}

# Проверка по DNSBLS. Почта отбрасывается, если хост находится сразу в трёх DNS Black листах:
# bl.spamcop.net, xbl.spamhaus.org, ctl.abuseat.org.
.ifdef CHECK_RCPT_IP_DNSBLS
drop
message = X-Warning: $sender_host_address is listed at DNSLists (bl.spamcop.net,xbl.spamhaus.org,cbl.abuseat.org) and out system thinks your message is spam.
log_message = $sender_host_address is listed at DNSLists
dnslists = CHECK_RCPT_IP_DNSBLS
dnslists = xbl.spamhaus.org
dnslists = cbl.abuseat.org
.endif

# Проверка отправителя. Callout означает, что данных почтовый сервер, для того чтобы проверить
# существование указанного отправителя, инициирует попытку отправить письмо указанному отправителю.
# Опция defer_ok предостерегает от отбрасывания серверов с greylisting'ом, либо с серверов,
# на которые временно невозможно присоединиться
deny
message = Sender verification failed
!acl = acl_whitelist_local_deny
domains = +relay_to_domains
!verify = sender/callout=30s,defer_ok

# Обязательная проверка получателя для внутренних доменов (relay_to_domains) callout'ом.
accept
domains = +relay_to_domains
endpass
message = unknown user
verify = recipient/callout

# Если все предыдущие условия не подходят, отбрасываем письмо.
deny
message = relay not permitted

А для того, чтобы данный основной mx-сервер рассылал почту конкретным внутренним серверам, достаточно добавить файл /etc/exim4/hubbed_hosts примерно такого содержания:

mycompany.com: 192.168.1.2
mycompany.eu: 192.168.1.2
mycompany.net: 192.168.1.3

Ссылки:

Specification of the Exim Mail Transfer Agent

X11Forwarding после su

2008-03-27T07:51:00.005+02:00

Чтобы X11Forwarding работал на CentOS/RHEL, в системе должен быть установлен пакет xorg-x11-xauth, в комплекте которого идёт утилита xauth.
Статья Getting X11 forwarding through ssh working after running su объясняет, что необходимо выполнить, чтобы X11Forwarding работал после переключения на другого пользователя (su -).


[home]$ ssh -X roman@work
[work]$ id
uid=1000(roman) gid=2000(users)
[work]$ xauth list
work/unix:12  MIT-MAGIC-COOKIE-1  42e71ddd7a5bdf635e5d4d52eafa3097
work/unix:10  MIT-MAGIC-COOKIE-1  74c837450ad8d9720a914fa00b0b8eab
[work]$ su -
password:
[work]# su - oracle
[work]$ id
uid=500(oracle) gid=501(oinstall) groups=500(dba),501(oinstall)
[work]$ xauth add work/unix:10  MIT-MAGIC-COOKIE-1  74c837450ad8d9720a914fa00b0b8eab
[work]$ xclock

Аутентификация Linux-сервера через Windows AD Domain Controller

2008-03-13T16:17:00.003+02:00

Данное оипсание применялось на дистрибутиве CentOS/RHEL 5 в связке с Windows 2003 Server.
Для начала установим необходимые для работы пакеты

# yum install -y krb5-workstation samba-common

Подправим файл /etc/hosts, чтобы он имел примерно такой вид:

# vi /etc/hosts
127.0.0.1 localhost.localdomain localhost
10.10.2.91 vm01.organization.local vm01
10.10.2.1 windows.organization.local windows

Теперь настроим Керберос для добавления linux-сервера в windows-домен

# vi /etc/krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]javascript:void(0)
default_realm = ORGANIZATION.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes

[realms]
ORGANIZATION.LOCAL = {
kdc = windows.organization.local:88
admin_server = windows.organization.local:749
default_domain = organization.local
}

[domain_realm]
.organization.local = ORGANIZATION.LOCAL
organization.local = ORGANIZATION.LOCAL

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}

# kinit administrator@ORGANIZATION.LOCAL
Password for administrator@ORGANIZATION.LOCAL:

Минимальная настройка samba

[root@vm01 ~]#vi /etc/samba/smb.conf
[global]
workgroup = ORGANIZATIONAL
netbios name = VM01
server string = VM01 Samba Server
security = ads
encrypt passwords = yes
realm = ORGANIZATIONAL.LOCAL
password server = windows.organization.local
winbind enum users = yes
winbind enum groups = yes
winbind cache time = 1800
winbind use default domain = yes
winbind refresh tickets = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
template homedir = /home/%U
printing = 
load printers = no

Входим в домен

# net ads join -U administrator
administrator's password:
Using short domain name -- ORGANIZATION
Joined 'VM01' to realm 'ORGANIZATION.LOCAL'

Добавить описание pam_winbind.so модуля для аутентификации в системе. Модуль pam_mkhomedir.so для автоматического создания домашней директории при первом присоединении пользователя.

vim /etc/pam.d/system-auth
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_winbind.so use_first_pass
auth        required      pam_deny.so
 
account     required      pam_unix.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_winbind.so
account     required      pam_permit.so
 
password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    sufficient    pam_winbind.so use_authtok
password    required      pam_deny.so
 
session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     required      pam_mkhomedir.so skel=/etc/skel/ umask=0022

Настраиваем nsswitch, для того чтобы он мог использовать данные (о пользователях и групппах) AD с помощью winbind-сервиса и стартуем сервис

vim /etc/nsswitch.conf
passwd: files winbind
shadow: files
group: files winbind
 
/etc/init.d/winbind start
Starting Winbind services: [ OK ]
chkconfig winbind on

Ограничиваем доступ к ssh-сервису

vim /etc/ssh/sshd_config
PermitRootLogin no
AllowGroups admins
 
/etc/init.d/sshd restart
Stopping sshd:                                             [  OK  ]
Starting sshd:                                             [  OK  ]

Интеграция Samba-сервера с Windows AD Domain Controller

2007-10-21T12:11:00.002+02:00

Данное оипсание применялось на дистрибутиве CentOS 5 в связке с Windows 2003 Server Enterprise.
Для начала установим необходимые для работы пакеты
# yum install samba samba-client ntp acl
(клиентская часть необходима, если необходимо монтировать шары виндоуза на линухе)
Подправим файл /etc/hosts, чтобы он имел примерно такой вид:

# vi /etc/hosts
127.0.0.1 localhost.localdomain localhost
10.10.2.91 vm01.organization.local vm01

Добавим опцию acl при монтировании рабочего дискового раздела

# vi /etc/fstab
/dev/VolGroup00/LogVol00 / ext3 defaults,acl 1 1
# mount -o remount /
# mkdir /share
# setfacl -m u:"ORGANIZATION+romans":rwx /share

Теперь настроим Керберос для добавления linux-сервера в windows-домен

# yum install krb5-workstation
# vi /etc/krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = ORGANIZATION.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes

[realms]
ORGANIZATION.LOCAL = {
kdc = windows.organization.local:88
admin_server = windows.organization.local:749
default_domain = organization.local
}

[domain_realm]
.organization.local = ORGANIZATION.LOCAL
organization.local = ORGANIZATION.LOCAL

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}

# kinit administrator@ORGANIZATION.LOCAL
Password for administrator@ORGANIZATION.LOCAL:

Минимальная настройка samba

[root@vm01 ~]#vi /etc/samba/smb.conf
[global]
workgroup = ORGANIZATION
netbios name = VM01
server string = VM01 Samba Server
security = ads
encrypt passwords = yes
realm = ORGANIZATION.LOCAL
password server = windows.organization.local
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind separator = +
load printers = no
printcap name = /etc/printcap
printing =
log file = /var/log/samba/%m.log
max log size = 50

[share]
comment = a comment
path = /share
browseable = yes
read only = no
inherit acls = yes
inherit permissions = yes
create mask = 700
directory mask = 700
valid users = "ORGANIZATION+romans"

Входим в домен

# net ads join -U administrator
administrator's password:
Using short domain name -- ORGANIZATION
Joined 'VM01' to realm 'ORGANIZATION.LOCAL'

Стартуем сервисы

# /etc/init.d/smb start
Starting SMB services: [ OK ]
Starting NMB services: [ OK ]

Настраиваем nsswitch, для того чтобы он мог использовать данные AD с помощью winbind-сервиса

# vi /etc/nsswitch.conf
passwd: files winbind
shadow: files
group: files winbind
# /etc/init.d/winbind start
Starting Winbind services: [ OK ]

Для проверки

#wbinfo -u
ORGANIZATION+administrator
ORGANIZATION+guest
ORGANIZATION+support_388945a0
ORGANIZATION+vartotojas
ORGANIZATION+cba_anonymous
ORGANIZATION+krbtgt
ORGANIZATION+for_test_1
ORGANIZATION+for_test_2
ORGANIZATION+for_admin
ORGANIZATION+romans

Ссылки:

GFS - Global File System

2007-10-10T16:07:00.001+02:00

Данный лог действий описывает процесс установки и начальной конфигурации кластерной файловой системы GFS в CentOS5.

Перед началом установки необходимо убедиться, что отключен firewall и не действует SE Linux.

# chkconfig iptables off
# selinux disable

Установка включает в себя инсталяцию группы 'Cluster storage' и сервиса ntp для синхронизации времени на всех нодах кластера.

# yum groupinstall 'Cluster Storage'
# yum install ntp
# yum install kmod-gfs-xen (если используется Xen)
# chkconfig ntpd on
# service ntpd start
# Starting ntpd:                                             [  OK  ]
# reboot

Проверить перед запуском, что на всех нодах файлы /etc/hosts и /etc/cluster/cluster.conf одного содержания

# vi /etc/hosts
127.0.0.1       localhost.localdomain localhost
10.10.2.91      vm01.organization.local   vm01
10.10.2.92      vm02.organization.local   vm02
# vi /etc/cluster/cluster.conf
<?xml version="1.0"?>
<cluster name="gfsc" config_version="1">
<cman two_node="1" expected_votes="1">
</cman>
<clusternodes>
<clusternode name="vm01" nodeid="1">
<fence>
<method name="human">
<device name="last_resort" ipaddr="vm01">
</device>
</method>
</fence>
<clusternode name="vm02" nodeid="2">
<fence>
<method name="human">
<device name="last_resort" ipaddr="vm02">
</device>
</method>
</fence>
</clusternode>
<fencedevices>
<fencedevice name="last_resort" agent="fence_manual">
</fencedevice>
</fencedevices>
</clusternode></clusternodes>
</cluster>

Для того, чтобы впоследствии копировать измененный файл конфигурации /etc/cluster/cluster.conf на все ноды можно воспользоваться утилитой ccs_tool:

# scp /etc/cluster/cluster.conf root@vm02:/etc/cluster/
# ccs_tool update /etc/cluster/cluster.conf

После того как все готово, можно запускать службу cman (поочередно на всех нодах)

# /etc/init.d/cman start
# cman_tool status

Подготовка диска (я использую lvm)

# vi /etc/lvm/lvm.conf
locking_type = 3
# pvcreate /dev/sdc
# vgcreate gfsc /dev/sdc
# lvcreate -l 100%FREE gfsc
# gfs_mkfs -p lock_dlm -t gfsc:gfs1 -j 2 /dev/gfsc/lvol0

Теперь можно примонтировать том с кластерной файловой системой и работать с ним как с обычным диском

# mount -t gfs /dev/gfsc/lvol0 /mnt

Ссылки:

OCFS - Oracle cluster file system

2007-08-21T16:13:00.001+03:00

OCFS - кластерная файловая система, разработанная Oracle, с учетом кластеризации баз данных. Проста в установке и использовании - всё, что необходимо - модули для используемого ядра и набор утилит для работы с файловой системой.
Для установки в среде CentOS5 можно использовать бинарники, предназначенные для RHEL5:
ocfs2 modules - http://oss.oracle.com/projects/ocfs2/files/
ocfs2-tools - http://oss.oracle.com/projects/ocfs2-tools/files/
В Debian-репозитарии также имеется пакет ocfs2-tools с данными утилитами. А вот ядро, наверняка, придется пересобрать с включенными ocfs-модулями.

Лог действий достаточно прозрачен:
# wget http://oss.oracle.com/projects/ocfs2/dist/files/RedHat/RHEL5/x86_64/1.2.6-1/2.6.18-8.1.8.el5/ocfs2-2.6.18-8.1.8.el5-1.2.6-1.el5.x86_64.rpm
# wget http://oss.oracle.com/projects/ocfs2-tools/dist/files/RedHat/RHEL5/x86_64/1.2.6-1/ocfs2-tools-1.2.6-1.el5.x86_64.rpm
# rpm -Uvh ocfs2-2.6.18-8.1.8.el5-1.2.6-1.el5.x86_64.rpm ocfs2-tools-1.2.6-1.el5.x86_64.rpm

Теперь все необходимые модули должны появиться в каталоге /lib/modules/KERNEL_VERSION/kernel/fs/ocfs2. Осталось только подготовить конфигурационный файл для сервиса блокировок o2cb:

# mkdir /etc/ocfs2
# vi /etc/ocfs2/cluster.conf
cluster:
node_count = 2
name = fc
node:
ip_port = 7777
ip_address = 192.168.2.15
number = 1
name = centos1
cluster = fc
node:
ip_port = 7777
ip_address = 192.168.2.16
number = 22
name = centos2
cluster = fc

На данном этапе необходимо скопировать данный файл на все ноды и запустить сервис o2cb:
# /etc/init.d/o2cb start

Теперь можно форматировать доступное блочное устройство /dev/sdb в формат ocfs и монтировать ее для дальнейшей работы:
# mkfs.ocfs2 -b 4K -C 128K -N 2 -L ocfs1 /dev/sdb
# mount -t ocfs2 /dev/sdb /mnt

Ссылки:

Собираем кластер. Часть 2: Storage

2007-08-21T15:10:00.001+03:00

Для функционирования кластерной системы, необходимо наличие единой дисковой подсистемы, доступной для всех серверов (node), работающих внутри кластера.

С дисковой подсистемой (storage) можно общаться на уровне:
- сервиса (примеры - NFS-директория, примонтированная на всех нодах, DNBD)
- блочного устройства, доступного всем нодам (SAN)
Самым простым решением является использование сетевой файловой системы - NFS. В данном случае все проблемы по обслуживанию блокировок при совместной работе с данными NFS-служба берет на себя. Статья [1] прекрасно описывает пример создания storage на основе NFS. Я попробовал на Debian 4.0 - все отлично работает. Но присутствие уровня сервиса накладывает некоторый отрицательный отпечаток на производительность.
Более низкий уровень общения с дисковой системой - уровень обычного блочного устройства (block device). В этом случае Вы имете в системе дополнительный диск (/dev/sdb, /dev/hdb), с которым работаете как с обычным жестким диском, но есть несколько "но":

если данный диск доступен нескольким нодам в режиме записи (RW), Вы должны обеспечить на нем функционирование кластерной файловой системы, которая позволит работать одновременно с одними и теми же данными с разных нодов.
Вам придется раскошелиться на приобретение SAN (на основе Fibre Channel или более дешевого - iSCSI. Точных цен я не знаю, но это недешевая покупка :)

Перед написанием этих строк я попробовал две кластерные файловые системы - GFS и OCFS2. Если сравнивать "на глаз" производительность, то можно сказать, что обе файловые системы работают более менее одинакого быстро. Но GFS по сравнению с OCFS на первых порах более сложен в запуске, так как требует установки и настройки Red Hat Cluster Suite. Данный Suite включает в себя все необходимые "примочки" для работы кластера, начиная от heartbeat'а, поддержки множества сетевых служб, заканчивая фенсингом кластерной файловой системы (fencing). Информации по GFS доступно достаточно, чего не скажешь об OCFS. Обе данные кластерные файловые системы опробованы на CentOS 5, все работает стабильно без каких-либо оговорок, лог действий скоро выложу.

Ссылки:

Собираем кластер. Часть 1: Heartbeat

2007-06-27T12:29:00.001+03:00

Кластер - это прежде всего система повышенной готовности (high availability - HA), построеная с учетом того, что она продолжает работать безотказно, даже если какая-то ее часть выходит из строя.
Heartbeat - продукт проекта Linux-HA, позволяющий реализовать механизм безотказной работы отдельных частей кластера. Первый, кому необходим этот механизм в кластере - это распределитель нагрузки (load balancer, или director).
Допустим, у нас есть два сервера (loadb1, loadb2), которые выделены для того, чтобы стать распределителями нагрузки в будущем кластере. Но прежде чем устанавливать на них программное обеспечение для управление кластером, необходимо настроить и оттестировать механим безотказной работы - когда какой-либо из серверов (loadb1 или loadb2) выходит из строя, второй, благодаря heartbeat, заменяет его. В данном случае условием того, что сервер вышел из строя будет считаться, что он не отвечает на broadcast запросы, т.е. проблемы в сетевом интерфейсе. Сервера loadb1 и loadb2 будут эмулировать ip-адрес кластера - 195.46.64.21, т.е. он будет "поднят" на сетевом интерфейсе как дополнительный (alias).

Настройка heartbeat в Debian 4.0 (Etch)

1. Установить пакет heartbeat-2 и все зависимости, которые он за собой тянет.

apt-get install heartbeat-2

В конце установки сервис heartbeat не сможет запуститься, потому как не созданы основные конфигурационные файлы - ha.cf, authkeys, haresources.
ha.cf - основной конфигурационный файл, содержащий массу различных параметров того, как будет осуществляться heartbeat-механизм. За основу можно взять файл, идущий в пакете (расположен в /usr/share/doc/heartbeat-2). Перед использованием достаточно установить 3 параметра (директивы):

bcast eth0
node loadb1
node loadb2

Указав таким образом использовать heartbeat-механизм через eth0 интерфейсы на основе broadcast-запросов. Имена loadb1, loadb2 должны быть hostname-именами серверов, команда uname -a должна возвращать такие же значения.
authkeys - файл для взаимной аутентификации серверов loadb1 и loadb2. Можно использовать sha, md5, но чтобы не расходовать ресурсы достаточно использовать crc. После создания файл, необходимо установить права доступа к нему только для root

# cat > authkeys
auth 1
1 crc
[Ctrl+C]
# chmod 600 authkeys

haresources - файл, описывающий ресурсы, контролируемые серверами loadb1 и loadb2. Ресурсы представляют собой обычные стоп/старт скрипты, похожие чем-то на сценарии из/etc/init.d. В директории /etc/ha.d/resource.d можно посмотреть доступные (уже готовые к использованию) сценарии. В данном примере будет использован ресурс IPaddr для активации дополнительного ip-адреса на интерфейсе eth0.

loadb1 IPaddr::195.46.64.21/24/eth0

Данные конфигурационные файлы должны быть помещены на обоих серверах в директорию /etc/ha.d и должны быть идентичны. После того, как все подготовлено, запустить heartbeat-сервис на обоих серверах:

# /etc/init.d/heartbeat start
Starting High-Availability services:
2007/06/28_10:14:21 INFO: IPaddr Resource is stopped
Done.

Спустя пару секунд на сервере loadb1 будет поднят дополнительный ip-адрес - 195.46.64.21.

loadb1# ifconfig
eth0 Link encap:Ethernet HWaddr 00:60:08:04:09:0D
inet addr:195.46.64.15 Bcast:195.46.64.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1119456 errors:0 dropped:0 overruns:0 frame:0
TX packets:96462 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:79824340 (76.1 MiB) TX bytes:18991729 (18.1 MiB)
Interrupt:10 Base address:0xe000

eth0:0 Link encap:Ethernet HWaddr 00:60:08:04:09:0D
inet addr:195.46.64.21 Bcast:195.46.64.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:10 Base address:0xe000

Если что-то случается с loadb1 (можно сэмулировать аварию, отправив его на перезагрузку), loadb2 поднимает данный ip-адрес на своем eth0 интерфейсе и принимает на себя основную роль.

loadb2# ifconfig
eth0 Link encap:Ethernet HWaddr 00:10:5A:BF:2B:8C
inet addr:195.46.64.16 Bcast:195.46.64.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1256304 errors:0 dropped:0 overruns:0 frame:0
TX packets:93726 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:99944699 (95.3 MiB) TX bytes:19336953 (18.4 MiB)
Interrupt:9 Base address:0xec00

eth0:0 Link encap:Ethernet HWaddr 00:10:5A:BF:2B:8C
inet addr:195.46.64.21 Bcast:195.46.64.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:9 Base address:0xec00

В /var/log/messages можно проследить происходящее - всё очень подробно и понятно.

Ссылки:

Индексы в OpenLDAP

2007-06-20T16:54:00.000+03:00

Для увеличения производительности LDAP-сервиса на основе OpenLDAP, можно воспользоваться индексацией (index), которая помогает ускорить обработку поисковых запросов.
Для этого в основном конфигурационном файле (/etc/ldap.slapd.conf) предусмотрен параметр index. Формат следующий:

index {attrlist | default} [pres,eq,approx,sub,none]

где

attrlist - список атрибутов (через запятую), для которых будет включена индексация
default - используется для указания всех явно не указанных, но используемых в базе, атрибутов
pres (present) - индекс для более быстрого определения установлен ли указанный атрибут
eq (equality) - индекс для точного поиска указанного значения атрибута (cn=Roman Sozinov)
approx (approximate) - индексация для быстрого поиска созвучных (по фонетике) значений (cn=smith и cn=smit)
sub (substring) - индексация при поиске по неполным строкам (cn=Roma*)

Пример использования:

index cn
index sn,uid,mail eq,sub
index default none

В данном случае для cn-атрибута будут включены все методы индексации; для sn, uid и mail только eq и sub. Для всех остальных атрибутов индексация будет отключена (default none).

Чтобы внести изменения в индексы, необходимо остановить работающий ldap-сервис (чтобы получить rw-контроль над базой) и запустить утилиту slapindex, обновляющую индексы, установленные для базы. В некоторых источниках советуют перед переиндексацией сделать копию базы "на всякий пожарный".

# /etc/init.d/slapd stop
Stopping OpenLDAP: slapd.
# slapindex -v
...
# /etc/init.d/slapd start
Starting OpenLDAP: slapd.

Не стоит слишком увлекаться индексацией, так как она требует дополнительного использования памяти и ресурсов процессора.

Литература:

LDAP Implementation Cookbook (IBM, 1999)
LDAP System Administration (O'Reilly, 2003)

Знакомство с Linux-VServer

2007-06-12T15:51:00.001+03:00

Статья "Зонная Защита Solaris 10" замечательно описывает подход и возможности виртуализации на уровне операционной системы на примере зон в Solaris. Она также содержит ссылки на подобные решения в Linux-среде - Linux-Vserver, OpenVZ. Так как я использую преимущественно Debian (а он уже содержит в себе поддержку linux-vserver), то вопрос выбора для меня стоял недолго, хотя желание ознакомиться с OpenVZ не пропало.
Linux-vserver - это отличное решение для хостинга и тестирования в различных окружениях - на одном физическом сервере используется одно для нескольких виртуальных серверов Linux-ядро. Главный (MAIN) сервер используется для контроля за виртуальными серверами, каждый из которых находится в закрытой адресной среде, не видя остальных. Разработчики указывают около 3-4% падения производительности системы при использовании VServer, но это настолько маленькие цифры, что их можно не учитывать - система работает как обычно - шустро.
В репозитарии Debian 4.0 уже есть пропатченное linux-ядро, готовое к работе. Минусом является отсутствие отдельного патча linux-vserver, чтобы иметь возможность наложить его на собранное своими руками ядрышко.
Установка и использование linux-vserver очень проста.

# apt-get install linux-image-2.6-vserver-686 util-vserver vserver-debiantools debootstrap

Пример команды для создания виртуального сервера

# newvserver --vsroot /var/lib/vservers/ --hostname srv002 --domain domain.ru --ip 192.168.1.102/24 --dist etch --mirror http://ftp.at.debian.org/debian --interface eth0
# uname -a
Linux srvmain 2.6.18-4-vserver-686 #1 SMP Thu May 10 01:37:59 UTC 2007 i686 GNU/Linux

Стартуем виртуальный хост

# vserver srv002 start

Входим в виртуальный хост

# vserver srv002 enter
# uname -a
Linux srv002 2.6.18-4-vserver-686 #1 SMP Thu May 10 01:37:59 UTC 2007 i686 GNU/Linux

Сейчас можно настроить виртуальный хост для требуемых нужд, установить все необходимое/дополнительное. Всё, как на обычном хосте.
Выходим из виртуального хоста

# vserver srv002 stop

Возможные проблемы могут возникнуть с Apache, если на main-хосте уже запущен Apache и не привязан к конкретному ip-адресу. В этом случае, пытаясь запустить apache на виртуальном хосте, в error.log можно встреить ошибку:
[crit] (98)Address already in use: make_sock: could not bind to port 80
Решение: привязать main-сервер к конкретному ip-адресу.

Проблема с Bind 9 решается не так просто:

cd /usr/src
apt-get build-dep bind9
apt-get source bind9
cd bind9-x.x.x
vi debian/rules
...
--disable-linux-caps \
--disable-threads \
...
dpkg-buildpackage
...
cd ..
dpkg -i *.deb
echo "bind9 hold" | dpkg --set-selections # чтобы заморощить автоматическое обновление

На официальном сайте есть отдел, посвященный "проблемному" soft'у. Проблем с OpenLDAP, Exim, Proftpd не наблюдалось - всё работает как обычно - как часы.

Для автозапуска виртуального сервера при перезагрузке необходимо выполнить следующее:

echo "default" > /etc/vservers/SERVERNAME/apps/init/mark

Чтобы сделать копию уже сконфигурированного виртуального хоста srv002 (например web-сервера).

vserver srv003 build --hostname srv003 --interface eth0:192.168.1.103/24 -m rsync -- -s /var/lib/vservers/srv002/

Если необходимо ограничить ресурсы (процессор, память) виртуальных хостов, linux-vserver и тут не подведет.
Пример (взят из FAQ) того, как избежать ситуации "Out of memory"
1. Проверить размер страниц (pagesize) в памяти (обычно 4Кб)
2. Создать директорию rlimits

mkdir /etc/vservers/srv002/rlimits

3. Установить значения максимума для резидентной памяти (rss) и максимума для всего объема виртуальной памяти (as). Хранимые значения указывают на число страниц памяти - например, чтобы установить предел в 200Мб при размере страницы 4Кб, нужно указать значение 50000.

echo 50000 > /etc/vserver//rlimits/rss # 200Mb
echo 100000 > /etc/vserver//rlimits/as # 400Mb

4. Чтобы изменения вступили в силу, необходимо перезапустить виртуальный хост.

В комплекте пакета util-vserver идут замечательные утилиты для наблюдения за виртуальными хостами. Вот как это выглядит:

# vserver-stat
CTX PROC VSZ RSS userTIME sysTIME UPTIME NAME
0 59 197.9M 43.7M 36m51s32 9m37s35 5d22h45 root server
49166 9 137M 20.2M 0m02s98 0m03s40 4d00h03 srv008
49169 9 137M 20.2M 0m39s41 0m06s62 3d23h59 srv009
49170 13 174.3M 102.6M 16m30s91 1m03s46 3d20h57 srv002
49171 3 21.1M 4.6M 0m00s40 0m00s10 3h22m13 srv001
49176 9 137M 20.2M 0m00s80 0m00s20 1h28m18 srv007
#
#
# vps ax
PID CONTEXT TTY STAT TIME COMMAND
1 0 MAIN ? Ss 0:01 init [2]
...
1045 0 MAIN ? S< 0:12 [md1_raid1]
1049 0 MAIN ? S< 0:00 [md2_raid1]
1126 0 MAIN ? S< 0:00 [kjournald]
1611 0 MAIN ? S< 0:00 [kedac]
1662 0 MAIN ? S< 0:00 [kpsmoused]
1922 0 MAIN ? S< 0:00 [kmirrord]
1970 0 MAIN ? S< 0:00 [kjournald]
1972 0 MAIN ? S< 0:15 [kjournald]
2259 0 MAIN ? Ss 0:02 /sbin/syslogd
2265 0 MAIN ? Ss 0:00 /sbin/klogd -x
2617 0 MAIN ? Ss 0:00 /usr/sbin/inetd
2632 0 MAIN ? Ss 0:00 /usr/sbin/sshd
2874 0 MAIN ? Ss 0:00 /sbin/mdadm
2905 0 MAIN ? Ss 0:00 /usr/sbin/cron
2922 0 MAIN ? Ss 0:00 /usr/sbin/apache
2949 0 MAIN tty1 Ss+ 0:00 /sbin/getty 38400 tty1
2950 0 MAIN tty2 Ss+ 0:00 /sbin/getty 38400 tty2
2951 0 MAIN tty3 Ss+ 0:00 /sbin/getty 38400 tty3
2952 0 MAIN tty4 Ss+ 0:00 /sbin/getty 38400 tty4
2953 0 MAIN tty5 Ss+ 0:00 /sbin/getty 38400 tty5
2954 0 MAIN tty6 Ss+ 0:00 /sbin/getty 38400 tty6
22845 0 MAIN ? Ss 0:00 /usr/sbin/exim4 -bd -q30m
26097 0 MAIN ? S 0:00 /usr/sbin/apache
26098 0 MAIN ? S 0:00 /usr/sbin/apache
26099 0 MAIN ? S 0:00 /usr/sbin/apache
26100 0 MAIN ? S 0:00 /usr/sbin/apache
26101 0 MAIN ? S 0:00 /usr/sbin/apache
15571 49166 srv008 ? Ss 0:00 /sbin/syslogd
15590 49166 srv008 ? Ss 0:00 proftpd: (accepting connections)
15596 49166 srv008 ? Ss 0:00 /usr/sbin/cron
15606 49166 srv008 ? Ss 0:00 /usr/sbin/apache
16397 49169 srv009 ? Ss 0:00 /sbin/syslogd
16416 49169 srv009 ? Ss 0:00 proftpd: (accepting connections)
16422 49169 srv009 ? Ss 0:00 /usr/sbin/cron
16432 49169 srv009 ? Ss 0:00 /usr/sbin/apache
17970 49170 srv002 ? Ss 0:08 /sbin/syslogd
17982 49170 srv002 ? Ss 0:00 /usr/sbin/named -u bind
17989 49170 srv002 ? Ss 0:00 /usr/sbin/lwresd
18005 49170 srv002 ? Ss 15:58 /usr/sbin/clamd
18088 49170 srv002 ? Ss 0:00 /usr/bin/freshclam -d --quiet
18233 49170 srv002 ? Ss 0:06 /usr/sbin/exim4 -bd -q30m
18259 49170 srv002 ? Ss 0:00 /usr/sbin/cron
6387 49169 srv009 ? S 0:00 /usr/sbin/apache
6388 49169 srv009 ? S 0:00 /usr/sbin/apache
6389 49169 srv009 ? S 0:00 /usr/sbin/apache
6390 49169 srv009 ? S 0:00 /usr/sbin/apache
17469 0 MAIN ? Ss 0:00 sshd: root@pts/0
17471 0 MAIN pts/0 Ss+ 0:00 -bash
18505 49171 srv001 ? Ss 0:00 /sbin/syslogd
18515 49171 srv001 ? Ssl 0:00 /usr/sbin/slapd -g openldap -u openldap
18531 49171 srv001 ? Ss 0:00 /usr/sbin/cron
19505 0 MAIN ? Ss 0:00 sshd: root@pts/2
19507 0 MAIN pts/2 Ss 0:00 -bash
20434 0 MAIN pts/2 S+ 0:00 mc
20436 0 MAIN pts/3 Ss 0:00 bash -rcfile .bashrc
21026 49176 srv007 ? Ss 0:00 /sbin/syslogd
21045 49176 srv007 ? Ss 0:00 proftpd: (accepting connections)
21051 49176 srv007 ? Ss 0:00 /usr/sbin/cron
21061 49176 srv007 ? Ss 0:00 /usr/sbin/apache
21083 49176 srv007 ? S 0:00 /usr/sbin/apache
21084 49176 srv007 ? S 0:00 /usr/sbin/apache
21846 49170 srv002 ? S 0:00 /usr/sbin/exim4 -bd -q30m
21847 1 ALL_PROC pts/3 S+ 0:00 vps ax
21848 1 ALL_PROC pts/3 R+ 0:00 ps ax

Ссылки:

Installing Linux-VServer
Howtos Linux-Vserver Debian Sarge
Problematic Programs - Linux-VServer
Vserver DRBD - Linux-VServer
The /etc/vservers directory
"Системный администратор" (октябрь 2006)

SSL соединение при использовании LDAP-сервиса

2007-06-11T16:00:00.000+03:00

Данная заметка вышла как дополнение к постам StartTLS - безопасный LDAP и cvs->ldif.
При использовании общей для всех сотрудников LDAP-адресной книги за пределами офиса, условия использования безопасного LDAP-соединения становятся обязательными. Но существующие на данный момент почтовые клиенты не умеют использовать функцию StartTLS, вместо этого они требуют отдельного SSL-соединения на отдельном порту (для ldaps это порт 636).
В этом случае в дополнение к уже определенным в конфигурационном файле опциям TLSCertificateFile, TLSCertificateKeyFile, TLSCACertificateFile, в запускном скрипте необходимо открыть дополнительный безопасный порт - ldaps. В Debian это делается просто - в начало скрипта /etc/init.d/slapd необходимо добавить строку:

SLAPD_SERVICES="ldap:/// ldaps:///"

После перезапуска сервиса, убедиться, что ldaps порт открыт:

# /etc/init.d/slapd restart
Stopping OpenLDAP: slapd.
Starting OpenLDAP: slapd.
# netstat -an | grep 636
tcp 0 0 0.0.0.0:636 0.0.0.0:* LISTEN
tcp6 0 0 :::636 :::* LISTEN

Теперь остается только протестировать безопасное соединение из почтовой программы (галочка "secure connection (SSL)", порт 636). Thunderbird и Evolution прекрасно срабатывают сразу же. С Outlook'ом придется добавлять сертификат LDAP-сервера (или CA'я, который выдал данный сертификат) в Windows-хранилище сертификатов, иначе он будет отказываться работать, говоря при этом многозначительное "The specified directory service could not be reached".

Solaris LDAP Authentication with OpenLDAP

2007-06-08T13:01:00.000+03:00

Продолжая тему интеграции работающих сервисов с единой директорией каталогов (LDAP), реализовал аутентификацию пользователей в Solaris 10 через PAM-модуль pam_ldap.

План следующий:

Подготовить LDAP-каталог для хранения данных о пользователях
Подготовить систему для работы с LDAP-каталогом
Настроить PAM-конфигурацию для работы с LDAP
Протестировать работоспособность

Перед тем как приступать к сборке всего этого "конструктора", советую ознакомиться (освежить в памяти) с документацией по PAM-модулям.

1. Подготовка LDAP-каталога

В LDAP-директории должны существовать записи о пользователях, которые будут иметь доступ к системе. Пример записи:

dn: uid=user3,ou=People,o=Organization,c=lt
uid: user3
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
gecos: Ivan Ivanov
sn: Ivanov
telephoneNumber: 37070022722
mail: user3@organization.lt
homeDirectory: /export/home/user3
loginShell: /usr/bin/bash
uidNumber: 1010
cn: user3
userPassword: {CRYPT}$1$Gw4bZGoA$cv7sLoqjquhfZiHIx5Hwi0
gidNumber: 1100

Также в LDAP-директории должен быть определен пользователь, имеющий доступ к "ветке" со всеми пользователями (доступ к паролям пользователей ему необязателен) - он будет использоваться для доступа к LDAP от имени системы. В рассматриваемом примере такой пользователь - cn=manager, o=Organization,c=lt (с паролем 'neskazu').

2. Подготовка операционной системы для работы с LDAP-директорией

В Solaris 10 (и прежних, как оказалось, версиях) есть команда ldapclient, которая все сделает сама - нужно только правильно сформировать запрос. Если указываемые значения содержат пробелы, их необходимо обрамлять одинарными скобками. Например, на моей системе это выглядело так:

ldapclient manual -v -a credentialLevel=proxy -a authenticationMethod=simple -a 'proxyDN=cn=manager,o=My Organization,c=lt' -a proxyPassword=neskazu -a 'defaultsearchbase=o=My Organization,c=lt '195.44.44.3

Команда создаст в системе необходимые для работы с LDAP файлы и кое-что изменит не совсем верно - это касается файла /etc/nsswitch.conf. В данном файле нужно будет поправить строку, добавив запись возможность использовать dns для преобразования dns-имен хостов (resolving)

hosts: dns ldap [NOTFOUND=return] files

Если все прошло без ошибок, то по команде getent passwd

# getent passwd
root:x:0:0:Super-User:/:/sbin/sh
daemon:x:1:1::/:
bin:x:2:2::/usr/bin:
sys:x:3:3::/:
adm:x:4:4:Admin:/var/adm:
lp:x:71:8:Line Printer Admin:/usr/spool/lp:
uucp:x:5:5:uucp Admin:/usr/lib/uucp:
nuucp:x:9:9:uucp Admin:/var/spool/uucppublic:/usr/lib/uucp/uucico
smmsp:x:25:25:SendMail Message Submission Program:/:
listen:x:37:4:Network Admin:/usr/net/nls:
gdm:x:50:50:GDM Reserved UID:/:
webservd:x:80:80:WebServer Reserved UID:/:
nobody:x:60001:60001:NFS Anonymous Access User:/:
noaccess:x:60002:60002:No Access User:/:
nobody4:x:65534:65534:SunOS 4.x NFS Anonymous Access User:/:
user3:x:1010:1100:Ivan Ivanov:/export/home/user3:/usr/bin/bash
...

Не забыть создать в системе домашние директории для пользователей из LDAP-директории

mkdir /export/home/user3
chown 1010:1100 /export/home/user3

3. Настроить PAM-модуль pam_ldap

В файле /etc/pam.conf внести следующие изменения:

other auth requisite pam_authtok_get.so.1
# other auth required pam_dhkeys.so.1
other auth required pam_unix_cred.so.1
other auth sufficient pam_unix_auth.so.1
other auth required pam_ldap.so.1

other account requisite pam_roles.so.1
other account sufficient pam_unix_account.so.1
other account required pam_ldap.so.1

С включенным модулем pam_dhkeys система отказывалась аутентифицировать LDAP-пользователей. Поинтересовавшись, что это за модуль и поняв, что я его не использую, закомментировал зверя.
Если в pam.conf какая-то служба описана отдельно (например xscreensaver), то для нее необходимо также указать использование модуля pam_ldap как и для 'other'.

После проделывания вышеприведенных процедур все должно заработать. Если что-то не так, то на помощь приходит Syslog-система, правда прежде чем ею воспользоваться, её конфигурационный файл (/etc/syslog.conf) тоже требует доработки - например, такой:

auth.debug /var/log/authlog

причем, если файл /var/log/authlog не создан, создать пустышку и заставить syslog перечиать свой файл конфигурации

# touch /var/log/authlog
# svcadm enable svc:/system/system-log:default

Ссылки:

Установка Dovecot IMAP сервиса с поддержкой LDAP в FreeBSD 5.4

2007-06-01T16:39:00.001+03:00

Что есть: внутренний IMAP-сервер для переписки между сотрудниками (локальная сеть)
Что необходимо сделать: научить IMAP-сервер аутентифицировать пользователей через единую LDAP-директорию.

# cd /usr/ports
# make update
# cd /usr/ports/mail/dovecot
# make

make (выбрать LDAP)
make install
echo dovecot_enable="YES" >> /etc/rc.conf

Если при сборке вываливается ошибка
On FreeBSD before 6.2 ports system unfortunately can not set default X11BASE by itself so please help it a bit by setting X11BASE=${LOCALBASE} in make.conf.
On the other hand, if you do wish to use non-default X11BASE, please set variable USE_NONDEFAULT_X11BASE
В /etc/make.conf нужно добавить строку X11BASE=${LOCALBASE} и повторить сборку.

Приведенная ниже конфигурация позволяет использовать в качестве аутентификационной базы пользователей - LDAP-директорию, а данные о пользователях (uid, gid, homedir) достаточно статичны, поэтому они формируются средствами внутренних переменных (%u).
Приведены только те строки, которые требуют изменения.

# cd /usr/local/etc
# cp dovecot-example.conf dovecot.conf

dovecot.conf
# сеть локальная, поэтому можно разрешить plaintext-аутентификацию
disable_plaintext_auth = no
# иерархия папок очень важна, поэтому mbox'а не хватает
mail_location = maildir:~/Maildir
# данная схема аутентификации не нужна
#passdb pam {
#}
passdb ldap {
args = /usr/local/etc/dovecot-ldap.conf
}
userdb static {
# пользователя с uid=500 нужно создать, если его нет
args = uid=500 gid=mail home=/var/mail/myorganization/%u
}

# cp dovecot-ldap-example.conf dovecot-ldap.conf

dovecot-ldap.conf
# вместо глобального использования логина администратора для "привязки"
# (bind) к ldap-серверу будет использоваться логин и пароль
# аутентифицирующегося пользователя
auth_bind = yes
auth_bind_userdn = uid=%u,ou=People,o=myorganization,c=ru

Ссылки:

AuthDatabase/LDAP

Инструкция по восстановлению Software RAID 1

2007-05-30T12:47:00.001+03:00

В процессе установки Debian 4.0 (Etch) возможно создать Software (программный) RAID, повысив тем самым надежность хранения Ваших данных. Статья Install Debian Etch on a Software Raid 1 with S-ATA disks подробно описывает как это сделать в процессе инсталляции на примере создания RAID 1 (зеркальное копирование).
Советую протестировать "живучесть" работающего массива, сэмитировав возникновение проблемы с каким-либо диском в массиве. Приведенная ниже инструкция описывает как действовать в таких случаях на примере RAID 1 с двумя SCSI-дисками (/dev/sda, /dev/sdb) на Debian 4.0 (Etch).

Этап 1

Если проблемы с каким либо разделом в RAID (например, /dev/sdb2)

# cat /proc/mdstat
Personalities : [raid0] [raid1] [raid5]
md1 : active raid1 sda2[0] sdb2[2](F)
63472704 blocks [2/1] [U_]
md2 : active raid1 sda3[0] sdb3[1]
3903680 blocks [2/1] [UU]
md0 : active raid1 sda1[0] sdb1[1]
3317312 blocks [2/1] [UU]

Необходимо удалить поврежденный раздел (прежде пометив его как fail), а потом его же добавить:

# mdadm /dev/md1 –f /dev/sdb2
# mdadm /dev/md1 -r /dev/sdb2
# mdadm /dev/md1 -a /dev/sdb2

После проделанных операций проверить его статус, как показано выше. Если проблема устранена, все md-разделы будут помечены как [UU].
Если это не помогает и массив по прежнему не восстанавливается, следует удалить все разделы испорченного диска (/dev/sdb1, /dev/sdb2), пометив прежде их как fail, и перейти к Этапу 2:

# mdadm /dev/md1 -f /dev/sdb1
# mdadm /dev/md1 -r /dev/sdb1
# mdadm /dev/md1 -f /dev/sdb2
# mdadm /dev/md1 -r /dev/sdb2

Этап 2

1. Выключить сервер

# shutdown -h now

2. Если проблема с вторичным диском - вставить новый диск на место старого, повторив установку перемычек (jumpers). Если проблема с первичным диском - вставить на место первичного диска (/dev/sda) вторичный диск (рабочий, /dev/sdb), повторив установку перемычек (jumpers), а на место вторичного установить новый диск.
3. Загрузить сервер.
4. Из под root выполнить комманды:

# sfdisk -d /dev/sda | sfdisk /dev/sdb # копирование таблицы разделов с /dev/sda на /dev/sdb
# fdisk -l # проверить, что оба диска имеют одинаковую разметку
# mdadm --add /dev/md0 /dev/sdb1 # добавление устройств в RAID
# mdadm --add /dev/md1 /dev/sdb2
# mdadm --add /dev/md2 /dev/sdb3
# grub
grub> root (hd1,0) # указать, где находится каталог /boot/grub на вторичном диске
grub> setup (hd1) # установить GRUB-загрузчик в MBR вторичного диска
grub> quit

5. Проверить состояние RAID устройств можно коммандой cat /proc/mdstat
Если всё, прошло успешно, вывод будет похож на:

# cat /proc/mdstat
Personalities : [raid0] [raid1] [raid5]
md0 : active raid1 sda1[0] sdb1[1]
24418688 blocks [2/2] [UU]
md2 : active raid1 sda3[0] sdb3[1]
3903680 blocks [2/1] [UU]
md1 : active raid1 sda2[0] sdb2[1]
24418688 blocks [2/2] [UU]

6.Как только RAID восстановится, перегрузить сервер для проверки работоспособности.

Ссылки:

NRPE - мониторинг удаленных (недоступных извне) серверов средствами Nagios

2007-05-11T16:37:00.000+03:00

NRPE - модуль для системы мониторинга Nagios, позволяющий запускать plugin'ы на удаленных серверах. Основная задача данного модуля - получить информацию о локальных данных удаленных серверов (check_load, check_users). Но с таким же успехом его можно использовать для мониторинга недоступных серверов, например, находящихся в локальной сети и не имеющих внешних адресов. Для этого достаточно установить на промежуточном сервере (195.43.68.11), имеющим доступ к локальной сети (192.168.1.0), nrpe-службу и на сервере мониторинга (195.43.68.2) установить nrpe-plugin.
Все описанные ниже действия были проделанны на серверах с Linux Debian 4.0 (Etch).

1. На стороне remote-сервера установить nrpe-сервис и базовый набор nagios-plugin'ов

# apt-get install nagios-nrpe-server nagios-plugins-basic
...
Setting up nagios-nrpe-server (2.5.1-3) ...
Starting nagios-nrpe: nagios-nrpe.

# netstat -an | grep 5666
tcp 0 0 0.0.0.0:5666 0.0.0.0:* LISTEN

2. Изменить конфигурационный файл /etc/nagios/nrpe.cfg и перезапустить сервис с новыми параметрами

allowed_hosts=127.0.0.1,195.43.68.2
# разрешить использование аргументов при выхове plugin'ов
dont_blame_nrpe=1
# пример описания plugin'а
command[check_ftp]=/usr/lib/nagios/plugins/check_ftp -H $ARG1$

# /etc/init.d/nagios-nrpe-server restart
Stopping nagios-nrpe: nagios-nrpe.
Starting nagios-nrpe: nagios-nrpe.

3. На стороне мониторинг-сервера установить nrpe-plugin, протестировать его функциональность и добавить описания требуемых для мониторинга локальных сервисов. В приведенном ниже примере используется plugin check_ftp, для проверки работоспособности ftp-сервиса на локальном сервере 192.168.1.111.

# apt-get install nagios-nrpe-plugin
...
Setting up nagios-nrpe-plugin (2.5.1-3) ...

# /usr/lib/nagios/plugins/check_nrpe -H 195.43.68.11
NRPE v2.5.1
# /usr/lib/nagios/plugins/check_nrpe -H 195.43.68.11 -c check_users
USERS OK - 1 users currently logged in |users=1;5;10;0
# /usr/lib/nagios/plugins/check_nrpe -H 195.43.68.11 -c check_load
OK - load average: 0.21, 0.16, 0.11|load1=0.210;15.000;30.000;0; load5=0.160;10.000;25.000;0; load15=0.110;5.000;20.000;0;
# /usr/lib/nagios/plugins/check_nrpe -H 195.43.68.11 -c check_total_procs
PROCS OK: 60 processes
# /usr/lib/nagios/plugins/check_nrpe -H 195.43.68.11 -c check_zombie_procs
PROCS OK: 0 processes with STATE = Z
# /usr/lib/nagios/plugins/check_nrpe -H 195.43.64.11 -c check_ftp -a 192.168.1.111
FTP OK - 0.024 second response time on port 21 [220 saule FTP server ready.]|time=0.024221s;0.000000;0.000000;0.000000;10.000000

Пример описания данного сервиса в конфигурации Nagios:

define service{
use generic-service
host_name remote
service_description NRPE_FTP
check_command check_nrpe!check_ftp!192.168.1.111

Ссылки:

NRPE Documentation

Exilog - инструмент для анализа логов MTA Exim

2007-05-07T16:44:00.000+03:00

В Linux Debian в качестве default MTA используется Exim. Данный агент очень мощный в настройке и в отличие от sendmail более стабилен и безопасен. В комплекте с ним идут различные утилиты для работы с почтовой очередью, вывода статистики (existats), просмотра того, что в данный момент происходит (exiwhat) и т.п. Но у него есть один недостаток - для него не существует на данный момент активно разрабатываемого анализатора логов.
Exilog - продукт не имеющий релиза, застрявший в разработке (последняя версия 0.5 от 2005.10.23), но он вполне мог бы стать полноценным инструментом для работы с логами Exim'а. Сам активно использую уже больше года и могу только поблагодарить разработчиков.
Exilog - это перл-демон, который в реальном времени сканирует логи, результаты сбрасывает в MySQL базу и имеет приятный web-интерфейc.
Весь процесс установки подробно описан в README (необходимо устранить все зависимости (для Debian-системы это пакеты libdbd-mysql-perl и libnet-netmask-perl) и подправить конфигурационный файл). От себя же добавлю, что для окончательной интеграции в Debian-систему в /etc/init.d/exim4 необходимо внести следующие изменения:

...
start_exim()
{
/var/spool/exim4/exilog/exilog_agent.pl >> /var/log/exilog_agent.log 2>&1
...
}

stop_exim()
{
...
kill -s 15 `cat /var/run/exilog-agent.pid`
}
...

Ссылки:
Exilog - homepage

The GNU Accounting Utilities - стандартный инструментарий для анализа произошедшего

2007-05-03T11:06:00.000+03:00

The GNU Accounting Utilities (acct) - набор из нескольких утилит, помогающих проанализировать произошедшие инциденты и обнаружить слабые места в работе сервера.
Смысл простой - вы включаете запись всего происходящего, а потом анализируете накопленные данные (файлы /var/log/pacct и /var/log/wtmp). Слежение происходит на уровне ядра, поэтому ядро должно иметь соответствующую опцию (BSD-style process accounting) при сборке (мною опробованы стандартные ядра Debian 3.1, 4.0, Slackware 10 - с ними все в порядке). В Debian и Slackware - все элементарно ставится из репозитария - пакет acct.
В данный набор входят следующие утилиты:
Лучший способ рассказа об этих утилитах - пример ситуации. Итак, представьте себе, вы хорошо осведомлены о том, что происходит на ваших серверах, накапливаете статистику (например, по snmp с помощью Cacti) о загрузке, использовании памяти и процессорного времени, приходите утром смотрите на графики и видите дикую нагрузку на вашем веб-сервере ночью, когда обычно всё тихо. Естественно, первым делом идут в ход обычные логи (/var/log/messages, /var/log/auth.log, /var/log/syslog и .т.д.), но ситуация несколько осложняется - дело в том, что на веб-сервере запущен не только веб-сервис, но и с десяток других (mail, ftp, ldap, dns и т.д.). Если обычные логи ничего толкогого не говорят и вы не можете точно сказать, что за сервис вызвал такую нагрузку (да и сервис ли это был?), тогда в дело вступают Accounting Utilities (естественно, если вы прежде включили накопление результатов :) )

# lastcomm -f /var/log/pacct.1 > ~/lastcomm.log

Вывод будет примерно следующий:

...
apachectl root ?? 0.01 secs Tue May 1 18:50
lynx root ?? 0.01 secs Tue May 1 18:50
awk root ?? 0.01 secs Tue May 1 18:50
lynx root ?? 0.00 secs Tue May 1 18:50
cat root ?? 0.00 secs Tue May 1 18:50
httpd www ?? 0.13 secs Tue May 1 18:49
httpd www ?? 0.12 secs Tue May 1 18:49
httpd www ?? 0.15 secs Tue May 1 18:49
httpd www ?? 0.17 secs Tue May 1 18:49
httpd www ?? 0.25 secs Tue May 1 18:49
httpd www ?? 0.14 secs Tue May 1 18:49
httpd www ?? 0.14 secs Tue May 1 18:49
httpd www ?? 0.25 secs Tue May 1 18:49
httpd www ?? 1.56 secs Tue May 1 18:39
httpd www ?? 0.13 secs Tue May 1 18:49
httpd www ?? 0.14 secs Tue May 1 18:49
httpd www ?? 0.23 secs Tue May 1 18:49
httpd www ?? 1.92 secs Tue May 1 18:39
proftpd root ?? 0.01 secs Tue May 1 18:49
httpd www ?? 0.14 secs Tue May 1 18:49
httpd www ?? 0.14 secs Tue May 1 18:49
httpd www ?? 0.13 secs Tue May 1 18:48
httpd www ?? 0.15 secs Tue May 1 18:48
httpd www ?? 1.42 secs Tue May 1 18:39
httpd www ?? 361.29 secs Tue May 1 18:30
httpd www ?? 0.32 secs Tue May 1 18:45
httpd www ?? 0.75 secs Tue May 1 18:45
httpd www ?? 0.80 secs Tue May 1 18:45
httpd www ?? 0.19 secs Tue May 1 18:47
...

Колонки: команда, пользователь, терминал, время выполнения, время старта данной команды (еще могут быть различные флаги, о которых написано в документации)
Из приведенного выше лога видно, что веб-сервер что-то выполнял 360 секунд (видимо это был какой-то скрипт). Плюс число 360 - это явно какой-то лимит, видимо веб-сервер остановил выполнение скрипта по истечению timeout'а в 360 секунд. Ну а дальше - дело техники - в лог файлах выших сайтов найти что за скрипт был остановлен (и не раз) за то, что повисал.

Ссылки:

ProFTPd + LDAP - пользователи и их квоты

2007-05-03T09:18:00.000+03:00

Беря пример с Microsoft Active Directory, можно интегрировать LDAP-директорию пользователей с FTP-сервисом на основе ProFTPd. Кроме того, что в качестве аутентификационной базы пользователей можно использовать LDAP, в нем можно хранить и дополнительные средства авторизации - такие как данные о лимитах для пользователей (quota). ProFTPd должен быть собран с поддержкой LDAP (В Debian 4.0 Etch с этим всё в порядке). В качестве LDAP-сервиса использовался OpenLDAP 2.3.30 (тоже из Debian-репозитария пакетов).
Первым делом следует добавить описание атрибута ftpQuota в nis-схему (файл /etc/ldap/schema/nis.schema).

attributetype ( 1.3.6.1.1.1.1.28 NAME 'ftpQuota'
DESC 'Quota FTP'
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26
SINGLE-VALUE )

objectclass ( 1.3.6.1.1.1.2.0 NAME 'posixAccount'
DESC 'Abstraction of an account with POSIX attributes'
SUP top AUXILIARY
MUST ( cn $ uid $ uidNumber $ gidNumber $ homeDirectory )
MAY ( userPassword $ loginShell $ gecos $ description $ ftpQuota ) )

После этого перезапустить LDAP-сервис и удостовериться, что он нормально принял внесенные изменения

# /etc/init.d/slapd restart
Stopping OpenLDAP: slapd.
Starting OpenLDAP: slapd.

Если всё нормально, создать в LDAP-директории пользовательскую запись для ftp-доступа. Как пример:

dn: cn=ftpuser,ou=Users,o=My Company,c=LT
cn: ftpuser
ipNetworkNumber: 12
uid: ftpuser
objectClass: ipNetwork
objectClass: posixAccount
objectClass: top
userPassword: {MD5}ce4O7AJ89gFcMRd7PVaE7Q==
gidNumber: 65534
uidNumber: 106
homeDirectory: /var/home/ftpuser
ftpQuota: false,hard,10485760,0,0,0,0,0

Отредактировать основной конфигурационный файл ftp-сервиса - /etc/proftpd/proftpd.conf. Добавить строки

LDAPServer localhost
LDAPDNInfo "cn=searcher,o=My Company,c=LT" password
LDAPDoAuth on "ou=Sites,o=My Company,c=LT" "(&(uid=%v) (objectclass=posixAccount))"
LDAPDefaultGID 106
LDAPDefaultUID 65534
LDAPForceDefaultGID off
LDAPForceDefaultUID off
LDAPDoQuotaLookups on "ou=Users,o=My Company,c=LT" "(&(uid=%v)(objectclass=posixAccount))"
QuotaLimitTable ldap:
QuotaLock /tmp/quota
QuotaEngine on
QuotaDirectoryTally on
QuotaDisplayUnits Mb
QuotaLog "/var/log/proftpd/quota.log"
QuotaShowQuotas on
QuotaTallyTable file:/var/log/ftpquota.tally

LDAPDNInfo - необходим, если у вас закрыт доступ для анонимного пользователя
LDAPDoAuth - аутентификация, база для поиска пользователя (по uid)
LDAPDoQuotaLookups - включить поиск квот, база для поиска

Перед перезапуском ftp-сервиса, чтобы изменения вступили в силу, необходимо создать файл /var/log/ftpquota.tally, который будет меняться, храня информацию об использовании лимитов ftp-пользователями.

# ftpquota --create-table --type=tally --units=Mb --table-path=/var/log/ftpquota.tally
# /etc/init.d/proftpd restart
Stopping ftp server: proftpd.
Starting ftp server: proftpd.

После перезапуска можно проверить

# ftp localhost
Connected to localhost.
220 ProFTPD 1.3.0 Server (Debian) [127.0.0.1]
Name (localhost:root): ftpuser
331 Password required for ftpuser.
Password:
230 User ftpuser logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> quote SITE QUOTA
200-The current quota for this session are [current/limit]:
200-Name: ftpuser
200-Quota Type: User
200-Per Session: False
200-Limit Type: Soft
200- Uploaded Mb: 4.08/10.00
200- Downloaded Mb: unlimited
200- Transferred Mb: unlimited
200- Uploaded files: unlimited
200- Downloaded files: unlimited
200- Transferred files: unlimited
200 Please contact root@server if these entries are inaccurate

Ссылки:

Перенос системы с одного диска на другой

2007-04-26T15:34:00.000+02:00

1. Скопировать разметку диска с первого (рабочего) на второй (новый), если диски идентичные:

sfdisk -d /dev/hda | sfdisk /dev/hdb

если разные - вручную с помощью утилиты cfdisk разбить второй диск в соответствии с разметкой рабочего

cfdisk /dev/hdb

2. Отформатировать созданные разделы в желаемом формате

mkfs.ext3 /dev/hdb1
mkswap /dev/hda5

3. Перегрузиться в singleuser-режиме, смонтировать требуемые разделы и выполнить клонирование

mount /dev/hdb1 /mnt
cd /mnt
dump 0af - / | restore xf -
...
set owner/mode for '.'? [yn] y

4. Если необходимо, грузиться с нового диска, необходимо переписать mbr (используется grub загрузчик)

# grub
grub> device (hd0) /dev/hdb
grub> root (hd0,0)
grub> setup (hd0)
grub> quit

Ссылки:

Clamav + Squid

2007-04-20T15:32:00.000+02:00

Данное описание применимо к Debian 4.0 (Etch). Все сервисы, кроме squidclamav, установлены из доступных в репозитарии, пакетов. Перед началом необходимо убедиться в наличии и рабочем состоянии следующих сервисов (пакетов):

Squid (2.6.5)
Apache (1.3.34)
ClamAv (0.90.1)
libcurl3-dev (7.15.5)
libcurl3 (7.15.5)

Apache и ClamAv не требуют дополнительной настройки после установки через apt-get. Описание "Установка Debian-маршрутизатора с возможностями прозрачного proxy-сервера" содержит подборную установку и настройку Squid.

Связующим звеном между Squid и ClamAv является редиректор squidclamav (написан на С, на момент написания этих строк последней версией была версия 3.0). Существует еще один редиректор squidclamav, но он написан на python и мною не тестировался.

Перед тем, как остановить свой выбор на squidclamav, я рассмотрел еще 3 реализации антивирусной проверки на базе Squid + Clamav:

i-cap - так как хотелось использовать Squid из Debian репозитария, пришлось отбросить данный вариант, так как в дебиановской сборке отсутствует поддержка i-cap, и мне не удалось найти i-cap патча для ручной пересборки.
squidclam - очень сырой, так и не удалось добиться работоспособности
viralator - требует наличия squidGuard, но заставить работать мне его так и не удалось. Запрашиваемые файлы передаются на обработку этому скрипту, но он только показывает popup, а сам ничего не выполняет. Да и popup - для каждого скачиваемого файла - очень неудобно.

Лог действий:

1. Собрать из исходников данный редиректор

tar zxf squidclamav-x.x.tar.gz
cd squidclamav
./configure --prefix=/usr/local/squidclamav
make
make install

2. Отредактировать конфигурационный файл, взяв за основу идущий в дистрибутиве

cp squidclamav.conf.dist /etc/squidclamav.conf

Пример рабочего конфигурационного файла (проверяет все файлы c mime-type application и с расширениями .dll):

logfile /var/log/squid/squidclamav.log
redirect http://192.168.1.254/cgi-bin/clwarn.cgi
debug 0
force 1
stat 1
clamd_local /var/run/clamav/clamd.ctl
timeout 60
abort ^.*\.php$
abort ^.*\.gz$
abort ^.*\.bz2$
abort ^.*\.pdf$
abort ^.*\.js$
abort ^.*\.html$
abort ^.*\.css$
abort ^.*\.xml$
abort ^.*\.xsl$
abort ^.*\.js$
abort ^.*\.ico$
aborti ^.*\.gif$
aborti ^.*\.png$
aborti ^.*\.jpg$
aborti ^.*\.swf$
content ^.*application\/.*$
regexi  ^.*\.dll$

3. Добавить описание редиректора в основной конфигурационный файл Squid'a - /etc/squid/squid.conf

redirect_program /usr/local/squidclamav/bin/squidclamav
redirect_children 15

4. Разместить в cgi-bin директории файл clwarn.cgi, на который будет пересылаться запрос в случае обнаружения вируса

cp clwarn.cgi /usr/lib/cgi-bin/clwarn.cgi

5. Перезапустить Squid, проверить в логах Squid'а запустились ли процессы squidclamav-редиректора. Если всё ок, попробовать скачать файл, содержащий вирус. Тестовые вирусы можно найти здесь.

Ссылки:

Установка Debian-маршрутизатора с возможностями прозрачного proxy-сервера

2007-04-18T16:18:00.000+02:00

1. Установить Debian 4.0 (Etch). Описание тестировалось на netinstall-дистрибутиве, eth0 - локальная сеть 192.168.1.0/24, eth1 - внешний интерфейс. Данная версия Debian содержит Squid 2.6.5, а для этой версии несколько изменились настройки для прозрачного proxy.

2. Создать скрипт /etc/network/if-up.d/00-firewall следущего содержания:

#!/bin/sh

PATH=/usr/sbin:/sbin:/bin:/usr/bin

#
# удалить все действующие правила
#
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

# Всегда принимать трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT

# Разрешить соединения, которые инициированы изнутри (eth0)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Разрешить доступ из LAN-сети к внешним сетям
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

# Masquerade.
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

# Запретить forward извне во внутреннюю сеть
iptables -A FORWARD -i eth1 -o eth1 -j REJECT

# Включить forward
echo 1 > /proc/sys/net/ipv4/ip_forward

3. Установить proxy-сервис squid, перед этим удостоверившись, что в файле /etc/hosts указан fqdn-имя для данного сервера, иначе squid будет ругаться.

apt-get install squid

4. Поправить конфигурационный файл squid'а - /etc/squid/squid.conf

http_port 127.0.0.1:3128
http_port 192.168.1.254:3128 transparent
cache_mgr admin@example.com
acl office src 192.168.1.0/24

5. Добавить в /etc/network/if-up.d/00-firewall строки для того, чтобы была возможность использовать squid прозрачно (transparent)

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j REDIRECT --to-port 3128

После этого перегрузить для чистоты эксперимента сервер и попробовать обратиться с внутренней сети к какому-нибудь внешнему сайту. Если всё хорошо, то сайт должен открыться как и прежде, а в логах squid (/var/log/squid/access.log) должны появиться соответствующие записи.

Ссылки:

Настройка разрешения по-умолчанию для терминала SunRay 2

2007-04-17T15:18:00.000+02:00

По-умолчанию терминал SunRay 2 использует разрешение 1280х1024, что не всегда удобно, так как многие мониторы не поддерживают таких цифр. Решается проблема одной командой, для этого необходимо войти любым пользователем с данного терминала и в консоли набрать

/opt/SUNWut/bin/utxconfig -r 1024x768

Теперь на данном терминале будет установлено разрешение по-умолчанию 1024х768. Чтобы изменения вступили в силу, достаточно сделать Log Out.

Остается вопрос - где система сохраняет внесенные изменения?

c:\mysql\share\charsets\?.conf' not found (Errcode: 2)

2007-04-13T15:24:00.000+02:00

При использовании Windows + MySQL 4.1 (установлен в каталог c:\Program Files\MySQL) + PHP 4.x + Webserver (любой) при обработке php-скриптов наверняка столкнетесь с ошибкой

File 'c:\mysql\share\charsets\?.conf' not found (Errcode: 2)
Character set '#33' is not a compiled character set and is not specified in the 'c:\mysql\share\charsets\Index' filee

Появляется она из-за того, что PHP 4 имеет встроенную поддержку MySQL версии только 3.23.49 (а используется 4.1.x). Используемая старая версия не имела Index-файлов для кодировки UTF-8.

Решение:

В my.cnf вместо default-character-set=utf-8 указать default-character-set=latin1

Экспорт/импорт DNS-службы в Windows 2000/2003

2007-04-12T15:13:00.000+02:00

Dumpdns - отличный скрипт [16Kb], помогающий выполнить экспорт/импорт существующего DNS-сервиса (всей конфигурации, всех существующих зон, даже тех, что Active Directory-Integrated), функционирующего в Windows 2000/2003. Отлично помогает при переносе сервера на другое железо.

SYNTAX - DNSdump [IMPORT|EXPORT] [data directory] [optional install root]

 * [IMPORT] imports a previously dumped DNS service configuration
 * [EXPORT] exports the current DNS service configuration
 * [data directory] is a local, writable directory path
 * [install root] is the local absolute path used by the DNS service

 * DNSdump requires -
   - administrative permission
   - local execution on the DNS server
   - Windows 2000 or an uplevel operating system

 * DNSdump provides import and export of -
   - DNS service configuration
   - Active Directory integrated zones
   - standard zone files

 * IMPORTANT NOTES -
   - existing Active Directory zone content will NOT be overwritten during IMPORT
   - DNS service and zone configuration WILL be overwritten during IMPORT
   - zone files WILL be overwritten during IMPORT
   - registry keys are purged prior to IMPORT

DNSdump - Ready to proceed, configuration as follows -

  * Security context is "JSIINC\Jerry"
  * Active Directory distinguished name is "DC=JSIINC,DC=COM"
  * Mode of operation is "EXPORT"
  * DNS installation root is "C:\WINDOWS\System32\DNS"
  * Data directory is "d:\dnsdump"

STATUS - Processing the following tasks ...

         - exporting registry keys
         - backing up DNS files from "C:\WINDOWS\System32\DNS"
         - exporting Active Directory integrated Zones
         - preparing exported data for future import

Homepage

log4j.properties

2007-04-04T15:08:00.000+02:00

Пример использования mysql-аппендера для сбора логов в базу

log4j.logger.edu.internet2.middleware.shibboleth=INFO,idp
log4j.appender.idp=org.apache.log4j.jdbc.JDBCAppender
log4j.appender.idp.driver=com.mysql.jdbc.Driver
log4j.appender.idp.URL=jdbc:mysql://192.168.1.1:3306/log_db?autoReconnect=true
log4j.appender.idp.user=log_user
log4j.appender.idp.password=log_pass
log4j.appender.idp.sql=INSERT INTO logging_event (time, level, class, message) VALUES ('%d', '%p', '%c', '%m')
log4j.appender.idp.layout=org.apache.log4j.PatternLayout

Ссылки:

Создание локального зеркала debian-репозитария пакетов

2007-03-26T15:38:00.000+02:00

1. Установить утилиту apt-mirror. В процессе установки будет создан новый пользователь apt-mirror с домашней директорией /var/spool/apt-mirror

apt-get install apt-mirror

2. Сконфигурировать apt-mirror, конфигурационный файл /etc/apt/mirror.list. Пример конфигурационного файла:

##
## The default configuration options (uncomment and change to override)
##
#
# set base_path    /var/spool/apt-mirror
# set mirror_path  $base_path/mirror
# set skel_path    $base_path/skel
# set var_path     $base_path/var
#
# set defaultarch  
# set nthreads     20
#
set _tilde 0

###
### sarge's section
###
deb http://ftp.at.debian.org/debian sarge main contrib non-free
deb-src http://ftp.at.debian.org/debian sarge main contrib non-free

deb http://security.debian.org/debian-security sarge/updates main contrib non-free
deb-src http://security.debian.org/debian-security sarge/updates main contrib non-free

deb http://ftp.at.debian.org/debian sarge main/debian-installer

# sarge-proposed-updates's section
deb http://ftp.at.debian.org/debian sarge-proposed-updates main contrib non-free
deb-src http://ftp.at.debian.org/debian sarge-proposed-updates main contrib non-free

###
### etch
###
deb http://ftp.at.debian.org/debian/ etch main contrib non-free
deb-src http://ftp.at.debian.org/debian/ etch main contrib non-free

deb http://security.debian.org/debian-security etch/updates main contrib non-free
deb-src http://security.debian.org/debian-security etch/updates main contrib non-free

deb http://ftp.at.debian.org/debian/ etch main/debian-installer

# etch-proposed-updates's section
deb http://ftp.at.debian.org/debian sarge-proposed-updates main contrib non-free
deb-src http://ftp.at.debian.org/debian sarge-proposed-updates main contrib non-free

# sid's section
#deb http://ftp.fi.debian.org/debian sid main contrib non-free
#deb-src http://ftp.fi.debian.org/debian sid main contrib non-free
#deb http://ftp.fi.debian.org/debian sid main/debian-installer

##
## Cleaner configuration example
##
#
# set cleanscript $var_path/clean.sh
#

# Cleaning section
clean http://security.debian.org/
clean http://ftp.at.debian.org/

skip-clean http://ftp.fi.debian.org/doc/

3. Создать локальное зеркало. Операция может занять много времени, всё зависит от того сколько дистрибутивов вы собираетесь "зеркалировать". Например, у меня выбрано sarge и etch - они занимают около 45 Гб. После того как всё будет скачано, операция автоматического обновления зеркала будет проходить в соответствии с файлом /etc/cron.d/apt-mirror. Ежедневные обновления содержат около 100 Мб.

su - apt-mirror -c apt-mirror

4. Автоматизировать очистку локального зеркала - необходимо регулярно запускать на выполнение /var/spool/apt-mirror/var/clean.sh, можно через cron.

5. Сделать локальный репозитарий доступным для локальных серверов, с помощью уже установленного и настроенного Apache - необходимо только создать символьные ссылки для доступа к репозитарию.

ln -s /var/spool/apt-mirror/mirror/security.debian.org/debian /var/www/debian
ln -s /var/spool/apt-mirror/mirror/security.debian.org/debian-security /var/www/debian-security

6. После этого локальное зеркало доступно по адресу http://mirrorserver/debian, http://mirrorserver/debian-security. А файл /etc/apt/sources.list для локальных серверов будет выглядеть примерно так:

deb http://mirrorserver/debian/ etch main
deb-src http://mirrorserver/debian/ etch main
deb http://mirrorserver/debian-security/ etch/updates main

Ссылки:

How To Create A Local Debian/Ubuntu Mirror With apt-mirror

Как изменить приветствие SSH-сервиса

2007-03-16T15:35:00.000+02:00

Если сервис был самостоятельно собран из исходников, то достаточно отредактировать файл version.h и пересобрать сервис по-новому.

Всё немного сложнее, если используется уже кем-то собранный пакет. Например, Debian-система при попытке подсоединения к ней говорит:

# telnet localhost 22
Trying 127.0.0.1...
Connected to localhost.localdomain.
Escape character is '^]'.
SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.6

Злоумышленнику сразу выдаётся масса информации о системе.

Debian позволяет пересобрать пакет по своим потребностям и нуждам.

1. Необходимо убедиться, что файл /etc/apt/sources.list содержит хотя бы один deb-src-источник. Если не содержит - добавить. Также установить, если не установлены утилиты для сборки debian-пакетов

# cat >> /etc/apt/sourсes.list
deb-src http://ftp.at.debian.org/debian/ stable main
Ctrl + C
# apt-get update
# apt-get install dpkg-dev debhelper devscripts
...

2. Скачать и распаковать в текущую директорию debian-исходники пакета ssh

apt-get source ssh

3. Скачать и установить все необходимые для сборки пакеты (будет установлено достаточно большое количество пакетов - около 100)

apt-get build-dep ssh

4. В директории ./openssh-x.x.x/debian будет файл rules, в нем строка

SSH_VERSION := $(shell sed -e '/define/!d; s/.*\"\(.*\)\".*/\1/; q' <version.h) ... и т.д.

Можно отредактировать её по желанию, только не забыть, что она в свою очередь тоже зависит от содержимого файла version.h

5. Чтобы дальнейшие update'ы пакетов не затерли внесенные изменения, необходимо добавить в ./openssh-x.x.x/debian/changelog описание самостоятельно собранной версии. Номер версии должен отличаться, например вместо 1:3.8.1p1-8.sarge.6 укажите 1:3.8.1p1-8.sarge.6without_banner. Если что-то будет не так в данном файле сборка пакета не начнется.

6. Собрать самостоятельно сконфигурированный пакет

cd ./openssh-x.x.x
debuild -us -uc
...

7. Если процесс сборки прошёл успешно, установить собранный пакет

# cd ..
# dpkg -i ssh_x.x.x_i386.deb
(Reading database ... 33306 files and directories currently installed.)
Preparing to replace ssh x.x.x (using ssh_x.x.xwithout_banner_i386.deb) ...
Unpacking replacement ssh ...
Setting up ssh (x.x.xwithout_banner) ...
Restarting OpenBSD Secure Shell server: sshd.

Ссылки:

Fail2Ban

2007-03-14T15:34:00.000+02:00

Fail2Ban - простой локальный сервис, который просматривает логи на предмет попытки подоброать пароли к ssh, ftp, http-сервисам. Если такие попытки найдены, fail2ban блокирует ip-адрес источника. Сервис очень гибко настраивается - возможна блокировка через iptables или /etc/hosts.allow (deny), способен оповещать по email, писать лог, сбрасывать блокировку через заданное время и прочее.
В Debian 4.0 Fail2ban доступен в репозитарии пакетов, но и из исходников он просто разворачивается, только требует наличия python 2.4.

tar xvfj fail2ban-0.6.2.tar.bz2
cd fail2ban-0.6.2
python setup.py install
...
cd config
cp debian-initd /etc/init.d/fail2ban
cd /etc/init.d
chmod +x fail2ban
update-rc.d fail2ban defaults
cp fail2ban.conf.iptables /etc/fail2ban.conf

Остаётся только подправить файл конфигурации /etc/fail2ban.conf под свои нужды.

Ссылки:

Fail2Ban Homepage

csv -> ldif

2007-03-13T16:20:00.000+02:00

Что имеется - список адресатов с различными данными (номера телефонов, адреса, email и т.п.) в формате csv. Если есть xls (spreadsheet), его можно сохранить в csv.

Задача - создать адресную LDAP-книгу.

Чтобы занести уже имеющиеся данные в LDAP-диреторию, их необходимо представить в LDIF-формате. Ниже представлен простейший perl-скрипт, позволяющий выполнить данную операцию.

#!/usr/bin/perl
#
# This is an example of using the Text::ParseWords module to convert
# a comma-delimited file to LDIF. Requires Perl 5.005 or higher. Just
# pipe the CSV file to this script and redirect the output to a file:
#
#     cat FILENAME.csv | csv2ldif.pl > FILENAME.ldif
#
# Anthony Greene 
#
# Load the required module.
use Text::ParseWords;

# Set a default objectclass and suffix.
$objectclass = 'inetOrgperson';
$dnsuffix = 'ou=addressbook,o=SSC,c=LT';

# Read lines from STDIN.
while ($line = ) {
 @fields = "ewords(',',0,$line);

 # Output the values.
 print "dn: cn=$fields[0], $dnsuffix\n";
 print "cn: $fields[0]\n";
 print "givenname: $fields[1]\n";
 print "sn: $fields[2]\n";
 print "objectclass: $objectclass\n";
 print "objectclass: top\n";
 print "mail: $fields[3]\n";
 if ($fields[4]) { print "telephonenumber: $fields[4]\n"; }
 if ($fields[5]) { print "facsimiletelephonenumber: $fields[5]\n";}
 if ($fields[6]) { print "mobile: $fields[6]\n";}
 if ($fields[7]) { print "street: $fields[7]\n";}
 if ($fields[8]) { print "l: $fields[8]\n";}
 if ($fields[9]) { print "postalcode: $fields[9]\n";}
 if ($fields[10]) { print "o: $fields[10]\n";}
 print "\n";
}
exit;

Сборка ядра Linux

2007-03-07T16:19:00.000+02:00

Статья "Некоторые замечания о сборке ядер Линукс" заставила в очередной раз обратить внимание на Linux ядро, его сборку, конфигурирование и для меня, наконец, этот процесс стал более прозрачным и понятным.

Если используется Debian-ориентированная система, то для установки всего необходимого можно воспользоваться менеджером пакетов, он установит все необходимые промежуточные зависимости:

# apt-get install linux-source-2.x.x libncurses5-dev kernel-package
# cd /usr/src
# tar xfj kernel-source-2.x.x.tar.bz2
# cd kernel-source-2.x.x
# make menuconfig
...
(конфигурирование параметров ядра)
...
# make-kpkg --append-to-version=.cramfsasmodule --revision=1.0 kernel_image
dpkg -i kernel-image-(2.x.x)(--append-to-version)_(--revision)_(architecture).deb

append-to-version - опция для указания версии ядра (можно использовать символы '+' и '.', нельзя использовать '_')
revision - опция для указания версии пакета в Debian-репозитарии (можно использовать символы '+' и '.', нельзя использовать '_'). По умолчанию используется "10.00.Custom"
kernel_image - сделать debian-пакет ядра

Либо всё делать вручную: скачать ядро с сайта www.kernel.org в /usr/src

# cd /usr/src
# tar xfj kernel-source-2.x.x.tar.bz2
# cd kernel-source-2.x.x
# make clean
# make menuconfig
...
(конфигурирование параметров ядра)
...
# make bzImage modules  # Сборка ядра и модулей
# make modules_install install # установка модулей и ядра
# update-grub   # Обновление меню загрузчика GRUB

Чтобы установить версию ядра в ручном методе, в файл /usr/src/Makefile необходимо внести поправку:

EXTRAVERSION = 20070304withusb

Статья "Ставим ядро 2.6, или Ядерная физика для домохозяйки" очень может помочь в процессе выбора необходимых опций на этапе конфигурации.

Чтобы не использовать initrd должны быть монолитно собраны драйвера корневой файловой системы (например ext3) и следущие опции:

Device Drivers -> Block devices

[*] RAM disk support
[*] Initial RAM filesystem and RAM disk (initramfs/initrd) support

Также должен присутствовать в виде модуля (или монолитно)

File systems -> Miscellaneous filesystems

[*/M] Compressed ROM file system support (cramfs)

Ссылки:

Печать средствами CUPS в Solaris 10

2007-02-22T15:19:00.000+02:00

Установить CUPS с blastwave.org

pkg-get -i cups

Остановить старые сервисы

svcadm disable application/print/ipp-listener
svcadm disable application/print/server
svcadm disable application/print/rfc1179

Заменить утилиты печати версией от CUPS

mv /usr/bin/lp /usr/bin/lp.solaris
ln -s /opt/csw/bin/lp /usr/bin/lp
mv /usr/bin/lpstat /usr/bin/lpstat.solaris
ln -s /opt/csw/bin/lpstat /usr/bin/lpstat
mv /usr/sbin/lpadmin /usr/sbin/lpadmin.solaris
ln -s /opt/csw/sbin/lpadmin /usr/sbin/ldadmin

Запустить cups-сервис

svcadm enable svc:/application/print/cswcups:default

После успешного запуска cups-службы по адресу http://localhost:631 можно добавить необходимые принтера (потребуется доступ root-пользователя). Сетевой принтер, имеющий свой собственный ip-адрес наверняка будет находиться по адресу socket://ip:9100. PPD-файл для Samsung 2551ML доступен здесь.

Обновление портов в FreeBSD

2007-02-21T15:14:00.000+02:00

Прежде чем что-либо делать с портами в FreeBSD их необходимо обновить:

# cat >> /etc/make.conf
SUP_UPDATE=yes
SUP=/usr/local/bin/cvsup
SUPFLAGS=-g -L 2
SUPHOST=cvsup.uk.FreeBSD.org
SUPFILE=/usr/share/examples/cvsup/standard-supfile
PORTSSUPFILE=/usr/share/examples/cvsup/ports-supfile
DOCSUPFILE=/usr/share/examples/cvsup/doc-supfile
Ctrl + C
# cd /usr/ports
# make update

Найти в портах (/usr/ports) порт portupgrade (/usr/ports/ports-mgmt/portupgrade), установить его

cd /usr/ports/ports-mgmt/portupgrade
make && make install

После этого можно с помощью утилиты portupgrade уже возможно обновлять установленные порты (ключ -R говорит о том, что нужно обновить не только порт, но и все его зависимости)

portupgrade -R имя_порта

Чтобы узнать список портов, нуждающихся в обновлении, существует команда

pkg_version -v

Для наведения порядка (удаление неиспользуемых портов, дубликатов версий) в реестре установленных портов (/var/db/pkg) можно воспользоваться командой

pkgdb -F

Ссылки:

"Системный администратор" (2007.01)
Очистка портов во FreeBSD
portupgrade - `обновлялка` установленных портов

Evince pdf-viewer for Solaris

2007-02-09T15:20:00.000+02:00

По непонятным причинам GNOME Pdf Viewer при просмотре документов, содержащих национальные символы (проверялось с русскими и литовскими документами), вместо таких символов выводит либо квадратики, либо ничего не выводит. Попробовав добавить в систему ttf-шрифты, я понял, что это не меняет его поведения. Тогда попробовал найти замену и посмотреть, как будет себя вести другой pdf-reader.

На сайте Blastwave.org есть собрана достаточно хорошая база пакетов для Solaris 10, а в качестве замены gpdf - там лежит Evince. На момент написания этих строк версия данной программы - 0.6.1,REV=2006.11.28.

Установка проще некуда, если уже имеется утилита pkg-get (на сайте Blastwave.org описан процесс ее установки):

/opt/csw/bin/pkg-get -i evince

После этого необходимо "научить" GNOME использовать только что установленную апликацию. Чтобы добавить пункт "Evince PDF Document Viewer" в стартовое меню:

# cd /usr/share/applications
# cat > evince.desktop
[Desktop Entry]
Encoding=UTF-8
Name=Evince PDF Document Viewer
Exec=/opt/csw/bin/evince
Icon=/opt/csw/share/icons/hicolor/48x48/apps/evince.png
Terminal=false
Type=Application
Categories=GNOME;Application;Graphics;VectorGraphics;Viewer;
StartupNotify=true
Ctrl + C

Чтобы у всех пользователей в меню "open with" появился evince, необходимо внести поправки в файл /usr/share/mime-info/gnome-vfs.keys. Если хочется вовсе забыть о существовании gpdf (о чем я советую), необходимо в этом файле удалить всякое упоминание о gpdf. Если всё-таки оставить gpdf, то мне не удалось понять каким образом устроена иерархия между указанными апликациями.

...
short_list_application_ids_for_novice_user_level=acroread,evince,xpdf,gv
short_list_application_ids_for_intermediate_user_level=acroread,evince,xpdf,gv
short_list_application_ids_for_advanced_user_level=acroread,evince,xpdf,gv
...

И создать запить об evince в реестре программ

cd /usr/share/application-registry
cp gpdf.applications evince.applications
vi evince.applications
evince
      command=/opt/csw/bin/evince
      name=PDF Viewer
      can_open_multiple_files=true
      startup_notify=true
      expects_uris=false
      requires_terminal=false
      mime_types=application/pdf

После этого достаточно перелогиниться и изменения вступят в силу.

Evince прекрасно отображает все национальные симолы и сам по себе более приятен в работе.

Ссылки:

GNOME 2.6 System Administration Guide

Утилита keytool для управления JAVA-хранилищами сертификатов

2007-02-07T15:52:00.000+02:00

Keytool - утилита для управления java-хранилищами сертификатов. Данные хранилища (файлы с расширением jks - "java key storage") используются java-апликациями и, как пример, сервером приложений Tomcat. Поэтому, если необходимо настроить использование SSL-соединений в Tomcat, keytool будет использоваться для подготовки необходимого хранилища сертификатов.

Сертификаты в хранилище имеют псевдонимы (alias), благодаря которым ими удобно оперировать. Хранилице может быть защищено паролем, кроме того возможно установить дополнительный пароль на использование любого сертификата из хранилища.

Создание (генерация) пары ключей (приватного и публичного)

keytool -genkey -alias my_a -keystore server.jks

Просмотреть содержимое хранилища можно командой

keytool -list -v -keystore server.jks

Добавить сертификаты центров сертификации (CA), входящих в цепочку

keytool -import -trustcacerts -alias ca1 -file ca1.crt -keystore server.jks
keytool -import -trustcacerts -alias ca2 -file ca2.crt -keystore server.jks

Удалить из хранилища объект (сертификат) с псевдонимом ca2

keytool -delete -alias ca2 -keystore server.jks

Сгенерировать csr-запрос на сертификат

keytool -certreq -alias my_a -keystore server.jks

Если истек срок действия сертификата, необходимо сгенерировать новый csr-запрос. Отправить его на обработку в CA. Когда будет получен новый сертификат, обновить истекший сертификат новым

keytool -import -alias my_a -file my_a.crt -keystore server.jks

Ссылки:

keytool - Key and Certificate Management Tool

Full Firewall Control для Smoothwall Express 2.0

2007-02-05T15:36:00.000+02:00

Full Firewall Control - расширение к Smoothwall Express добавляющее web-интерфейс для управления правилами фильтрации. На данный момент самая последняя версия данного расширения - 1.2.1.

Последняя версия доступна на SourceForge, там же лежит README, отвечающий на разные вопросы в том числе и установки. Отдельно существует тема в Smoothwall-форуме.

Если необходимо на внешнем (RED) интерфейсе поднять несколько ip-адресов (алиасов), в файл /etc/rc.d/rc.firewall.up, в конец, добавить описания алиасов по примеру:

ifconfig eth1:106 212.48.64.6 broadcast 212.48.64.255 netmask 255.255.255.0
ifconfig eth1:105 212.48.64.5 broadcast 212.48.64.255 netmask 255.255.255.0

iptables -t nat -I POSTROUTING -o $RED_DEV -s 192.168.1.106 -j SNAT --to-source 212.48.64.6
iptables -t nat -I POSTROUTING -o $RED_DEV -s 192.168.1.105 -j SNAT --to-source 212.48.64.5

Последние две строчки необходимы для построутинга.

После этого с помощью, например, scp загрузить дистрибутив Full Firewall Control на Ваш smoothwall-роутер и выполнить установку

tar zxvf ./Full-Firewall-Control-1.x.x.tgz -C /
sh /tmp/install.sh

После перезагрузки роутера в web-интерфейсе в меня networking появится меню firewall control.

Bacula - система резервного копирования и восстановления

2007-02-02T15:36:00.001+02:00

Перед началом установки сервисов необходимо ознакомиться со структурой и функционированием составных частей системы Bacula. В этом может помочь небольшая статья [1] и исчерпывающая документация (более 700 стр.), доступная на официальном сайте. Установка сервисов - это всего лишь начало, впереди стоят более важные задачи по грамотной конфигурации сервисов и тестированию процессов резервирования и восстановления.

В приведенном описании в качестве Director и Storage сервисов используется FreeBSD 5.4, в качестве клиента (File Daemon) опробованы следующие системы: Debian 3.1 (Bacula 1.36.2), 4.0 (Bacula 1.38.11), FreeBSD 5.4 (Bacula 2.0.1), Slackware 10.1 (Bacula 2.0.2). В качестве рабочей консоли использовался Windows XP SP2 (Bacula 2.0.1).

Установка Director и Storage сервисов

1. Установка производится из портов

# cd /usr/ports/sysutils/bacula-server
# make
[X] MYSQL       Use MySQL database instead of SqLite
[X] NLS         Native Language Support via gettext utilities
[X] OPENSSL     Enable OpenSSL for encrypted communication
...
# make install

2. Для работы Bacula Director необходима база данных для накопления и оперирования всевозможными данными о собранных резервных копиях. Такая база называется Каталог (Catalog). Таких каталогов может быть несколько, в зависимости от потребностей. Перед запуском, необходимо подготовить хотя бы один Каталог:

mysql -u root -ppassword
CREATE DATABASE `bacula_db` DEFAULT CHARACTER SET utf8 COLLATE utf8_unicode_ci;
GRANT USAGE ON *.* TO 'baculauser'@'localhost' IDENTIFIED BY 'baculauser_password';
GRANT ALL PRIVILEGES ON `bacula_db`.* TO 'baculauser'@'localhost';

Для заполнения подготовленной базы необходимыми таблицами есть скрипт /usr/local/share/bacula/make_mysql_tables. Единственное, в нем по умолчанию используется база данных с именем bacula. В данном примере используется имя bacula_db, поэтому перед запуском скрипт необходимо внести соответствующую поправку.

# /usr/local/share/bacula/make_mysql_tables -u baculauser -pbaculauser_password
Creation of Bacula MySQL tables succeeded.

Перед запуском сервисов необходимо создать конфигурационные файлы на основе доступных шаблонов и сконфигурировать их в соответствии с желаемой конфигурацией.

# cd /usr/local/etc
# cp bacula-dir.conf.sample bacula-dir.conf
# cp bacula-sd.conf.sample bacula-sd.conf

Для автоматического запуска Director и Storage сервисов при загрузке сервера в /etc/rc.conf добавить строчки

bacula_dir_enable="YES"
bacula_sd_enable="YES"

Документацию и клиент-сервис (file daemon) можно установить отдельно

# cd /usr/ports/sysutils/bacula-docs
# make && make install
# cd /usr/ports/sysutils/bacula-client
# make && make install

Запуск сервисов

# /usr/local/etc/rc.d/bacula-dir.sh start
# /usr/local/etc/rc.d/bacula-sd.sh start

Установка клиента (File Daemon)

# apt-get install bacula-fd
Reading package lists... Done
Building dependency tree... Done
The following extra packages will be installed:
 bacula-common
Suggested packages:
 bacula-doc bacula-traymonitor
The following NEW packages will be installed
 bacula-common bacula-fd
0 upgraded, 2 newly installed, 0 to remove and 0 not upgraded.
Need to get 528kB of archives.
After unpacking 1167kB of additional disk space will be used.
Do you want to continue [Y/n]? y
Get: 1 http://ftp.at.debian.org etch/main bacula-common 1.38.11-7 [348kB]
Get: 2 http://ftp.at.debian.org etch/main bacula-fd 1.38.11-7 [180kB]
Fetched 528kB in 2s (264kB/s)
Selecting previously deselected package bacula-common.
(Reading database ... 44221 files and directories currently installed.)
Unpacking bacula-common (from .../bacula-common_1.38.11-7_all.deb) ...
Adding user 'bacula'... Ok.
Selecting previously deselected package bacula-fd.
Unpacking bacula-fd (from .../bacula-fd_1.38.11-7_i386.deb) ...
Setting up bacula-common (1.38.11-7) ...

Setting up bacula-fd (1.38.11-7) ...
Starting Bacula File daemon: bacula-fd.

В конфигурационном файле /etc/bacula/hostname-fd.conf поправить описание Director (имя, адрес, пароль), закомментировать второй Director (с опцией Monitor), в описании Messages поправить имя используемого director'а. Перезапустить fd-сервис с новыми параметрами:

# /etc/init.d/bacula-fd restart
Restarting Bacula File daemon: bacula-fd.

Установка клиента из исходников (sources)

# tar zxf bacula-2.0.x.tar.gz
# cd bacula-2.0.x
./configure --with-mysql --with-openssl --enable-client-only --localstatedir=/var --sysconfdir=/etc \
--with-job-email=roma@mycompany.com --with-dump-email=roma@mycompany.com
# make
# make install

В конфигурационном файле /etc/bacula/bacula-fd.conf поправить описание Director (имя, адрес, пароль), закомментировать второй Director (с опцией Monitor), в описании Messages поправить имя используемого director'а. Скрипт управления bacula-сервисами - /etc/bacula/bacula, его необходимо переложить, в соответствии с Вашей системой, в папку с другими скриптами и проделать необходимые манипуляции для автоматического запуска fd-сервиса в момент загрузки системы. Запустить fd-сервис с новыми параметрами:

# /etc/bacula/bacula start
Starting the Bacula File daemon

Ссылки:

Инструмент совместной работы NetOffice

2007-01-23T16:20:00.000+02:00

Следуя инструкции docs/install.txt:

1. Распаковать архив netoffice в отдельную директорию, например /var/www/netoffice

2. Создать из шаблона файл конфигурации:

cd /var/www/netoffice/includes
cp settings_blank.php settings.php

3. Расставить необходимые права доступа для пользователя от имени которого работает web-сервер (например www)

chown -R www:www /var/www/netoffice
cd /var/www/netoffice
chmod 664 includes/settings.php
chmod 775 files
chmod 775 logos_clients

4. Подручными средствами (например, phpmyadmin) создать MySQL-базу и пользователя для работы с ней.

5. Продолжить установку в броузере по адресу http://localhost/netoffice/installation/setup.php

6. После успешной установки не забыть удалить директорию /var/www/netoffice/installation. Рабочая система совместной работы находится по адресу http://localhost/netoffice.

Кое-что необходимо доделать вручную:

7. Для того, чтобы иметь возможность использовать русский, литовские и другие языки в работе с проектами, необходимо указать кодировку UTF-8 в настройках административного доступа. Залогинившись администратором:

Administration ->Edit settings ->Advanced -> MySQL client charset : utf8

8. По непонятной причине английский интерфейс по умолчанию не использует UTF-8 кодировку, поэтому, например, извещения по e-mail с использованием русских символов начинают хромать. Но и это поправимо - в файле /var/www/netoffice/languages/lang_en.php поправить значение:

$setCharset = 'UTF-8';

9. Для использования уже существующей LDAP-базы пользователей, мне не подходит предлагаемая реализация данной функции, поэтому я переписал ее под свои нужды.

# cd /var/www/netoffice/includes
# diff library_orig.php library.php
535,543c535,544
<         $sr = ldap_search($conn, $configLDAP['searchroot'], 'uid=' . $formUsername); <         $info = ldap_get_entries($conn, $sr); <         $user_dn = $info[0]['dn']; < < bind =" ldap_bind($conn,">       $ldap_dn = "uid=".$formUsername.", ".$configLDAP['searchroot'];
>       $ldap_response = @ldap_bind($conn, $ldap_dn, $formPassword);
>
>       if ($ldap_response) {
>           return(true);
>           }
>       else {
>           return(false);
>           }
>

В файле конфигурации /var/www/netoffice/includes/settings.php необходимо установить значения:

$useLDAP = 'true';
$configLDAP['ldapserver'] = 'ldapserver';
$configLDAP['searchroot'] = 'ou=People, o=My company, c=ru';

Теперь администратору достаточно добавить новых пользователей в системе NetOffice, username'ы которых будут совпадать с uid пользователей в указанной LDAP-директории, и можно начинать совместную работу над проектами!

Ссылки:

NetOffice - free web based project-management environment

Security Standarts

2007-01-23T15:37:00.000+02:00

Данный список включает в себя принятые стандарты по информационной безопасности, которые могут пригодиться при планировании и реализации информационной безопасности на предприятии.

ISO:

ISO/IEC 15408-1:2005 Information technology — Security techniques — Evaluation criteria for IT security - Part 1: Introduction and general model [1,2Mb]
ISO/IEC 15408-2:2005 Information technology — Security techniques — Evaluation criteria for IT security - Part 2: Security functional requirements [1,3Mb]
ISO/IEC 15408-3:2005 Information technology — Security techniques — Evaluation criteria for IT security - Part 3: Security assurance requirements [0,8Mb]
ISO/IEC 17799:2005 Information technology - Security techniques - Code of practice for information security management [2,5Mb]
ISO/IEC 27001:2005 Information technology - Security techniques - Information security management systems - Fundamentals and vocabulary [0,5Mb]

Российские:

ГОСТ Р ИСО/МЭК 15408-1-2002 Критерии оценки безопасности информационных технологий - Часть 1: Введение и общая модель (перевод 15408-1) [1,1Mb]
ГОСТ Р ИСО/МЭК 15408-2-2002 Критерии оценки безопасности информационных технологий - Часть 2: Функциональные требования безопасности (перевод 15408-2) [2,1Mb]
ГОСТ Р ИСО/МЭК 15408-3-2002 Критерии оценки безопасности информационных технологий - Часть 3: Требования доверия к безопасности (перевод 15408-3) [1,9Mb]
ГОСТ Р ИСО/МЭК 17799-2005 Практические правила управления информационной безопасностью (перевод 17799:2005) [0,55Mb]

Обзор groupware/collaboration систем

2007-01-19T16:21:00.000+02:00

Потратив немало времени на поиск и ознакомление с различными collaboration-средствами, у меня сформировался список обязательных требований, которым должно удовлетворять groupware-решение:

хранение и оперирование данными в кодировке UTF-8
удобность и простота в использовании (usability)
наличие календарей (личного и публичных)
наличие графиков динамики действующих
проект должен активно развиваться, чтобы обнаруженные ошибки исправлялись и появлялись новые возможности
оповещение по e-mail в процессе работы с проектом

В приведенной ниже таблице упомянуты только те продукты, которые я самолично опробовал. Все продукты open source.

Продукт	Версия	Платформа	Usability	UTF-8	Динамика развития проекта	Наличие диаграмм	Наличие календарей	Примечания
moregroupware	0.7.4	Apache/PHP/MySQL	3	-	низкая	+	-
phprojekt	5.1	Apache/PHP/MySQL	2	-	активно развивается	+	+
phpgroupware	0.9.16	Apache/PHP/MySQL	3	-	средняя	+	+
conflux lite	1.3	Apache/Python/PgSQL	5	+	средняя	+	+	слишком мало функций в бесплатной версии
activeCollab	0.7.1	Apache/PHP/MySQL	5	+	проект достаточно молодой	-	-
egroupware	1.2-105	Apache/PHP/MySQL	4	+	активно развивается	+	+	неудобен в работе
hipergate	2.1	Tomcat/Java	2	+	низкая	-	-
NetOffice	2.6.0b2	Apache/PHP/MySQL	5	+	активно развивается	+	+	мой выбор!

Еще можно кратко упоминуть о:

Achievo - нет поддержки UTF-8, ужасный интерфейс
Covide - никакого usability
Double Choco Latte - нет поддержки UTF-8
Ivata - совсем сырой
Lucane - Java-приложение, каждое действие открывает новое окно. Крайне неудобно.
Open-Xchange - монстр. Даже имея полное описание установки, мне не хочется садиться за него (требует Tomcat, PostgreSQL, LDAP).
SugarCRM - слишком много всего лишнего. Наличие коммерческой версии наводит на мысль, что чего-то будет не хватать в свободной версии.
vtiger - слишком много всего лишнего.

WebClient для SVN

2007-01-18T16:22:00.000+02:00

Отличная реализация web-клиента для svn - Polarion svnwebclient.
Клиент написан на Java, поэтому для своей работы требует наличия соответствующей платформы: J2RE/J2SDK 1.4 (и выше) + Tomcat 4 (и выше). Это именно клиент - работает через WebDAV-протокол, поэтому для доступа к репозитарию необходимо предоставить аутентификационные данные (логин, пароль).

Особенности:

возможность добавлять директории и новые файлы (upload) в репозитарий прямо из броузера
наглядное сравнение двух ревизий одного файла (diff)
возможность забирать (download) директории из репозитария в виде zip-архива
возможность задавать требуемый репозитарий

Инсталляция очень проста - достаточно взять текущий shapshot и развернуть war-файл с помощью Tomcat (положить в директорию webapps). Файл WEB-INF/web.xml доступен для изменений - например, чтобы иметь возможность задавать требуемый репозитарий, необходимо изменить параметр RepositoryUrl на ParentRepositoryDirectory и задать соответствующий корень.

Ссылки:

WebClient for SVN

StartTLS - безопасный LDAP

2007-01-15T15:53:00.000+02:00

TLS 1.0 (Transport Layer Security) - это протокол безопасной передачи данных, основанный на SSL 3.0 (Secure Socket Layer), отличается от него незначительно, поэтому термины SSL и TLS можно использовать как синонимы.

StartTLS - это механизм установления безопасного соединения на основе TLS-протокола. Данный механизм использует уже существующее соединение - для LDAP-соединения это 389-й порт (ldap://). Иногда его называют TLS upgrade по той же самой причине - испольузется уже установленное TCP-соединение.

LDAPS (ldaps://) - это тоже безопасное соединение, но оно инициируется на альтернативном порту (636).

После того как инициализация безопасного соединения прошла успешна, разницы между StartTLS и LDAPS нет.

Для того, чтобы LDAP-сервер умел формировать безопасное соединение, необходимо иметь SSL-сертификат для используемого сервера, подписанный Центром Сертификации (CA), сертификат которого в свою очередь находится в root-списке (ca-bundle.crt). В основной файл конфигурации как минимум должны быть добавлены следущие строки:

TLSCertificateFile /etc/ssl/public/server.crt  # сертификат ldap-сервера
TLSCertificateKeyFile /etc/ssl/private/server.key # ключ ldap-сервера
TLSCACertificateFile /etc/ssl/public/ca-bundle.crt # root-список

После перезапуска ldap-сервиса, StartTLS механизм можно проверить с помощью команды:

# ldapsearch -x -b "c=ru" -h slave_ldap.example.com -D "cn=admin,c=ru" -w password -d 1 -ZZ
...
TLS trace: SSL_connect:before/connect initialization
TLS trace: SSL_connect:SSLv2/v3 write client hello A
TLS trace: SSL_connect:SSLv3 read server hello A
TLS certificate verification: depth: 3, err: 0, subject: /O=EuroPKI/CN=EuroPKI Root Certification Authority, issuer: /O=EuroPKI/CN=EuroPKI Root Certification Authority
TLS certificate verification: depth: 2, err: 0, subject: /C=LT/O=EuroPKI/CN=EuroPKI Lithuanian Certification Authority, issuer: /O=EuroPKI/CN=EuroPKI Root Certification Authority
TLS certificate verification: depth: 1, err: 0, subject: /C=LT/O=Skaitmeninio Sertifikavimo Centras/CN=SSC Class 2 CA/serialNumber=3, issuer: /C=LT/O=EuroPKI/CN=EuroPKI Lithuanian Certification Authority
TLS certificate verification: depth: 0, err: 0, subject: /C=LT/O=UAB Skaitmeninio sertifikavimo centras/OU=Duomen\xC5\xB3 centras/CN=slave_ldap.example.com/serialNumber=33, issuer: /C=LT/O=Skaitmeninio Sertifikavimo Centras/CN=SSC Class 2 CA/serialNumber=3
TLS trace: SSL_connect:SSLv3 read server certificate A
TLS trace: SSL_connect:SSLv3 read server done A
TLS trace: SSL_connect:SSLv3 write client key exchange A
TLS trace: SSL_connect:SSLv3 write change cipher spec A
TLS trace: SSL_connect:SSLv3 write finished A
TLS trace: SSL_connect:SSLv3 flush data
TLS trace: SSL_connect:SSLv3 read finished A
...

Для безопасной (с использованием TLS) репликации данных на другой сервер предпочтительно использовать механизм StartTLS, без использования дополнительного ldaps-порта (636). Всё, что нужно поправить в этом случае в конфигурационном файле /etc/slapd.conf - добавить строку starttls=yes в настройку необходимой реплики (replica). Например:

...
replica         uri=ldap://slave_ldap.example.com
               starttls=critical
               binddn="cn=admin,c=lt"
               bindmethod=simple
               credentials=password
...

Параметр starttls может принимать значение "yes", в этом случае, если в момент инициализации TLS-соединения возникли ошибки, соединение будет установлено без использования TLS. Рекомендуется - critical.

Ссылки:

Как затереть Linux-загрузчик на системе с установленной ОС Windows

2007-01-15T14:51:00.000+02:00

С Windows 9x всё ясно и понятно - достаточно загрузиться в ДОС с загрузочной дискеты и попросить:

fdisk /mbr

С Windows XP как оказалось тоже всё элементарно:

загрузиться с установочного (загрузочного) компакта
выбрать Repair (r)
указать пароль администратора
командой fixmbr поправить загрузочную область диска

OpenLDAP: установка, конфигурация репликации

2007-01-12T16:14:00.000+02:00

Данное описание включает в себя описание установки и последующей настройки репликации LDAP-серверов OpenLDAP 2.2.23 на базе Debian Sarge 3.1.

Установка и первоначальная конфигурация

1. Установить OpenLDAP и необходимые утилиты:

# apt-get install slapd ldap-utils
Reading Package Lists... Done
Building Dependency Tree... Done
The following extra packages will be installed:
libiodbc2 libperl5.8 libslp1
Suggested packages:
slpd openslp-doc ldap-utils
Recommended packages:
db4.2-util
The following NEW packages will be installed:
libiodbc2 libperl5.8 libslp1 slapd
0 upgraded, 4 newly installed, 0 to remove and 0 not upgraded.
Need to get 1509kB of archives.
After unpacking 3998kB of additional disk space will be used.
Do you want to continue? [Y/n] y

Configuring slapd
The DNS domain name is used to construct the base DN of your LDAP directory.
Entering foo.bar.org will give you the base DN dc=foo, dc=bar, dc=org
DNS domain name:
example.com

Whatever you enter here will be stored as the name of your organization in the base DN of your LDAP directory.
Name of your organization:
My Company

Please enter the password for the admin entry in your LDAP directory
Admin password:
password
Confirm password:
password

The slapd daemon now disables the old LDAPv2 protocol by default.
Programs and users are generally expected to be upgraded to LDAPv3.
If you have old programs which have not been moved to use LDAPv3 and
you still need LDAPv2 support then select this option and 'allow bind_v2'
will be added to your slapd.conf to tell slapd to accept LDAPv2 connections.
Allow LDAPv2 protocol?
No

Setting up slapd (2.2.23-8) ...
Creating initial slapd configuration... done.
Creating initial LDAP directory... done.
Starting OpenLDAP: (db4.2_recover not found), slapd.

Дополнительную информацию об установленном пакете можно почерпнуть из документа /usr/share/doc/slapd/README.Debian

2. Теперь необходимо сконфигурировать LDAP-директорию на основании своих требований. Первым делом следует остановить сервис:

# /etc/init.d/slapd stop
Stopping OpenLDAP: slapd.

Если не устраивает структура директории, построенная по принципу доменных имен (dc=example, dc=com) и хочется использовать географическую структуру (o=My Company, c=LT), прежде необходимо удалить текущую базу LDAP. БД находится в /var/lib/ldap, файл DB_CONFIG является просто конфигурационным файлом и его пока не следует трогать.

Если структура по принципу доменных имен устраивает, то можно сразу "перенашнуть" на шаг №6.

3. Теперь следует поправить основной конфигурационный файл /etc/ldap/slapd.conf. Необходимо изменить suffix (например, на c=lt) и dn администратора в описании доступа (cn=admin,c=lt).

4. Перед запуском LDAP-директории, чтобы избежать проблемы "яйца и курицы", необходимо "наполнить" её минимальным содержанием - сформировать корень и добавить информацию о первом пользователе (cn=admin,lt). Для этого необходимо сформировать LDIF-файл, описывающий данные корень и первого пользователя. Пример содержания:

# cat ldap.ldif
# Entry 1: c=LT
dn: c=LT
c: LT
objectClass: country
objectClass: top

# Entry 2: cn=admin,c=LT
dn: cn=admin,c=lt
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
userPassword: {crypt}IvuNBMeSU9OzA

Для генерации crypt-хэша будущего пароля администратора можно воспользоваться утилитой makepassword:

# echo "password" | makepasswd --clearfrom=- --crypt
password IvuNBMeSU9OzA

С помощью утилиты slapadd наполняем первоначальным содержимым директорию:

# slapadd -l ldap.ldif

5. Запустить ldap-сервис и проверить работоспособность заново сконфигурированной директории

# /etc/init.d/slapd start
Starting OpenLDAP: (db4.2_recover not found),  slapd.
# ldapsearch -x -b "c=lt" -D "cn=admin,c=LT" -w password -h localhost
# extended LDIF
#
# LDAPv3
# base  with scope sub
# filter: (objectclass=*)
# requesting: ALL
#

# LT
dn: c=LT
c: LT
objectClass: country
objectClass: top

# admin, lt
dn: cn=admin,c=lt
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
userPassword:: e2NyeXB0fUl2dU5CTWVTVTlPekE=

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2

# ldapsearch -x -b "c=lt" -h localhost
# extended LDIF
#
# LDAPv3
# base  with scope sub
# filter: (objectclass=*)
# requesting: ALL
#

# LT
dn: c=LT
c: LT
objectClass: country
objectClass: top

# admin, lt
dn: cn=admin,c=lt
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2

Из вывода видно, что в первом случае при аутентификации использовался пользователь cn=admin,c=lt, имеющий доступ к паролям, во втором - анонимный пользователь, имеющий ограниченный круг прав.

6. На данном этапе можно наполнить содержимым только что созданную директорию и начать с ней полноценную работу. Для работы с содержимым ldap-директории существует масса различных программ-клиентов, приведу только те, что использую сам:

phpLDAPadmin
JXplorer
LDAP Browser (только для просмотра содержимого)

Репликация

Для простоты реализации репликации рассматривается 2 ldap-сервера, являющиеся зеркальными копиями друг друга, сконфигурированные по вышеприведенному описанию.

1. Остановить на обоих серверах slapd сервис.

2. На master-сервере в /etc/ldap/slapd.conf добавить описание реплики (slave-сервера):

replica  host=slave_ldap.example.com
  "binddn=cn=admin,c=lt"
  bindmethod=simple
  credentials=password
replogfile      /var/lib/ldap/replog

host - адрес slave-сервера
binddn - пользователь, который будет использоваться master-сервером, при передачи обновленных данных на slave-сервер. Он должен иметь соответствующий доступ на slave-сервере.
bindmethod - метод аутентификации. simple - всё передается в чистом виде, очень ненадежно с точки зрения информационной безопасности, но для тестовых целей или изолированной сети вполне подходит.
credentials - пароль пользователя binddn

3. На slave-сервере в /etc/ldap/slapd.conf добавить строки:

updatedn        "cn=admin,c=lt"
updateref       "ldap://master_ldap.example.com"

updatedn - пользователь, которому разрешено проводить репликацию
updateref - ссылка на сервер, которая передается клиенту, если клиент пытается внести изменения на slave-сервере

4. Запустить slapd-сервисы на обоих серверах и проверить работоспособность репликации. В случае если изменения происходят на master-сервере, они почти моментально будут переданы на slave-сервер. Если же изменения клиент старается внести непосредственног на slave-сервере, ему будет возвращен адрес master-сервера:

# ldapmodify -f ldap.ldif -x -h slave_ldap.example.com -D "uid=user3,ou=people,c=lt" -w password
modifying entry "uid=user3,ou=people,c=lt"
ldap_modify: Referral (10)
        referrals:
                ldap://master_ldap.example.com/uid=user3,ou=People,c=lt

Ссылки:

Как получить crypt/md5-хэши паролей

2007-01-12T15:09:00.000+02:00

CRYPT:

$ echo "SECRET" | makepasswd --clearfrom=- --crypt
$ perl -e "printf \"%s\n\", crypt ("SECRET", join ('', ('.', '/', 0..9, 'A'.. 'Z', 'a'..'z')[rand (64), rand (64)]))"

MD5:

$ echo "SECRET" | makepasswd --clearfrom=- --crypt-md5

Установка Cacti 0.8.6i на Debian Etch 4.0

2007-01-03T16:15:00.000+02:00

Установить с помощью менеджера пакетов apt:

apt-get install cacti

Перед установкой будет запущена программа автоматической конфигурации cacti. Если mysql-сервис находится не на этом же сервере, то от автоматической конфигурации следует отказаться.

Configure database for cacti with dbconfig-common? No

А в момент установки, будет выдана ошибка о невозможности присоединиться к mysql-серверу

Error installing database for cacti.  Retry? Ignore

Вся необходимая документация находиться в /usr/share/doc/cacti.

Создать вручную рабочую базу данных cacti_db

mysql -h host -u root -p
CREATE DATABASE `cacti_db` DEFAULT CHARACTER SET utf8 COLLATE utf8_unicode_ci;
GRANT USAGE ON *.* TO 'cacti_user'@'host' IDENTIFIED BY 'password';
GRANT ALL PRIVILEGES ON `cacti_db`.* TO 'cacti_user'@'host';
exit
zcat /usr/share/doc/cacti/cacti.sql.gz | mysql -u cacti_user -h host -p cacti_db

В /etc/cacti/debian.php поправить значения для доступа к базе данных

Продолжить установку в броузере http://server/cacti/, все предложенные значения принять по умолчанию и, если всё успешно, войти под пользователем admin с паролем admin. При первом входе, cacti попросит сменить пароль администратора (admin).

Дополнение:

Если cacti присматривает за большим числом серверов, имеет смысл поменять скрипт, который занимается сбором данных c cmd.php на cactid, который намного быстрее работает в многопоточном режиме.

apt-get install cacti-cactid

Поправить значения для подключения в файле /etc/cacti/cactid.conf

Зайти в cacti под администратором и установиьт значение Poller Type:
Settings->Poller->Poller Type->cactid

Ссылки:

Cacti: The Complete RRDTool-based Graphing Solution

Sender Policy Framework (SPF)

2007-01-02T15:49:00.000+02:00

Sender Policy Framework - очень интересное решение для борьбы с подделкой адреса отправителя. На данный момент все общедоступные сервисы Microsoft (hotmail.com, msn.com) используют его, поэтому, если Ваша система не настроена необходимым образом, велика вероятность блокировки Вашего почтового трафика серверами Microsoft.
Пример блокировки:

SMTP error from remote mailer after MAIL FROM: SIZE=1566:
   host mx1.hotmail.com [65.54.245.8]: 550 Command rejected for policy reasons. For troubleshooting information, go to http://postmaster.msn.com

Схема функционирования данного решения приведена в статье "Аутентификация отправителей e-mail и борьба со спамом". Всё, что необходимо сделать на своей стороне - добавить TXT-запись определенного формата в DNS для каждого Вашего почтового домена. В приведенном списке ссылок есть 2 ссылки на wizard'ы (одна от Microsoft, другая от OpenSPF), которые позволяют сформировать необходимую запись, опираясь на заданные Вами требования.

Так как "Sender ID" до октября 2006 не был свободно распространяемым решением, в открытых MTA (Exim, Postfix) нет поддержки данного решения. Хочется надеяться, что это временно.

Примеры spf-записей в DNS:
Все сервера, указанные в качестве принимающих (mx-записи), могут отправлять почту от имени пользователей указанного домена
v=spf1 mx ~all
Почту от имени пользователей указанного домена могут отправлять 2 сервера (с ip-адресами 212.122.82.203 и 212.122.82.207):
v=spf1 ip4:212.122.82.203 ip4:212.122.82.207 ~all
Почту от имени пользователей указанного домена могут отправлять все сервера из данного домена, которые имеют в DNS ptr-записи:
v=spf1 ptr ~all
Здесь приведено полное описание всевозможного синтаксиса spf-записей.

Ссылки:

SAMP (Solaris, Apache 2, MySQL 4, and PHP 5) Setup for Solaris 10

2006-12-15T15:21:00.000+02:00

Apache 2.0.55

В дистрибутиве Solaris 10 (Entire или Developer) уже установлены Apache 1 и Apache 2, остается только сконфигурировать и запустить предпочтительный вариант. Сервисом Apache 2 в отличие от Apache 1 можно управлять из SMF, поэтому рассмотренный пример касается настройки именно Apache 2.

1. Скопировать конфигурационный файл с примерного файла конфигурации

# cp /etc/apache2/httpd.conf-example /etc/apache2/httpd.conf

2. Поправить, что необходимо в файле конфигурации руками

# vi /etc/apache2/httpd.conf

3. Включить сервис Apache 2 с помощью SMF

# svcadm enable apache2
# svcs -p apache2
STATE          STIME    FMRI
online         11:19:59 svc:/network/http:apache2
              11:19:59     2927 httpd
              11:20:00     2928 httpd
              11:20:00     2929 httpd
              11:20:00     2930 httpd
              11:20:00     2931 httpd
              11:20:00     2932 httpd

MySQL 4.1.22

1. В дистрибутиве Solaris 10 (Entire или Developer) уже установлены все необходимые пакеты для развертывания MySQL-сервиса версии 4.0.24. Версия достаточно устарела, поэтому рекомендуется ее удалить.

pkgrm SUNWmysqlt SUNWmysqlr SUNWmysqlr

2. Для установки новой версии MySQL необходимо воспользоваться системой пакетов Blastwave для Solaris OS. О том, как начать пользоваться этой системой можно прочесть на соответствующем HowTo.

На данный момент самая последняя версия MySQL 4.1.22 сборка 2006.11.28. В процессе установки будут установлены пакеты, для устранения зависимостей (berkleydb, perl, openssl и т.д.). Также будут заданы вопросы касающиеся конфликтных ситуаций и использования прав суперпользователя (root) - инсталлятор натыкается на уже существующие папки и видит в этом возможный конфликт, а root необходим для создания новых пользователей и других системных операций. На самом деле ничего серьезного в эти сообщениях нет.

# /opt/csw/bin/pkg-get -i mysql4 mysql4client mysql4devel mysql4rt
# /opt/csw/bin/pkg-get -i mysql4test

3. Скопировать необходимый файл конфигурации

# cd /opt/csw/mysql4/share/mysql/
# cp my-small.cnf /opt/csw/mysql4/my.cnf

4. Поправить, что необходимо в файле конфигурации руками

# vi /opt/csw/mysql4/my.cnf

5. Инициализировать MySQL БД и поправить необходимые права доступа к директории /opt/csw/mysql4/var

# cd /opt/csw/mysql4/
# ./bin/mysql_install_db
Installing all prepared tables
Fill help tables
...
# chown -R mysql:mysql ./var

6. Включить MySQL-сервис с помощью SMF

# svcs -a | grep mysql
disabled       12:22:58 svc:/network/cswmysql4:default
# svcadm enable svc:/network/cswmysql4:default
# svcs -a | grep mysql
online         12:26:22 svc:/network/cswmysql4:default

7. Задать пароли для суперпользователя

# /opt/csw/mysql4/bin/mysqladmin -u root password 'your_password'
# /opt/csw/mysql4/bin/mysqladmin -u root -h your_hostname password 'your_password'

PHP 5.2.0

1. Установить системную переменную PATH

# export PATH=/opt/csw/bin:/usr/sfw/bin:/usr/sbin:/usr/bin:/usr/openwin/bin:/usr/dt/bin:/usr/ccs/bin

2. Для сборки PHP понадобятся утилиты из проекта GNU.

# pkg-get -i autoconf
...
# which autoconf && autoconf --version | head -2
/opt/csw/bin/autoconf
autoconf (GNU Autoconf) 2.59
Written by David J. MacKenzie and Akim Demaille.

# pkg-get -i automake
...
# which automake && automake --version | head -2
/opt/csw/bin/automake
automake (GNU automake) 1.9.6
Written by Tom Tromey .

# pkg-get -i gsed
...
# which gsed && gsed --version | head -2
/opt/csw/bin/gsed
GNU sed version 4.1.4
Copyright (C) 2003 Free Software Foundation, Inc.

# which gcc && gcc --version | head -2
/usr/sfw/bin/gcc
gcc (GCC) 3.4.3 (csl-sol210-3_4-branch+sol_rpath)
Copyright (C) 2004 Free Software Foundation, Inc.
# which gmake && gmake --version | head -2
/usr/sfw/bin/gmake
GNU Make 3.80
Copyright (C) 2002  Free Software Foundation, Inc.

# which flex && flex --version | head -2
/usr/sfw/bin/flex
flex version 2.5.4

# which bison && bison --version | head -2
/usr/sfw/bin/bison
bison (GNU Bison) 1.875
Written by Robert Corbett and Richard Stallman.

# which gm4 && gm4 --version | head -2
/opt/csw/bin/gm4
GNU M4 1.4.5
Written by Rene' Seindal.

# which perl && perl -v | head -2
/opt/csw/bin/perl

This is perl, v5.8.8 built for i86pc-solaris-thread-multi

# which gunzip && gunzip -V | head -2
/usr/bin/gunzip
gunzip 1.3.3-patch.1
(2002-03-08)

# which gtar && gtar --version | head -2
/usr/sfw/bin/gtar
tar (GNU tar) 1.14
Copyright (C) 2004 Free Software Foundation, Inc.

3. Собрать и установиьт библиотеку libxml

# mkdir /var/spool/src
# chmod 777 /var/spool/src
# cd 777 /var/spool/src
# wget ftp://fr.rpmfind.net/pub/libxml/libxml2-2.6.27.tar.gz
...
# gunzip -cd libxml2-2.6.27.tar.gz | gtar xvpf -
# cd libxml2-2.6.27
# ./configure
...
# gmake
...
# gmake install
...

4. Собрать из полученных исходников PHP 5.2.0

# cd /var/spool/src
# wget http://lt.php.net/get/php-5.2.0.tar.gz/from/this/mirror
# gunzip -cd php-5.2.0.tar.gz | gtar xvpf -
# cd php-5.2.0
# ./configure --with-apxs2=/usr/apache2/bin/apxs --enable-dbase \
--with-libxml-dir=/usr/local --with-config-file-path=/etc/apache2 \
--with-mysql=shared,/opt/csw/mysql4 \
--with-mysqli=shared,/opt/csw/mysql4/bin/mysql_config \
--with-xpm-dir=/usr --with-gd --with-tiff-dir=/usr --with-bz2=/usr/lib \
--with-jpeg-dir=/usr --with-png-dir=/usr --with-zlib --enable-mbstring \
--enable-calendar--enable-bcmath --enable-ftp --enable-exif
# gmake
...
# gmake install
...

5. Скопировать конфигурационный файл с примерного файла конфигурации

cp php.ini-dist /etc/apache2/php.ini

6. Внести необходимые изменения в конфигурационный файл PHP. Установить переменную extension_dir = /usr/local/lib/php/extensions/no-debug-non-zts-20060613 и добавить mysql-расширение (extension=mysql.so)

# ls -l /usr/local/lib/php/extensions/no-debug-non-zts-20060613
total 1072
-rwxr-xr-x   1 root     root      422864 Dec 15 14:13 mysqli.so
-rwxr-xr-x   1 root     root      102748 Dec 15 14:13 mysql.so
# vi /etc/apache2/php.ini
...
extension_dir = /usr/local/lib/php/extensions/no-debug-non-zts-20060613
extension=mysql.so
...

7. Внести необходимые изменения в конфигурационный файл Apache. Строка "LoadModule php5_module libexec/libphp5.so" уже должна присутствовать.

# vi /etc/apache2/httpd.conf
...
AddType application/x-httpd-php .php
AddType application/x-httpd-php-source .phps
...

8. Перезапустить Apache

svcadm restart svc:/network/http:apache2

9. Проверить работоспособность открыв http://localhost/pi.php

# cd /var/apache2/htdocs
# cat > pi.php

^C

Ссылки:

Как завершить все процессы для конкретного пользователя

2006-12-15T14:59:00.000+02:00

Для Linux/FreeBSD/Solaris:

kill -9 `ps -U username -o pid | grep [0-9] | xargs`

Установка Sun Ray Server Software 3.1 на Solaris 10 (x86)

2006-12-11T15:17:00.000+02:00

1. Распаковать полученный архив с Sun Ray Server Software.

unzip srss_3.1.zip
cd srss_3.1.zip

2. Запустить скрипт установки. Ответить на все возникаемые в ходе вопросы на основе требований к будущей системе. Java находится в каталоге /usr/j2se (по-умолчанию).

./utinstall

3. Перегрузить систему после успешной установки всех пакетов

sync;sync;init 6

4. Сконфигурировать Sun Ray сервис. В приведенном ниже примере используются настройки, идущие по-умолчанию. DHCP сервис не запущен потому, как в сети уже есть действующий DHCP-сервис. Чтобы Saun Ray-терминалы знали, где искать Sun Ray Server, на уже работающем DHCP-сервере необходимо добавить еще одну опцию для выдачи клиентам - X Window System Display Manager Option (49).

cd /opt/SUNWut/sbin
./utadm -A 192.168.1.0
### Configuring /etc/nsswitch.conf
### Configuring Service information for Sun Ray
### Disabling Routing
Selected values for subnetwork "192.168.1.0"
  net mask:           255.255.255.0
  no IP addresses offered
  auth server list:   192.168.1.1
  firmware server:    192.168.1.1
Accept as is? ([Y]/N):
### Configuring firmware version for Sun Ray
### Successfully enabled tftp for firmware downloads
      All the units served by "sun" on the 192.168.1.0
      network interface, running firmware other than version
      "3.1_32,REV=2005.08.24.08.55" will be upgraded at their next power-on.

### Configuring Sun Ray Logging Functions
### Turning on Sun Ray LAN connection

NOTE: utrestart must be run before LAN connections will be allowed

DHCP is not currently running, should I start it? ([Y]/N): n

#### DHCP daemon not started.  You will need to manually start one
using "/etc/init.d/dhcp start".

5. Перезапустить сервис с новыми настройками

# ./utrestart -c
A cold restart has been initiated... messages will be logged to /var/opt/SUNWut/log/messages.

Ссылки:

Solaris 10: "доведение до ума"

2006-12-11T15:16:00.000+02:00

Если в процессе установки Вы выбрали Name Service: None, значит после установки необходимо будет вручную создать файл /etc/resolv.conf со списком используемых DNS-серверов, иначе разрешение dns-имен в ip-адреса будет недоступно. А в файле nsswitch.conf поправить строку:

hosts: files dns

Подключение монитора, не поддерживающего список разрешений и частот, задаваемых X-сервером, может стать причиной НЕзапуска X-сервера в Solaris 10. Я сам долго удивлялся, пока не попробовал другой монитор. Вот что можно найти в /var/log/X.org.log в случае возникновения подобной ошибки:

(EE) Screen(s) found, but none have a usable configuration.

Fatal server error:
no screens found

Please refer to your Operating System Vendor support pages
at http://sunsolve.sun.com/ for support on this crash.
Please also check the log file at "/var/log/Xorg.0.log" for additional information.

XIO:  fatal IO error 146 (Connection refused) on X server ":0.0"
    after 0 requests (0 known processed) with 0 events remaining.

lpsched - Stopping because process dumped core

2006-12-07T15:21:00.000+02:00

Только я разобрался с вводом русского/литовского языков (стал использовать en_US.UTF-8) в Solaris 10, как появилась проблема с печатью.

Картина следующая: имеется сетевой принтер Samsung 2550, отлично работающий с Windows-машинами. С помощью Printer Manager добавляю сетевой принтер (в списке даже есть указанная модель), указываю его "принтером по умолчанию", даю доступ к нему для всех (all). Всё хорошо до тех пор, пока не отправишь что-нибудь на печать.

После того как что-то появляется в очереди на печать, сервис печати (lpsched) начинает останавливаться и перезапускаться. И так происходит, пока не очистишь очередь.

То, что сервис перезапускается видно по значку звёздочки (*)

obs1:/var/spool/lp/logs# svcs -a|grep print
online 12:31:10 svc:/application/print/rfc1179:default
online 9:16:08 svc:/application/print/cleanup:default
online* 12:35:06 svc:/application/print/server:default
obs1:/var/adm# lpstat -a
UX:lpstat: ERROR: Can't send message to the LP print service.
TO FIX: The LP print service apparently has been
stopped. Get help from your system
administrator.
obs1:/# svcs -p svc:/application/print/server:default
STATE STIME FMRI
online* 15:47:14 svc:/application/print/server:default
15:47:14 13665 lpsched
obs1:/# svcs -p svc:/application/print/server:default
STATE STIME FMRI
online* 15:47:20 svc:/application/print/server:default

А вот что в логе:

# tail -20 /var/svc/log/application-print-server:default.log
Print services started.
[ Nov 18 11:47:19 Method "start" exited with status 0 ]
[ Nov 18 11:47:19 Stopping because process dumped core. ]
[ Nov 18 11:47:19 Executing stop method ("/lib/svc/method/print-svc stop") ]
Print services stopped.
[ Nov 18 11:47:19 Method "stop" exited with status 0 ]
[ Nov 18 11:47:22 Executing start method ("/lib/svc/method/print-svc start") ]
Print services started.
[ Nov 18 11:47:22 Method "start" exited with status 0 ]
[ Nov 18 11:47:23 Stopping because process dumped core. ]
[ Nov 18 11:47:23 Executing stop method ("/lib/svc/method/print-svc stop") ]
Print services stopped.
[ Nov 18 11:47:23 Method "stop" exited with status 0 ]
[ Nov 18 11:47:25 Executing start method ("/lib/svc/method/print-svc start") ]
Print services started.
[ Nov 18 11:47:26 Method "start" exited with status 0 ]
[ Nov 18 11:47:26 Stopping because process dumped core. ]
[ Nov 18 11:47:26 Executing stop method ("/lib/svc/method/print-svc stop") ]
Print services stopped.
[ Nov 18 11:47:26 Method "stop" exited with status 0 ]

Как видно из лога, сервис останавливается по причине Stopping because process dumped core, но, порывшись день, я ничего вразумительного не наловил, кроме двух ссылок, где встречается та же самая ошибка:

http://forum.sun.com/jive/thread.jspa?messageID=385983
http://forum.sun.com/jive/thread.jspa?threadID=75385

Проблема решается установкой параметра protocol=bsd, вместо tcp.
С protocol=tcp всё падает без слов.

Xming - X Server для Windows

2006-11-30T15:23:00.002+02:00

Чтобы использовать windows-машину в качестве X-терминала, на ней самой необходимо иметь запущенный локальный X-Server. Отличным выбором для таких целей будет Xming.

Варианты использования:

1. У Вас есть удаленный сервер, на котором запущена какая-то графическая оболочка (диспетчер окон). Вам необходимо запустить какое-то приложение, которое имеет графический интерфейс.

Решение:

Запустить Xming на вашей Windows-машине
Залогиниться с помощью консольного клиента (putty) на Ваш удаленный сервер.
С помощью команды DISPLAY=ip_адрес_windows_машины:0.0 указать, куда будет передано изображение
Запустить приложение, требующее графической среды (например gnome-calc)

2. У Вас есть локальный сервер, с которым вы хотите работать в терминальном режиме - подсоединяться с компьютера-терминала, логиниться и работать с удаленным рабочим столом.

Решение:

Запустить Xming на вашей Windows-машине с помощью XLaunch-wizard с следующей конфигурацией: Display Settings - One Window/Full Screen; Session Type - Open Session via XDMCP.
Логиниться в полученном графическом терминале и работать в своё удовольствие.

Ссылки:

OpenTSA

2006-11-21T15:54:00.000+02:00

Данное описание затрагивает процесс установки "time stamping" сервиса на базе патча к openssl и модуля mod_tsa к http-серверу Apache. Проект открытый, назван OpenTSA и достаточно активно развивается. Итак:

1. Выбранная версия openssl и соответствующий этой версии tsa-патч ставятся полностью по инструкции. Если в процессе сборки не возникло критических ошибок, на warning-сообщения можно не обращать внимания.

2. Apache2 должен быть собран на только что установленном openssl (в данном случае это /usr/local/openssl-0.9.8c):

./configure --prefix=/usr/local/apache2 --enable-ssl --with-ssl=/usr/local/openssl-0.9.8c
make && make install

3. Собрать модуль mod_tsa с помощью apxs из только что установленного Apache:

tar zxf  mod_tsa-xxxxxxxx.tgz
cd mod_tsa
make OPENSSL=/usr/local/openssl-0.9.8c APXS=/opt/apache2/bin/apxs APACHECTL=/opt/apache2/bin/apachectl
make install OPENSSL=/usr/local/openssl-0.9.8c APXS=/opt/apache2/bin/apxs APACHECTL=/opt/apache2/bin/apachectl

4. Подготовить базу данных для хранения timestamp-ответов, создать пользователя, который будет иметь неограниченный доступ и создать в готовой базе рабочую таблицу token:

CREATE TABLE `token` (
  `token_id` varchar(40) collate utf8_unicode_ci NOT NULL default '',
  `token_date` datetime NOT NULL default '0000-00-00 00:00:00',
  `token_pkcs7` blob NOT NULL,
  PRIMARY KEY  (`token_id`)
) ENGINE=MyISAM DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci;

5. Сгенерировать приватный ключ и сертификат на только что собранном openssl, так как он имеет необходимое расширение для сертификатов - Time Stamping.

/usr/local/openssl-0.9.8c/bin
./openssl genrsa -out server.key 2048
./openssl req -key server.key > server.csr

Отдать сгенерированный csr-файл своему CA, получить в ответ сертификат с timestamp-расширением, необходимый для функционирования модуля mod_tsa.

6. Добавить в конфигурацию Apache описание модуля и запустить Apache:

LoadModule tsa_module         modules/mod_tsa.so


   SetHandler tsa
   Order allow,deny
   Allow from all

TSASerialFile conf/tsaserial
TSACertificate /usr/local/apache2/conf/server.crt
TSACertificateChain /usr/local/apache2/conf/ca-bundle.crt
TSAKey /usr/local/apache2/conf/server.key
TSADBModule MySQL
TSAMySQLHost localhost
TSAMySQLUser tsa_user
TSAMySQLDatabase tsa_db
# лучше открыть доступ без пароля, иначе при каждом новом старте
# Apache будет спрашивать пароль к БД
TSAMySQLPassPhrase Off

TSAKeyPassPhrase off
TSADefaultPolicy 1.1.2
TSAPolicies 1.1.3 1.1.4
TSAMessageDigests sha1 md5
TSAAccuracy 60 0 0
TSAClockPrecisionDigits 0
TSAOrdering On
TSAIncludeName On
TSAESSCertIdChain On

Полное описание всех используемых директив есть на домашней странице модуля. Также данный модуль ведет достаточно подробный лог, что может быть полезным при исправлении встречающихся ошибок.

modXLdapAuth

2006-11-17T15:49:00.000+02:00

Для того, чтобы аутентифицировать пользователя по сертификату в Apache достаточно добавить соответствующую директиву (SSLVerifyClient). Но в таком случае очень неудобно строить политику доступа - нет ни базы сертификатов, с которой бы можно было оперировать, ни возможностей по разграничению доступа (авторизации). На помощь приходит модуль modXLdapAuth (homepage), который использует LDAP как хранилище пользовательских данных, взятых из сертификатов и предоставляющий дополнительные средства для реализации политики доступа к закрытым ресурсам. Единственное ограничение с которым я столкнулся - модуль работает только с Apache 2.0.x (ветки 1.3 и 2.2 не поддерживаются).

Прежде чем начинать сборку модуля необходимо подготовить LDAP сервер - необходимо включить в конфигурацию сервиса дополнительную схему (schema) modXLDAPAuth [1Kb]. В OpenLDAP это делается добавлением строки

include         /etc/ldap/schema/modXLDAPAuth.schema

в основной файл конфигурации slapd.conf.

После того как дополнительная схема загружена, можно создать запись о будущем пользователе, дополнительно указав атрибуты, взятые из сертификата пользователя:

CertificateClientCN - обычно имя, на которое выдан сертификат
CertificateIssuer - CA, выдавший сертификат
CertificateSerialNumber - серийный номер сертификата

По данным атрибутам будет осуществляться аутентификация с использованием сертификата.
Получившаяся запись о пользователе будет иметь вид:

dn: uid=ivpetr,ou=People,o=company,c=ru
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: top
objectClass: Certmap
uid: ivpetr
structuralObjectClass: inetOrgPerson
CertificateClientCN:: Petrov Ivan
CertificateIssuer: Office CA
CertificateSerialNumber: 0D
cn: Ivan
mail: petrov@company.com
telephoneNumber: +790234567
userPassword:: e3NoYX0vbitrQTZZTzc3NnJTQ29Wczc4TGFQdCs1eTQ9

После этого можно начинать сборку модуля:

./configure --with-apxs=/usr/local/apache2/bin/apxs --with-ldap-dir=/usr --with-openssl=/usr
make && make installl

Пример конфигурации успешно собранного модуля


   SSLRequireSSL
   SSLVerifyClient require
   SSLVerifyDepth 5
   SSLOptions +FakeBasicAuth +StrictRequire +StdEnvVars +ExportCertData 
   Order allow,deny
   Allow from all
   AllowOverride AuthConfig   
   XLDAPAuthoritative on
   XLDAPAuthServer localhost
   XLDAPAuthBindDN "cn=manager,o=company,c=ru"
   XLDAPAuthBindPw "mamamia"
   XLDAPAuthSuffix "ou=People,o=company,c=ru"
   XLDAPAuthFilter "(&(CertificateIssuer=%{SSL_CLIENT_I_DN_CN})(CertificateSerialNumber=%{SSL_CLIENT_M_SERIAL})(CertificateClientCN=%{SSL_CLIENT_S_DN_CN}))"
   XLDAPAuthLogLevel info
   XLDAPAuthRemoteUserAttr uid

На основании приведенной выше конфигурации Apache будет вести себя следующим образом:

для аутентификации будет требоваться сертификат пользователя (глубина проверки 5)
для поиска по LDAP серверу будет использоваться пользователь"cn=manager,o=company,c=ru" с паролем mamamia
поиск по LDAP директории будет осуществляться по фильтру - на основании атрибутов CertificateClientCN, CertificateIssuer, CertificateSerialNumber
переменная REMOTE_USER будет выставлена в данные, взятые из атрибута uid (в нашем случае, если пользователь Ivan Petrov пройдет аутентификацию, эта переменная будет выставлена в значение ivpetr)

Модуль успешно работает с пользовательскими данными на русском и литовском языках.
Достаточно подробное описание работы и конфигурации модуля есть на его домашней странице. Единственное, что пока не понятно - почему до сих пор не существует серьезных разработок в области аутентификационных модулей на основе сертификатов, потому как в описанном модуле остаются недоработки и ошибки.

jUDDI

2006-11-16T15:59:00.000+02:00

jUDDI - это JAVA-реализация UDDI (Universal Description, Discovery, and Integration) сервиса для обслуживания вебслужб. Установку можно произодить по описанию, но оно достаточно сильно устарело и несколько отличается от текущего момента. Данная заметка описывает установку jUDDI 0.9rc4 на Apache Tomcat 5.5.15.

1. Базу данных (juddi_db) лучше подготовить своими средствами (phpmysqladmin), создать пользователя и дать ему необходимые права для работы с базой. Скрипт juddi/sql/mysql/create_database.sql (удалить начальные строки про создание базы и добавление привилегий) можно использовать для создания каркаса будущей базы. Скрипт insert_publishers.sql позволяет добавить первого пользователя для публикации веб-сервисов.

2. Распаковать juddi.war в $TOMCAT_HOME/webapps/juddi

3. В файл $TOMCAT_HOME/webapps/juddi/WEB-INF/juddi-users.xml вставить пользователя, который был только что добавлен в базу скриптом insert_publishers.sql.

4. Файл $TOMCAT_HOME/webapps/juddi/WEB-INF/juddi.properties привести в соответствие Вашим требованиям - задать переменные juddi.operatorName, juddi.discoveryURL, juddi.operatorEmailAddress.

5. Добавить в основной файл конфигурации $TOMCAT_HOME/conf/server.xml описание контекста


 
                 driverClassName="com.mysql.jdbc.Driver"
                url="jdbc:mysql://localhost:3306/juddi_db?autoReconnect=true&useUnicode=true&characterEncoding=utf-8&mysqlEncoding=utf8"
  username="username"
                password="password"
                maxActive="20"
                maxIdle="3"
                removeAbandoned="true"
                maxWait="3000" />

6. Протестировать всё ли в порядке по адресу http://localhost:8080/juddi/happyjuddi.jsp. Наверняка придется вручную устранять кое-какие зависимости, но это не так то сложно - найти jar-файл и положить его в $TOMCAT_HOME/common/lib.

Ссылки:

jUDDI project

Сборка mod_jk под Apache2

2006-11-14T16:16:00.000+02:00

Иногда необходимо объединить усилия Apache и Tomcat - например аутентификацию пользователя проводить средствами Apache, и если аутентификация пройдена, показывать контент средствами Tomcat. Такую схему можно реализовать с помощью модуля mod_jk для Apache. Отсюда можно взять последнюю версию исходников модуля.

wget tomcat-connectors-1.2.x-src.tar.gz
tar zxf tomcat-connectors-1.2.x-src.tar.gz
cd tomcat-connectors-1.2.x-src/native
./configure --with-apxs=/usr/local/apache2/bin/apxs
make && make install

Модуль mod_jk.so появился в директории /usr/local/apache2/modules/

Необходимо его прописать в httpd.conf:

LoadModule jk_module    modules/mod_jk.so

Добавить описание модуля (mod_jk.conf):

# The location where mod_jk will find the workers definitions
JkWorkersFile   /usr/local/apache2/conf/workers.properties
# The location where mod_jk is going to place its log file
JkLogFile       /usr/local/apache2/logs/mod_jk.log
JkLogLevel      info
JkMount /pathtotomcat/* ajp13_worker

В папке /tomcat-connectors-1.2.19-src/conf можно найти пример файла worker.properties.

Smoothwall Express 2.0 + Snort (with MySQL)

2006-11-13T16:17:00.000+02:00

Чтобы включить систему обнаружения атак (IDS) Snort в Smoothwall достаточно установить соответствующую галочку в web-интерфейсе, но такой путь не предоставит всех возможностей для работы с IDS Snort. Данное описание охватывает обновление версии Snort, добавление возможности вести события (alerts) в базе (mysql) и установку инструментария для работы с накопленной базой событий.

Поэтому первым дело необходимо установить обновленную версию Snort для Smoothwall Express 2.0. Последнюю версию данного расширения можно взять тут.

1. Поместить скаченное расширение на Smoothwall Express можно с помощью scp:

scp user@hostname:~/Snort-Update-2.x.x-MySQL.tgz /tmp

2. Разархивируем содержимое архива и все станет на свои места

tar zxvf ./Snort-Update-2.x.x-MySQL.tgz -C /

3. Переписать файл файл /usr/local/bin/snort новым файлом snort-mysql

cp /usr/local/bin/snort-mysql /usr/local/bin/snort
cp: overwrite `/usr/local/bin/snort'? y

4. Подготовить базу данных Snort, для этого в дистрибутиве Snort в директории schemas имеются скрипты для различных СУБД - для MySQL - create_mysql. Необходимо создать 2 базы данных - snort_db и snort_archive_db - первая непосредственно для отслеживания событий, вторая для архивирования старых событий (понадобится для работы с BASE).

5. Отредактировать /etc/snort.conf

Закомментировать
# include /etc/snort/vars
Задать переменные
var HOME_NET [192.168.1.0/24,212.122.83.100]
var EXTERNAL_NET !$HOME_NET
В препроцессор sfportscan можно добавить список хостов для игнорирования событий о сканировании портов сканерами домашней сети (HOME_NET)
ignore_scanners { 192.168.1.0/24 }
Добавить output-описания:
output alert_full: alert # Snort будет продолжать писать в /var/log/snort/alert
output database: log, mysql, user=user password=pass dbname=snort_db host=192.168.1.1 # и в БД

6. Проверить работоспособность новой версии Snort можно, запустив комманду:

/usr/local/bin/snort -c /etc/snort.conf -D -u snort -g snort -d -e -z -i eth1

Если все в порядке в списке процессов (ps ax) одним из последних будет Snort.

Скрипт /usr/local/bin/restartsnort не подходит для использования, поэтому его необходимо заменить на рабочий вариант.

# cat > /usr/local/bin/stopsnort
#!/bin/bash
kill -9 `cat /var/run/snort*.pid`
[Ctrl + C]
# cat > /usr/local/bin/startsnort
#!/bin/bash
/usr/local/bin/snort -c /etc/snort.conf -D -u snort -g snort -d -e -z -i eth1
[Ctrl + C]
# cat > /usr/local/bin/restartsnort
#!/bin/bash
/usr/local/bin/stopsnort; sleep 3; /usr/local/bin/startsnort
[Ctrl + C]
# chmod 755 /usr/local/bin/stopsnort
# chmod 755 /usr/local/bin/startsnort
# chmod 755 /usr/local/bin/restartsnort

Если в конфигурационном файле snort.conf включен препроцессор perfmonitor, то необходимо добавить в ротацию журналов файл /var/log/snort/snort.stats - он достаточно быстро растет. Препроцессор rpc_decode можно выключить (закомментировать), если не используются RPC-службы.

Для удобной работы с накопленной базой событий существует система BASE (Basic Analysis and Security Engine). Это "реинкарнация" старой ACID-системы, которая в данный момент больше не развивается. BASE активно разрабатывается и всегда доступен на SourceForge. Для работы с BASE нужно иметь несколько дополнительных средств:

ADODB
GD
PEAR
Image_Graph

Если есть pear, ставится элементарно:

pear install Image_Color
pear install Image_Canvas-alpha
pear install Image_Graph-alpha

Если с pear сложности, достаточно скачать все эти пакеты с http://pear.php.net/, распаковать в одну директрию, например Image и эту директорию положить в такое место, куда по умолчанию заглядывает php.

Установка BASE проста

# tar -xvzf base-x.x.x.tar.gz
# cd base-x.x.x
# cp base_conf.php.dist base_conf.php

Редактируем base_conf.php:

$BASE_urlpath = “/base”;
$DBlib_path = "Путь до adodb";
$DBtype = "mysql";
$alert_dbname = "snort_db";
$alert_host = "localhost";
$alert_port = "";
$alert_user = "snort";
$alert_password = "new_password";
$archive_dbname = "snort_archive_db";
$archive_host = "localhost";
$archive_port = "";
$archive_user = "snort";
$archive_password = "new_password ";

Аналогична установка для /base_archive:

$BASE_urlpath = “/base_archive”;
$DBlib_path = "Путь до adodb";
$DBtype = "mysql";
$alert_dbname = "snort_archive_db";
$alert_host = "localhost";
$alert_port = "";
$alert_user = "snort";
$alert_password = "new_password";
$archive_dbname = "snort_archive_db";
$archive_host = "localhost";
$archive_port = "";
$archive_user = "snort";
$archive_password = "new_password ";

Теперь Base доступен по адресу http://hostname/base (архив http://hostname/base_archive).

Ссылки:

Отправка HTML-форматированного письма (с картинками)

2006-11-08T16:00:00.000+02:00

Очень удобно сгенерированные HTML-отчеты (с картинками) читать из почтового клиента, но как оказалось, не так-то просто это сделать - одной командой тут не обойтись. На помощь приходит perl реализация - пакет MIME-Lite-HTML (документация). Не беда, если в системе пакетов (например Debian) не существует такого пакета - достаточно взять tar.gz-архив с сайта разработчиков, распаковать его и поместить файл HTML.pm в директорию с остальными perl-библиотеками (для Debian директория будет /usr/share/perl5/MIME/Lite).

Зависимости для MIME::Lite::HTML :

MIME::Lite
LWP::UserAgent
HTML::LinkExtor
URI::URL

Для устранения зависимостей в Debian необходимо установить пакеты libmime-lite-perl, libwww-perl и все их зависимости.

Как это работает:
1. Программа-анализатор генерирует html-отчет с картинками в локальную (закрытую) директорию на сервере (например /var/stats).
2. Приведенный ниже perl-скрипт генерирует на основе созданного htlm-отчета html-форматированное письмо, с сохранением всего содержимого (картинки), и отсылает готовое письмо по указанному адресу.

Пример perl-скрипта:

#!/usr/bin/perl -w
use MIME::Lite::HTML;
my $mailHTML = new MIME::Lite::HTML (
From     => 'Charlie Root',
To       => 'myemail@home.net',
IncludeType => 'cid',
Subject => 'Daily activity report',
);
$MIMEmail = $mailHTML->parse('file:///var/stats/index.htm');
$MIMEmail->send;

Как послать письмо с прикрепленным файлом из командной строки

2006-11-08T15:09:00.000+02:00

Linux:

metasend -b -s "$SUBJECT" -f $TXTFILE -m text/plain -n -f $ATTFILE -m image/png -t $MAILTO
mpack -s "$SUBJECT" -c application/octet-stream $ATTFILE $MAILTO
mutt -a $ATTFILE -s "$SUBJECT" $MAILTO < $TXTFILE

Подсмотрено тут, опробовано самолично.

Ссылки:

Sending files as mail attachments

RdiffWeb

2006-11-03T16:01:00.000+02:00

"rdiffWeb is a web interface for browsing and restoring from rdiff-backup repositories"

Отличная вещь для web-доступа к резервным копиям, сделанным утилитой rdiff-backup.

Зависимости:

Python
CherryPy v2.1
librsync
rdiff-backup
MySQLdb

Инсталляция очень проста:

tar zxf rdiffWeb-0.3.5.tar.gz
$ cd rdiffWeb-0.3.5
$ python setup.py build
$ python setup.py install

После этого необходимо сконфигурировать и запустить сервис

$ rdiff-web-config
$ /etc/init.d/rdiff-web start

В процессе конфигурации необходимо выбрать хранилище настроек (file или mysql-база). Рекомендую mysql-базу, так как в таком случае кроме удобства появляется возможность автоматически просматривать директории от указанного корня, вместо того, чтобы вбивать их вручную. Запущенная служба по умолчанию работает на порту 8080.

ErrorDocument

2006-10-31T16:02:00.000+02:00

Для того, чтобы обрабатывать все запросы на несуществующие страницы Apache имеет директиву ErrorDocument. Синтаксис прост:

ErrorDocument 404 /page404.php

Файл page404.php показывает возможные варианты применения данной функции

echo "REDIRECT_ERROR_NOTES=".$REDIRECT_ERROR_NOTES."
";
echo "REDIRECT_QUERY_STRING=".$REDIRECT_QUERY_STRING."
";
echo "REDIRECT_REQUEST_METHOD=".$REDIRECT_REQUEST_METHOD."
";
echo "REDIRECT_STATUS=".$REDIRECT_STATUS."
";
echo "REDIRECT_UNIQUE_ID=".$REDIRECT_UNIQUE_ID."
";
echo "REDIRECT_URL=".$REDIRECT_URL."
";
?>

Для того, чтобы директива срабатывала для MSIE, вывод page404.php должен быть не меньше 512 байт, иначе MSIE игнорирует сообщения, генерируемые сервером.

Создание резервной копии базы данных mysql

2006-10-24T15:12:00.000+02:00

Если размер mysql-базы настолько велик, что сделать копию web-средствами не представляется возможным, то можно применить консольную утилиту mysqldump

mysqldump -u username -ppassword database > database.sql

Spamassassin + MySQL

2006-10-16T16:03:00.000+02:00

Система фильтрации нежелательной корреспонденции Spamassassin умеет хранить пользовательские настройки, а также динамические базы, применяемые в работе (auto-whitelist, bayes filter) в SQL-базе данных. Ниже приведена настройка Spamassassin 3.0.3 для работы в связке с MTA Exim 4.50 (Debian Sarge) на примере СУБД MySQL.

1. Подготовить MySQL-базу

mysql -u root -p
Enter password:

Welcome to the MySQL monitor. Commands end with ; or \g.
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.

mysql> CREATE DATABASE `spamassassin_db`;
Query OK, 1 row affected (0.09 sec)

mysql> GRANT USAGE ON *.* TO 'username'@'localhost' IDENTIFIED BY 'pasword';
Query OK, 0 rows affected (0.07 sec)

mysql> GRANT ALL PRIVILEGES ON `spamassassin_db`.* TO 'username'@'localhost';
Query OK, 0 rows affected (0.07 sec)

2. Подготовить необходимые таблицы (схемы таблиц находятся в /usr/share/doc/spamassassin/sql)

cd /usr/share/doc/spamassassin/sql
# mysql -u username -p spamassassin_db < userpref_mysql.sql
# mysql -u username -p spamassassin_db < bayes_mysql.sql
# mysql -u username -p spamassassin_db < awl_mysql.sql

3. Осуществить импорт накопленных bayes-токенов

su -m -c "sa-learn -D --backup > /tmp/backup.txt" Debian-exim
su -m -c "sa-learn --restore /tmp/backup.txt" Debian-exim

4. Осуществить импорт awl-базы (понадобится скрипт convert_awl_dbm_to_sql из набора spamassassin tools)

cd /usr/local/bin
wget http://spamassassin.apache.org/full/3.0.x/dist/tools/convert_awl_dbm_to_sql
chmod +x convert_awl_dbm_to_sql
su -m -c "/usr/local/bin/convert_awl_dbm_to_sql --username Debian-exim --dsn DBI:mysql:spamassassin_db:localhost --dbautowhitelist /var/spool/exim4/.spamassassin/auto-whitelist --sqlusername username --sqlpassword password --ok" Debian-exim

5. Добавить конфигурационный файл, описывающий необходимость использования mysql-базы для хранения пользовательских настроек (userpref), данных автоматического whitelist'а (awl) байесовского фильтра.

cat > /etc/mail/spamassassin/sql.cf

user_scores_dsn DBI:mysql:spamassassin_db:localhost:3306
user_scores_sql_username username
user_scores_sql_password password
auto_whitelist_factory Mail::SpamAssassin::SQLBasedAddrList
user_awl_dsn DBI:mysql:spamassassin_db:localhost:3306
user_awl_sql_username username
user_awl_sql_password password
bayes_store_module Mail::SpamAssassin::BayesStore::SQL
bayes_sql_dsn DBI:mysql:spamassassin_db:localhost:3306
bayes_sql_username username
bayes_sql_password password

6. Добавить в запускной скрипт опцию -q, при наличии которой spamassassin будет пытаться использовать sql-базы, описанные в конфигурационных файлах (на время тестирования можно добавить опцию -D (debug)).

7. Перезапустить Spamassassin

/etc/init.d/spamassassin restart

Ссылки:

1. Migrating our Debian Anti-Spam Anti-Virus Gateway Email Server's Bayes database to MySQL
2. Loading SpamAssassin User Preferences From An SQL Database
3. Spamassassin Wiki - UsingSQL

Как скачать сайт целиком из коммандной строки?

2006-10-11T15:01:00.000+02:00

Наверное во всех современных дистрибутивах *nix имеется команда wget. С ее помощью прямо из коммандной строки возможно "утянуть" сайт со всем его содержимым.

wget -r -k -p -N -l 1 http://www.site.com/

-r рекурсия
-k конвертация ссылок на полученных страницах
-p включать все содержимое страниц (картнки и т.п.)
-N включить time-stamping. Понадобится, если потом нужно будет скачать только обновившиеся ресурсы
-l глубина ссылок(по умолчанию 5)

Roller Blog - Planet aggregator

2006-10-10T16:04:00.000+02:00

Planet aggregator позволяет добавлять общую rss-ленту на сайте блогов, с возможностью подписки внешних ресурсов. Чтобы добавить Planet-таб на установленный Roller Blog, необходимо внести в основной конфигурационный файл roller.properties следующие изменения:

planet.aggregator.enabled=true
# обновлять список локальных блогов каждый день
tasks.daily=\
org.apache.roller.presentation.planet.SyncWebsitesTask
# обновления ленты каждый час
tasks.hourly=\
org.apache.roller.presentation.planet.RefreshEntriesTask
# tomcat-пользователь должен иметь права на запись в данную директорию
planet.aggregator.cache.dir=/directory_of_aggregator_cache

После внесенных изменений необходимо перегрузить tomcat

/etc/init.d/tomcat restart

Использование smarthost'а

2006-10-09T16:04:00.000+02:00

Чтобы вся исходящая корреспонденция шла с одного сервера (smarthost) в настройку локальных MTA необходимо добавить:

Sendmail
1. В /mail/sendmail.cf

# "Smart" relay host (may be null)
DSmy.smarthost.server

Если вместо dns-имени сервера используется ip-адрес, его необходимо брать в квадратные скобки, например DS[10.10.10.1]

2. Перезапустить sendmail

/etc/rc.d/rc.sendmail restart

1. Если используется mc-файл для конфигурирования sendmail'а, в /mail/sendmail.mc

define(`SMART_HOST',`my.smarthost.server')
m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf

2. Перезапустить sendmail

/etc/rc.d/rc.sendmail restart

Exim (Debian)

1. В /etc/exim4/update-exim4.conf

dc_smarthost='my.smarthost.server'

2. Перегенерировать конфигурацию

update-exim4.conf

3. Перезапустить exim

/etc/init.d/exim4 restart

spamassassin out of memory

2006-10-09T15:25:00.000+02:00

При использовании Spamassassin 3.0.3 возможны проблемы с утечкой памяти - порождаемый процесс spamd может потребовать от системы столько памяти, сколько в наличии нет. А если spamd запущен с правами суперпользователя (по-умолчанию), система может начать завершать выполняющиеся приложения. Множество решений данной проблемы предлагает Spamassassin Wiki - Out of memory problems.
Большинство советов логичны и используются многими администраторами при первоначальной конфигурации сервиса spamd. Стоит обратить внимание на 2 особенно важных совета:

Необходимо следить за базой auto-whitelist, потому как ее размер может серьезно вырасти за короткое время и это может в свою очередь влиять на использование ресурсов памяти процессом spamd. С помощью вспомогательного скрипта [2.8Кб] можно своевременно просматривать и очищать нежелательное содержимое базы.
В запускном скрипте демона spamd должна присутствовать опция --max-conn-per-child=N, которая ограничивает "время жизни" порожденных (child) процессов.

В дополнение:
По данному адресу расположены скрипты-утилиты, помогающие при работе с spamassassin'ом. Например, sa-stats.pl[33Кб] - вывод статистики по работе демона spamd на основании данных maillog.

Главное при использовании spamassassin'а при сканировании почтового трафика - не давать на проверку больших писем (>300Kb). Если это условие выполнено, то с большой уверенностью можно сказать, что утечки памяти не случится.

jLibrary

2006-10-06T16:13:00.000+02:00

jLibrary - еще одна открытая система управления документами (dms), которая заслуживает внимания. Имеет клиентскую и серверную реализацию, причем базу документов можно хранить как на удаленном сервере, так и на рабочем компьютере (в этом случае серверная часть не нужна).
Интерфейс для работы с репозитариями основан на eclipse, поэтому неважно какая операционная система используется, главное - наличие JavaRunTime (jlibrary целиком написана на Java)

Установка серверной части плохо документирована, но всё же:
1. Если есть работающий Tomcat, скачать WAR-архив, иначе можно взять jlibrary с уже подготовленным и настроенным Tomcat'ом. (данное описание охватывает процесс установки jlibrary из WAR-архива). Tomcat по-умолчанию автоматически разворачивает (deploy) war-архивы, помещенные в webapps-каталог. После того, как архив резвернут (в директорию webapps/jlibrary), лучше остановить Tomcat.

2. Внести необходимые изменения в конфигурационные файлы

%TOMCAT_HOME%/webapps/jlibrary/WEB-INF/web.xml


           repository-home
           /var/jlibrary

%TOMCAT_HOME%/webapps/jlibrary/server-config.wsdd

Создать файл %TOMCAT_HOME%/conf/jaas.config

Jackrabbit {
org.apache.jackrabbit.core.security.SimpleLoginModule required anonymousId="anonymous";
};

В запускной скрипт Tomcat добавить опции

JAVA_OPTS="-Xms128m -Xmx512m -Djava.security.auth.login.config=%TOMCAT_HOME%/conf/jaas.config"

3. Запустить(перезапустить) Tomcat.

Если не возникло критических ошибок при запуске серверной части, можно подсоединяться к серверу по адресу jlibrary://hostname:8080/jlibrary. (admin:changeme)

Bering-uClibc LEAF (Linux Embedded Appliance Firewall)

2006-09-29T16:05:00.000+02:00

Bering-uClibc LEAF отлично подходит в качестве бездискового роутера, всё необходимое ему для работы может уместиться на одной дискете.

Лог:
1. Подготовить загрузочную дискету, прежде отформатировав ее на 1.6Мб

wget http://blogs.ssc.lt/resources/rs/Bering-uClibc_3.0-beta1_img_bering-uclibc-1680.bin
fdformat /dev/fd0u1680
dd if=Bering-uClibc_3.0-beta1_img_bering-uclibc-1680.bin of=/dev/fd0u1680
mount -t msdos /dev/fd0u1680 /mnt (для просмотра содержимого полученной загрузочной дискеты)

2. Включить необходимые модули для работы установленных устройств (например, ethernet-интерфейс). Bearing-uClibc хорошо укомплектован набором модулей [8Мб], которые можно включать в загрузочную дискету поместив желаемый модуль в /lib/modules и прописав его впоследствие в /etc/modules. Все модули по умолчанию закомментированы. Если необходимо, например, заставить работать ethernet-интерфейс rtl8139d, то в файле /etc/modules нужно расскомментировать строки:

crc
mil
8139too

3. После успешной установки модулей устройств можно переходить к установке дополнительных/удалению ненужных пакетов. Например, пакет Dnsmasq полностью заменяет пакет dchpdc, а если не нужен доступ к будущему маршрутизатору через ssh, то можно смело удалять dropbear. Чтобы удалить/добавить пакет необходимо удалить/добавить на дискету файл пакета и удалить/добавить имя пакета в основной файл загрузки - leaf.cfg. Если не хватает места на одной дискете (например, для установки snmp-сервиса[695Кб]), можно воспользоваться вторым дисководом и второй дискетой. В итоге может получиться следующий leaf.cfg файл:

LRP="root config etc modules iptables shorwall ulogd dnsmasq libm libsnmp netsnmpd snmpmibs"
PKGPATH="/dev/fd0u1680:msdos /dev/fd1u1440:msdos"
syst_size=6M
log_size=2M

4. Командой lrcfg можно внести изменения в настройки сети и подготовить конфигурационные файлы для работы всех требуемых пакетов. После внесения изменений их необходимо зафиксировать в основном меню lrcfg - команды s,m.

Subversion authorization

2006-09-21T16:07:00.000+03:00

Настройка авторизации доступа в svn очень проста - достаточно указать директивой AuthzSVNAccessFile путь до файла конфигурации доступа.


 DAV svn
 # Путь до репозитария
 SVNPath /var/lib/svn
 # Включение обычной аутентификации
 AuthType Basic
 AuthName "Subversion Repository"
 AuthUserFile /etc/apache2/dav_svn.passwd
 AuthzSVNAccessFile /etc/apache2/dav_svn.authz
 # Если раскомментировать строки Limit, то анонимные пользователи
 # получат доступ на чтение к репозитарию, иначе только
 # аутентифицированные пользователи имеют доступ
 #
   Require valid-user
 #

Сам файл dav_svn.authz имеет интуитивно понятный формат:

[groups]
harry_and_sally = harry,sally

[/]
harry = rw
* =

[/baz/fuz]
@harry_and_sally = rw
* = r

[/bar/fox]
molly = rw

Доступ к подпапкам наследуется, поэтому доступ к директории /bar/fox имеет не только molly, но и harry. Если не указано никакого права доступа (ни r, ни rw), значит доступ к директории закрыт указанным пользователям.