Настройка Linux *

Тяпница… тринадцатое… всё важное решили оставить на понедельник, а потому сделаю какую-нибудь гадость…
В связи с появивишимся на хабре пересказом статьи решил немного отбалансировать данное руководство. Скрыть своё посещение, конечно, не совсем тривиально, но особых сложностей это не составляет.
Итак, задача:
Войти на сервер, выполнить некие действия и «подмести» за собой.

Здесь и далее считаем, что никаких дополнительных инструментов слежения( за исключением «по умолчанию») в системе не используется и мы знаем пароль root'a.

С чем работаем:

# uname -ori
FreeBSD 10.0-RELEASE GENERIC

# `echo $SHELL` --version
tcsh 6.18.01 (Astron)

Описываемое ниже несколько диссонирует с упоминаемой выше статьей, т.к. оная в первую очередь ориентирована на Linux-пользователей, но общие принципы теже и после перехода во FreeBSD(c 9.0) на хранение данных в utmpx родство стало ближе.

Поехали…

Наступает момент, когда системному администратору необходимо определить дату последнего входа в систему каждого из пользователей, а также подготовить список тех аккаунтов, которые этого так и не сделали. Если б Вы ранее не знали команду lastlog, то удивились бы, насколько легко и быстро она может предоставить Вам эти данные.

Изложенный ниже материал не претендует на эксклюзивность. Однако мне пришлось собирать его по крупицам из разных источников, что-то проверяя экспериментально. После этого родилась идея систематизировать полученные знания и опыт, изложив все в одной заметке.

Хотел бы написать небольшую заметку о том как настроить репликацию OpenLDAP между несколькими серверами. Итак…

Дано:
1. Организация с филиалами. В главном офисе и в каждом филиале есть сервер LDAP который хранит у себя логины/пароли пользователей.

Задача:
Сделать так, что бы между главныи офисом и филиалами было «единое пространство имен», то есть что бы каждый LDAP сервер «знал» о логинах/паролях всех остальных филиалов и главного офиса.

Решение:
1. Установку Linux, OpenLDAP, настройку OpenVPN (главный офис и филиалы связаны через OpenVPN) описывать не буду. Будем считать что у вас это уже установлено и настроено.
2. У нас есть три сервера. Главный 192.168.1.1, и два филиала 192.168.1.2 и 192.168.1.3 соответственно. Все они связаны друг с другом через OpenVPN.

2. Теперь настройка OpenLDAP. В главном офисе (192.168.1.1) в LDAP заносятся все логины/пароли который нужны.

Сегодня, после обновления на Docker 1.9 у меня вполне ожидаемо сломался ранее прекрасной работающий Weave.
Описание возникших проблем и их решение под катом.

Zabbix сервер — это хорошо. Правильно настроенный, он мониторит серваки и необходимые мне узлы. В случае проблем на них он с радостью уведомляет меня по электронной почте. Не так давно выяснилось, что оба наших любимых провайдера (основной и резервный интернет каналы) решили не обеспечивать ИБП свое сетевое оборудование в здании. Поэтому когда вырубают электричество (а бывает такое!) Zabbix бы и рад разбудить веселым письмом, а никак! В общем, решил заморочиться уведомлением по sms. Именно через GSM модем чтобы не было зависимости от интернета.

Поискав по интернету варианты отправки sms Zabbix-ом, нашел варианты решения, но они показались мне длинными. Поэтому сделал по своему «на коленке». Постараюсь подробно описать не сложное рабочее решение и «грабли».

Из-за постоянных изменений с переходом на зимнее-летнее время в РФ это самое время может отображаться на вашем сайте и на сервере некорректно. К тому же время PHP (если собран без опции --with-system-tzdata) и системное время — разные вещи. Поэтому нужно проводить две настройки.

Как-то помучился с поиском решения, разрозненной информации в инете полно, вот «комплексное» решение этой проблемки, делюсь…

Команда Ubuntu еще не объявила о доступности финальной версии Ubuntu 15.10 Wily Werewolf, однако релиз уже можно скачать.
Напоминаю, что:
Ubuntu 15.10 будет поддерживаться в течение 9 месяцев для Ubuntu Desktop, Ubuntu Server, Ubuntu Core, Kubuntu, Ubuntu Kylin вместе со всеми другими продуктами вроде Xubuntu и т.п.

Главные изменения Ubuntu 15.10 Wily Werewolf:
• ядро Linux 4.2.x, в которое добавлена поддержка графических процессоров последних Radeon от компании AMD;
• Поддержка Intel Broxton;
• F2FS поддержка шифрования файловой системы;
• Поддержка NV-DIMM:
• Unity 7.3.2 cо значительным количеством исправлений и новыми возможностями
• Обеспечена встроенная поддержка беспроводного манипулятора Steam Controller, для работы с которым достаточно установить Steam из Software Center и осуществить связывание с манипулятором в режиме Big Picture;
• Менеджер настройки Bluetooth-соединений Blueman обновлён до выпуска 2.0, использующий стек BlueZ 5.34;
• Меsа 11.0.x
• Xorg сервер 1.17 .x,
• Pulseaudio обновлен до версии 6.x
• В Compiz проведена работа по улучшению интеграции с окружением MATE;
• В качестве опции предложен ознакомительный сеанс с Unity8 для настольных ПК, предоставляющий доступ к десктоп-версиям таких приложений, как музыкальный проигрыватель Music player и почтовый клиент Deko;
• Обновлён Juju, интерфейс для быстрого развёртывания преднастроенных сервисов. Для использования с Juju подготовлено боле сотни сервисов (Juju Charms), готовых к работе сразу после их установки. Среди таких сервисов различные СУБД (MySQL, PostgreSQL, Redis, Cassandra, Mongodb, Membase), web-приложения (wordpress, drupal, Node.js, Django, Ruby on Rails), серверные системы (lamp, tomcat, vsftpd), системы мониторинга, облачные платформы и т.д.
• В состав редакции для серверов включена экспериментальная поддержка фреймворка DPDK (Data Plane Development Kit) для создания высокопроизводительных сетевых приложений, напрямую обрабатывающих пакеты минуя сетевой стек ядра;
• ПО — LibreOffice 5.0.2, Shotwell 0.22, Chromium 45, Rhythmbox 3.2.1, GNOME Terminal 3.16, Empathy 3.12.10, Nautilus 3.14.2, Totem 3.16, libvirt 1.2.16, QEMU 2.3, Open vSwitch 2.4.0, Ceph 0.94.3

Продолжаем ждать подробности официального анонса, а скачать дистрибутив и набор спинов можно уже сейчас отсюда:

Так как я довольно давно использую ZFS (ещё со времён OpenSolaris), и очень доволен данной ФС в Linux, несмотря на её «неправославную» лицензию, то естественно прочитал свежую статью об установке данной ФС на CentOS.

Заметив в руководстве к свершению подвига несколько ошибок, решил не пройти мимо, как я это делаю обычно. К сожалению, в комментариях отвечать не могу, по совершенно очевидной причине.

Работа над ошибками, и некоторые полезные советы под катом.

Решил тут на днях попробовать ZFS, а подробного и простого мануала как это осуществить на CentOS не нашел, решил исправить ситуацию. К тому же хотелось установить все это в режиме EFI. — не стоять же на месте? И заодно понять для себя как работает DKMS, а так же аспекты ручной установки RPM-based дистрибутивов.

ZFS был выбран тоже не случайно, так как на этой машине планировалось развернуть гипервизор и использовать zvol для хранения образов виртуальных машин. Мне хотелось нечто большего чем програмный рейд + lvm или простое файловое хранение образов, что-нибудь на подобии ceph, но для одного хоста это слишком жирно. Забегая вперед скажу, что я остался очень доволен этой файловой системой, ее производительностью и всеми ее фишками.

Как установить DD-WRT на роутер рассказывать не буду, об этом полно статей. А вот как установить прокси, внятного мануала не нашел. Вот и решил написать свой.

Для того чтобы без препятственно устанавливать стороннее программное обеспечение на ваш DD-WRT понадобиться дополнительное место, которого в роутере как правило недостаточно. Поэтому необходимо к нему подключить дополнительную флешку. Так как в моем случае роутер будет раздавать интернет с 3G модема, а порт USB у меня на роутере 1, и чтобы не морочиться с USB хабом, я вставил microSD флешку прямо в 3G модем.

Большинство 3G модемов от Huawei это имеют разъем для microSD. У меня модем Huawei E1820 от Мегафона.

Так вот, для того чтобы флешка работала в качестве хранилища под файлы системы DD-WRT, а это Linux в чистом виде, необходимо сначала создать несколько разделов на нашей флешке, и отформатировать их в файловую систему ext3. Не у каждого есть под рукой linux, поэтому я покажу метод как это можно сделать под Windows.

Для начала установим драйвер который позволяет работать с данной файловой системой. Скачать можно с sourceforge.net/projects/ext2fsd — Установка данного драйвера необязательна, она нужна только в случае если вы хотите работать с содержимым флешки в Windows. Для того чтобы разметить сам диск, скачаем программу EaseUS Partition Master Home Edition, которая доступна здесь: www.partition-tool.com/download.htm. Программа бесплатная для домашнего пользования и вполне подходит для нашей задачи.

В статье речь будет идти о systemd, который вошел в Debian 8 jessie. Я пишу о Debian, потому что пользуюсь именно им. Пишу о systemd не потому что его фанат, но некоторые вещи меня действительно радуют.

Так почему же больше не нужны supervisord и forever?

Постановка задачи.

Под термином “клиент” будем понимать зону ответственности за совокупность сетевых устройств.

Требуется обеспечить доступ для нескольких сотен клиентов к неким общим ресурсам в таком режиме, чтобы:

1. Каждый клиент не видел трафик остальных клиентов.
2. Неисправности одного клиента (broadcast-storm, конфликты IP-адресов, не санкционированные DHCP-сервера клиента и т.п.) не должны влиять на работу как других клиентов, так и всей системы в целом.
3. Каждый клиент не должен напрямую получать доступ к ресурсам других клиентов (хотя, как специальный случай, можно предусмотреть и разрешение данного трафика, но с его централизованным контролем и/или управлением ).
4. Клиенты должны иметь возможность получения доступа к общим внешним ресурсам (которыми могут быть как отдельные сервера, так и сеть Интернет в целом).
5. Общие ресурсы должны также иметь возможность доступа к ресурсам клиентов (конечно при условии, что известен общему ресурсу известен IP-адрес ресурса клиента).
6. Адресное пространство для клиентов выделяется централизованно и его администрирование не должно быть чрезмерно сложным.

В качестве примеров практического применения можно назвать изоляцию локальных сетей отделов в крупной организации, организацию VoIP-связи или доступа в сеть Интернет для нескольких независимых потребителей и т.п.

Очень много лет пользуюсь 2ГИСом для ориентации себя в пространстве. Очень радовался когда он появился на мобильниках и ещё больше радовался когда прочитал вот этот пост о бета версии, которая имеет сборку в т.ч. и для Ubuntu.

В силу некоторых причин на рабочем ПК использую самую популярную ОС и потому проблем с офлайн 2гисом нет, а на домашнем ПК (с Убунтой 15.04) довольствовался онлайн версией. Пока не понадобилось с ноутбуком ехать в глуш в место с интернетом сомнительного качества. В данной ситуации не возникло сомнений что делать и я перешёл на beta.2gis.ru, сделал всё по инструкции, набрал заветное:

sudo apt-get install 2gis

Не секрет, что в больших конторах тема фильтрации Интернета довольно актуальная. С этой задачей справляется немало программных и аппаратных решений. Но в настоящее время все те сайты, которые мы резали ранее, работают по протоколу HTTPS, т.е. порт 443. Как известно, данный протокол проследить, прослушать и т. п., невозможно. А любой кеширующий фильтрующий прокси-сервер, редиректор и т. п. фильтрует только HTTP, т.е. порт 80. Как же резать Вконтакте, Одноклассники, iphide.info и многие другие подобные сайты? Как блокировать доступ к личной почте в организации, если использование оной запрещено порядками в организации? Да, можно фильтровать по IP адресам, но они частенько меняются, да и на многих ресурсах несколько IP адресов. Блокировать их на уровне файрвола как-то совсем не православное решение, и не совсем удобное.

И вот, совсем недавно, мне один товарищ рассказал, что он поднимает у себя в конторе кеширующий прокси с фильтрацией HTTPS, меня это заинтересовало.

В своей работе мне приходится проводить чуть ли не все свое время в консоли, как в локальной, так и в удаленной. Нет, что вы, я не жалуюсь, даже наоборот — мне нравятся возможности автоматизации, которые предоставляют консольные инструменты, и работа в консоли вполне продуктивна.

Но если вы проводите за своим инструментом до 80% рабочего времени, то желательно убедиться, что вы не тратите время впустую и что работа доставляет вам удовольствие. В этой статье я бы хотел немного рассказать про те инструменты, которыми я лично пользуюсь каждый день, и про то, как они улучшают user experience (и, часто, продуктивность) при работе с консолью и с удаленными серверами в частности.

Проблемы ssh

При работе с удаленными серверами по ssh есть много вещей, которые могут фрустрировать, но основных проблем две, и первая из них принципиально неразрешима в рамках ssh:

1. При высоком round-trip latency (>100 ms) пользовательский ввод появляется с ощутимой задержкой, а при использовании мобильного интернета с edge (latency 1000 ms) работа становится подобна пытке
2. При временных проблемах (несколько минут) с доставкой пакетов, соединение может порваться с write failed: broken pipe, причем узнаете вы об этом только при попытке ввода или при использовании настроек вроде keepaliveinterval

Первая проблема неразрешима потому, что ssh by-design является просто транспортом для байтов, и существующие приложения на это поведение расчитывают. Поскольку ssh не пытается интерпретировать этот поток байтов, он не может осуществлять предиктивный ввод. Лично для меня именно эта проблема наиболее актуальна, поскольку мне приходится работать с серверами в европе и США, и во втором случае задержка составляет около 200 мс и является принципиально неустранимой, по крайней мере до изобретения квантовой коммуникации или чего-нибудь подобного. Вторая же проблема проявляется в наших условиях относительно редко, но всё же неприятно переустанавливать все соединения при сбоях сети (и перезапускать упавшие приложения, если они почему-то не были запущены в screen).

Это вторая часть из серии статей о связке Puppet + Foreman, в ней будет рассмотрено следующее:

* Создание групп хостов
* Добавление хоста в группу
* Применение манифестов на группу хостов
* Автоподпись сертификатов
* Автоматическое распределение хостов по группам

Исходные данные. Некоторое время назад я столкнулся с тем, что программа gnome-screenshot (она же «Снимок экрана») сохраняет скриншоты при использовании горячих клавиш (PrtScr, Alt + PrtScr) с именем вида «Снимок экрана от 2022-02-02 10:11:59.png». Я же привык использовать имя вида «2022-02-02_101159.png». К тому же двоеточия в имени файла ставят в тупик Windows. Тогда я так и не смог найти, как настроить имя файла при снимке горячими клавишами и написал небольшой bash-скрипт, который обеспечивал мне нужный результат.

Во время поисков решения я натолкнулся на описание проблемы на сайте askubuntu.com. Среди ответов привлек мое внимание следующий: «истинный linux way — собери свой собственный gnome-screenshot из исходников!». В тот момент я подумал, что это слишком сложно. А на днях решил попробовать. Дальше я опишу порядок своих действий. В материале вряд ли будет что-то новое для опытных пользователей. Поэтому я считаю, что он может быть интересен:

1) тем, кто как и я хочет исправить проблему с форматом имени файла,
2) тем, кто пока ещё ничего из исходников не собирал.

В этой статье будет рассмотрена установка и настройка связки Puppet + Foreman для централизованного управления конфигурациями.

Для сервера, на котором будет установлена связка Puppet + Foreman, будет использоваться виртуальная машина (1 CPU, 2 Gb RAM, 20Gb HDD), в качестве клиентов будут физические ПК на которых установлена Ubuntu. Конфигурация моего виртуального сервера с указанными выше характеристиками позволяет без проблем обслуживать 500 клиентов (можно и больше).

Установка Puppet довольно простая (все последующие команды выполняются от root):


Этими командами мы скачиваем deb пакет с сайта разработчиков puppet и устанавливаем его. Данный пакет puppetlabs-release-trusty.deb при установке создает файл /etc/apt/sources.list.d/puppetlabs.list в котором прописаны репозитории puppet, а также импортируется gpg ключ которым подписан репозиторий puppet. Сам puppetmaster мы не устанавливаем, он будет установлен автоматически при установке Foreman.

На этом установка Puppet закончена, приступим к установке веб-интерфейса Foreman:

В статье рассматривается актуальный вопрос ведения бухгалтерского учета и сдачи электронной отчетности в контролирующие органы в операционной системе GNU/Linux.