Системное администрирование *

Недавно возникла потребность в периодическом мониторинге серваков на предмет падения некоторых сервисов (читай портов) и уведомления админа (те меня) при возникновении ошибки.

Решение — под катом

В виду достаточно большого парка серверов/свитчей/модемов и иного активного оборудования в конторе, была установленная система мониторинга zabbix и успешно использовалась продолжительное время. Zabbix имеет замечательную возможность отправки уведомлений о возникших проблемах.
Для этого был написан скрипт отправки sms сообщений через шлюз email-to-sms оператора связи, ограничение по количеству смс с одного адреса в сутки было обойдено путем ротации исходящих адресов, работало более или мение сносно, но в последнее время смс сообщения через данный шлюз начали доходить с задержкой порядка 10-15 минут, что уже не очень нравилось.
Итак, было решено организовать отправку уведомлений через собственный GSM-терминал, порывшись в прайсах поставщиков и не обнаружив там подходящих по цене и характеристикам GSM модемов весьма огорчился.
И тут вспомнилось что дома валяется старый Siemens CX65 да еще и data-кабель к нему, после подключения телефона и курения доков по отправке sms сообщений пришел к не очень радостному выводу, оказывается siemens не поддерживает отправку sms в текстовом режиме, команда AT+CMGF=1 возвращает error.
Отправка сообщений в данных аппаратах возможна только в режиме PDU, ради спортивного интереса и для размятия мозгов было решено реализовать эту систему, был написан скрипт для перекодировки в PDU формат сообщений и отправки через телефон.

Представляю вам mctop — продвинутую консольную утилиту мониторинга состояния memcached-серверов.
Забрать можно по адресу — code.google.com/p/mctop

Прошу прощения за перерыв в написании последней части статьи, продолжаем!
Ссылки на остальные части: раз, два, три, пять
В этой части мы научимся авторизоваться на наших Linux/Unix серверах.

В этой статье было замечательно подмечено, как проверить связность с Сетью при помощи ping, если у вас поломался DNS и набор привычного
ping ya.ru
уже не помогает. Если же DNS все-таки работает, то, как выяснилось из комментариев, некоторые используют для пинга www.ru или google.com, но большинство всё-таки предпочитает ya.ru просто потому, что меньше букв писать. Оказывается, благодаря солнечным Узбекистану и Туркменистану букв можно писать ещё меньше.

Многие для проверки доступности интернетов используют простое и короткое «ping ya.ru», но что делать если не работает днс или недоступен сам ресурс ya.ru? Есть легко запоминающийся ip адрес одного из днс серверов.

ping 4.2.2.2

upd: перенесено в «системное администрирование»

Коллеги, идет прямая трансляция из первого и второго залов

Системный администратор должен всегда знать что у него работает, что у него не работает. Я например очень часто нахожусь не у компьютера, поэтому зайти и посмотреть, что “лежит” для меня иногда проблематично. В связи с этим хочу рассказать, как научить cacti слать вам оповещения.

Думаю многим известна система мониторинга cacti. Она собирает статистические данные за определённые временные интервалы и позволяет отобразить их в графическом виде. Но функционал изначально у cacti не богатый, поэтому мы будем его расширять благодаря всевозможным плагинам.

Не нашел на Хабре внятного этой RIPEвской кухни, потому пишу сам :)

Здесь я попробую (кратко) рассказать, как работает Интернет :)
И какие бонусы может извлечь из этого администратор сети предприятия, хостер или ISP.

Сегодня с утра появилась задача — из закрытой для общего доступа сетевой папки на файловом Windows-сервере выложить выборочно некоторое количество файлов в общую папку. Сразу в голове образовалась масса неприятных мыслей, относительно и проблем совместной работы, и потери дискового пространства, и так далее. Но через несколько секунд я предложил самому себе воспользоваться замечательной возможностью файловой системы NTFS — жесткими ссылками.

Суть идеи: есть пара папок с открытым по сети доступом. На первой действует запрет на чтение для всех и разрешение для специфичной группы. На второй папке открыт доступ для всех пользователей. Чтобы разрешить всем пользователям несколько выборочных документов из первой папки, я создал жесткие ссылки на требуемые документы. Таким образом, удалось избежать всех возможных негативных моментов.

Для простого создания ссылок я использую Link Shell Extension. Выделяем требуемые к публикации файлы в папке-источнике, правой кнопкой мыши выбираем Pick Link Source, переходим в папку-получатель и по правому клику выбираем Drop HardLink.

Надеюсь, что данное решение будет кому-то полезно.

Ранее на Хабре уже писали о теории символьных и жестких ссылок.

Наверное многие сталкивались с такой проблемой как невозможность записи CD/DVD под учетной записью непривилегированного пользователя.

Такие программы как ImgBurn, Infrarecorder, Small CD writer и Nero просто «не видят» ни одного привода.

Ahead Nero в данной ситуации рекомендует воспользоваться отдельной утилитой под названием Nero BurningRights, но есть способ проще. который работает со всеми программами для записи дисков.

Достаточно открыть Панель управления -> Администрирование -> Локальная политика безопасности или выполнить secpol.msc.
В открывшемся окне «Локальные параметры безопасности» нужно перейти в Локальные политики -> Параметры безопасности -> Устройства: разрешать доступ к дисководам компакт-дисков только локальным пользователям -> Включить

Думаю вы не раз встречались с ситуацией, когда не могли найти драйвера к некоторым устройствам в ОС Windows. В диспетчере устройств эти железки гордо именуются «Неизвестное устройство». Хочу вам продемонстрировать мой метод решения подобных ситуаций и две истории успешного его применения.

Сразу скажу, что платформу Windows я знаю плохо, поэтому и решение подобной проблемы может быть гораздо более простым — достаточно приобрести программу которая расскажет вам все о железной начинке вашего компьютера.

Итак, первая история. Когда то давно я приобрел IrDA-USB адаптер для связи с телефоном Nokia и с Windows XP он работал. Прошло время, появился ноутбук с Windows Vista, и нужно было данные с телефона скопировать для сохранности. И тут выяснилось, что адаптер не работает с драйверами, которые шли на диске. На сайте производителя (Tekram) свежего драйвера под Vista не обнаружилось, но в то же время адаптер прекрасно работал под Linux, чем я и воспользовался.

Все знают, что пластиковая оболочка многих устройств с гордым логотипом производителя на деле скрывает под собой чип, который используется в сотнях подобных устройств. Linux не смотрит на логотип, Linux работает с чипами, и вывод dmesg и lspci, lsusb наглядно показывает где следует искать драйвера.

Итак, я вставил адаптер в Linux машину и посмотрел вывод lsusb:

Bus 007 Device 002: ID 9710:7780 MosChip Semiconductor MS7780 4Mbps Fast IRDA Adapter

На сайте производителя за пару минут я нашел требуемое — драйвер под Windows Vista, который заработал.

Следующий пример — сервера HP ML110G5. HP поддерживает для этой серии установку Windows Server 2003, и ничего более. В то же время сервера брались под весьма кривую систему, которая иначе как под Windows XP не запускалась. Как вы понимаете на сайте HP драйверов под Windows XP не было, а техподдержка вторично недвусмысленно выразилась, что подобная связка не поддерживается.

И снова Linux, а именно Slax, нам помог, lspci вывел наименование чипсета, драйвера под который мы успешно скачали с сайта Intel.

Вообще Linux успешно помогает работать с Windows сетями, и эти два случая демонстрируют лишь одну малую возможность применения. К примеру разворачивать новые компьютеры в сети мне привычнее при помощи partimage или dd, так как я не считаю возможным пользоваться нелицензионным ПО, а покупать Norton Ghost, когда я прекрасно обхожусь без него, это растрата средств работодателя.

Обновление: в комментариях можно найти другие решения этой частной проблемы.

Хочется дать несколько общих советов администраторам электронной почты. Новичкам надеюсь будет полезно, а опытным будет напоминание проверить состояние своих систем для нормального, беспрепятственного хождения электронной почты, а также для более качественной фильтрации спама с минимумом ложных срабатываний.

1. Обязательно прописывайте обратную зону для своего почтового сервера (ptr record). Это не так сложно сделать. В большинстве случаев достаточно написать вашему интернет провайдеру. Далее либо он сам пропишет в своих dns, либо делегирует вам вашу зону (in-addr.arpa).
2. Старайтесь держать в актуальности соответствие PTR записи с A, на которую указывает MX запись.
3. Используйте fqdn в приветствии HELO/EHLO
4. Проверьте, что не используете openrbl.org в списках RBL. Этот сервис давно закрылся и блокирует всех адресатов.
5. Включите позможность работы по защищенному tls соединению. Пусть даже с самоподписанным сертификатом, но у которого стоит корректное common name, совпадающее с вашей PTR записью. Используйте как SMTP over SSL так и submission сервисы.
6. Не запрещайте в своих почтовиках DSN (delivery status notification), они значительно позволяют упростить решение возникающих проблем.

Это совсем кратенькие советы, но исходя из своего опыта работы, выдерживают их не более 30% почтовых серверов на просторах СНГ.

P.S. Если потребуется, напишу как реализовать это применительно к postfix.

В первой и второй части мы установили и настроили OpenLDAP, можно приступать к настройке авторизации для наших сервисов.
Сегодня у нас по плану настройка авторизации для админок в Apache HTTPD через mod_ldap и SVN.

Ссылки на остальные части: первая, третья, четвертая, пятая.

Продолжаю повествование.
Напомню, что в первой части мы установили OpenLDAP на два сервера и настроили между ними репликацию.

2. Настроим резервное копирование, благо это не так сложно.

Ссылки на остальные части: вторая, третья, четвертая, пятая

Наверное все согласятся с тем, что для начинающего интернет-проекта необходима централизованная система AAA (Authentication, Authorization, Accounting): множество пользователей, куча боевых серверов, чуть поменьше серверов разработки, svn, админки, etc…
Передо мной тоже встала такая необходимость и я хочу рассказать о том что у меня получилось.
Итак, что нам потребуется установить и настроить:

1. OpenLDAP, естественно с репликацией
2. Бэкап LDAP'а — именно вторым пунктом, можно первым (-;
3. phpldapadmin, планирование групп и шаблонов
4. авторизация для админок — Apache HTTPD mod_ldap
5. авторизация для svn (+sasl)
6. авторизация для доступа по ssh — pam_ldap

По роду своей деятельности (системное администрирование), приходится мне постоянно решать различные интересные задачи по управлению компьютерами и сетями.

Вот одна из них.

Дано:

• Компьютер операторов производства (Windows XP SP2)
• Одобренная начальством USB-флешка для переноса данных с промышленных компьютеров на компьютер операторов

Требуется:
Обеспечить подключение только одной, одобренной начальством USB-флешки, запретив при этом подключение других, неодобренных (смайл).

Ход решения:

В системном администрировании существует как минимум два противоположных подхода, я называю их «Из говна и палок» ( di_halt) он же подход «левши» и «пижонский». Каждый их них судя по обилию холиваров в интернете имеет достаточно приверженцев. Каждый администратор выбирает для себя один из подходов исходя из внутренних убеждений и реалий бытия. Чаще всего ему приходится идти на различного рода компромиссы как со своей совестью, так и с бюджетом на IT.

Конечно есть еще и третий подход — «раздолбайский», но про него говорить как-то не очень хочется. Если администратор хочет навести порядок — наведет. Если не хочет, то большие деньги и современное оборудование не помогут. Уж очень много на нынешней работе примеров такого подхода.