LINUX.ORG.RU

Сообщения InventoRs

 

Linux, connect over bastion with remote keys

Форум — Admin

Всем привет.

Народ, возник такой вопрос, у нас есть некоторое подобие bastion хоста, у каждой учетки есть доступ к хранилищу секретов, которые могут быть получены через bash или прочитаны локальной FS

Для своей учетной записи я могу добавить ssh key для подключения к bastion Есть ли возможность, в одну строку подключатся к bastion и использовать удаленный ssh ключ для подключения к узлам внутри сети?

Client -> (Connection with key on clietn) -> Bastion -> (Connection with key on bastion) -> Internal server

 

InventoRs
()
4 комментария

ipsec, strongswan и nat

Форум — Admin

Всем ку. Буду признателен за помощь. Проблема заключается в том что не могу нормально осилить ipsec с помощью strongswan. Сейчас есть конфиг вида:

config setup
        charondebug="cfg 2, ike 4"

conn %default
        ikelifetime=60m
        keylife=20m
        rekeymargin=3m
        keyingtries=1
        keyexchange=ikev2
        authby=psk
        type=tunnel

conn server1-server2
        left=16.3.3.1
        leftsubnet=192.168.7.0/24
        leftid=@conn.ua
        ike=aes128-sha1-modp1024
        esp=aes128-sha1-modp1024
        leftfirewall=yes
        right=178.2.16.25
        rightsubnet=192.168.223.0/24
        rightid=@vpn12.ua
        auto=start

С виду соединение установлено, все пингается и все хорошо. Ровно до тех пор пока в firewall не добавить правило: 

-A POSTROUTING -s 192.168.7.0/24 -o eth0 -j MASQUERADE

Вот тут и начинаются проблемы, трафик перестает ходить. Все дампы трафика тоже вроде выглядят нормально. Не много погугливши нашел такое правило: 

-A POSTROUTING -s 192.168.7.0/24  -o eth0 -m policy --dir out --pol ipsec -j ACCEPT

И вот с ним как бы все заработало без всяких проблем, трафик просто не маскарадится и уходит в тунель. Но вот перекопавши кучу доки нашел только один параметр:

leftfirewall=yes

он добавляет в iptables filter такие строки: 

1051 81936 ACCEPT     all  --  enp4s0 *       192.168.223.0/24     192.168.7.0/24       policy match dir in pol ipsec reqid 1 proto 50
 1060 67840 ACCEPT     all  --  *      enp4s0  192.168.7.0/24       192.168.223.0/24     policy match dir out pol ipsec reqid 1 proto 50

Не могу понять, что где настроено криво что нужно добавлять дополнительное правило в nat, ведь кучу статей с примерами где нужно одно лишь правило маскарадинга. Может кто подскажет?

 , ,

InventoRs
()
2 комментария

Mark routing в Linux, изменение маршрута по порту

Форум — Admin

Уже третий день бьюсь над проблемой отправки трафика через определенную таблицу на базе порта.

Проблема в том что для транзитного трафика все работает на ура, а вот как только пытаюсь сделать ping на сервер для которого в iptables указана маркировка, то болт.

Как это выглядит: есть таблица vpn101, в ней указан default route который отлично работает. Есть наборы правил: 

ip rule add to 8.8.4.4 table vpn101 pref 101
делаю traceroute и все супер, трафик уходит через vpn101

Но мне надо сделать чтобы только 53 порт ходил через vpn101, беру в руки iptables 

$IPTABLES -t mangle -A PREROUTING -d 8.8.4.4 -p udp  --dport 53 -j MARK --set-mark 0x21


ip rule add from fwmark 0x21 table vpn101 pref 102

И вот тут начинается самое интересное, если запрос посылает пользователь сети то все идет в тунель. Но если запрос посылает сам сервер, то болт.

Попытка отследить цепочку правил iptables при локальной отправке пакетов, приводит к след порядку: 

IPTABLES_RAW_OUTPUT
IPTABLES_MANGLE_OUTPUT
IPTABLES_NAT_OUTPUT
IPTABLES_FILTER_OUTPUT
IPTABLES_MANGLE_POSTROUTING
IPTABLES_NAT_POSTROUTING
Согласно этой картинки, все правильно: http://stuffphilwrites.com/wp-content/uploads/2014/09/FW-IDS-iptables-Flowcha...

Но, вот что странно, как только пакет появляется в raw output он уже имеет OUT интерфейс на который смотрит default route самой системы. Дальше упоминание про маркировку пакета появляется в логе из таблицы MANGLE OUTPUT. 

net.ipv4.tcp_fwmark_accept=1
net.ipv4.conf.default.rp_filter=0
net.ipv4.conf.all.rp_filter=0

В общем прошу Вашей помощи, может кто-то знает решение данного вопроса.

Linux router 4.4.0-77-generic #98-Ubuntu SMP Wed Apr 26 08:34:02 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

Да, на Mikrotik такое работало, там требовалось добавить правило в mangle output, а вот Linux не взлетает, хотя помню что раньше еще во время 2.7 ядра все работало.

 ,

InventoRs
()
6 комментариев

Default route через ospf для iproute2

Форум — Admin

Понимаю что выглядит странно, но хочется примерно такого...

Есть далекий сервер к которому поднято для openvpn point-to-point туннеля в дата-центре. К данному серверу подключен домашний роутер. Внутри тунелей бегает ospf, где со стороны дц анонсируется роут 192.168.200.254/24 (перед этим было /32) который прибит на сервере к lo:0 интерфейсу.

Домашние клиенты без проблем пингают 200.254 который находится в дц. Теперь текущая задача сделать возможность заворачивать трафик через next-hop для определенных хостов внутри сети. Раньше это делалось просто через ip rule и пошло поехало. Но вот тут встала проблема, создал новую таблицу vpn111 и попытался в ней прописать default route, на что получил: 

RTNETLINK answers: Network is unreachable

если посмотреть на роутере таблицу машрутов то будет так: 

root@router:~# ip r
default via myprov dev enp4s0
10.61.0.1 dev tun1061  proto kernel  scope link  src 10.61.0.2
10.62.0.1 dev tun1062  proto kernel  scope link  src 10.62.0.2
176.36.0.0/14 dev enp4s0  proto kernel  scope link  src 176.36.33.130
192.168.7.0/24 dev vmbr0  proto kernel  scope link  src 192.168.7.254
192.168.200.0/24 via 10.61.0.1 dev tun1061  proto zebra  metric 20

Сама задача звучит примерно так: хочу чтобы ряд хостов внутри домашней сети ходили в мир через сервер в дц, при этом каналы до дц резервировались и было полностью прозрачное их переключение.

 ,

InventoRs
()
2 комментария

Ansible, организация структуры.

Форум — Admin

Hi All.

Может кто сможет поделится наилучшим опытом для организации playbook для ansible, не много замучился в поисках наиболее оптимального варианта, а плодить кучу playbook как-то не хочется. Дано: inventory.ini 

[node01]
kvm-node01.domain

[node02]
kvm-node02.domain

[node03]
kvm-node03.domain
А теперь нам надо создать 20Kvm машин, для этого создаю в vars каталог vms 
+vars +
      +- vms +
             +- vm01-config.yml
             +- vm02-config.yml
             +- vm03-config.yml 
             +- vm04-config.yml
Теперь возникает вопрос как это корректно подвязать чтобы каждая нода могла исполнять только нужную VM. Может у кого-то есть идеи организации таких схем с наиболее минимальными проблемами?

Пока возникает еще мысль инклудить каждую VM в inventory под каждую ноду, но все таки мне кажется это не оптимальный вариант управления зверинцем.

 

InventoRs
()
8 комментариев

LXC, монтированные поверх диски, проблемы.

Форум — Admin

Возникла интересная проблема с lxc. Имеется в наличии Debian 8 последнего update.

Создаю обычный lxc контейнер, в конфигу указываю: 

lxc.mount.entry=/files /var/lib/lxc/samba/rootfs/files none bind 0 0

Монтирует при старте замечательно. Дальше не основной ноде, делаю: 

mkdir /files/disk1
и 
mount /dev/sdd1 /files/disk1

Внутри контейнера пишу файлы в /files/disk1, проверяю, данные появляются на /dev/sdd1, стопаю контейнер, стартую и пробую писать снова файлы внутри контейнера в /files/disk1 болт, файлы не появляются больше на sdd1, они теперь появляются на системном диске.

Итог: после перезапуска контейнера, если в контейнер монтируется шара в которую также смонтированы другие диски, то контейнер не видит этот mount.

Кто-то сталкивался с таким? может знает рецепт?

 , ,

InventoRs
()
2 комментария

nginx, настройка uri и отличающийся путь.

Форум — Admin

Никогда особо не сталкивался с такой задачкой, но вот стало интересно, есть конечно множество более простых вариантов и один из них это забить, но стало интересно.

Абсолютно простой virtualhost

server {
	server_name test-host.ua;
	access_log /var/log/nginx/test-host.ua-access.log;
	error_log /var/log/nginx/test-host.ua-error.log debug;
	root /var/www/vhosts/test-host.ua;

	location /pma {
		alias /usr/share/phpMyAdmin;
		index index.php index.html index.htm;
		
		location ~ ^/pma/(.*\.php)$ { 
			alias /usr/share/phpMyAdmin;
			try_files $uri =404;
			fastcgi_pass unix:/var/run/php5-fpm.sock;
			fastcgi_index index.php;
			fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
			include /etc/nginx/fastcgi_params;
		}
		
		location ~* ^/pma(.+\.(jpg|jpeg|gif|css|png|js|ico|html|xml|txt))$ {
        		alias /usr/share/phpMyAdmin/$1;
		}

	}
}

При таком раскладе доступ к pma не работает, и вот почему: 

2016/05/06 13:39:27 [error] 7450#0: *1 FastCGI sent in stderr: "Unable to open primary script: /usr/share/phpMyAdmin/pma/index.php (No such file or directory)" while reading response header from upstream, client

2016/05/06 13:44:26 [debug] 7572#0: *1 http script copy: "/usr/share/phpMyAdmin"
2016/05/06 13:44:26 [debug] 7572#0: *1 http script var: "/pma/index.php"
2016/05/06 13:44:26 [debug] 7572#0: *1 trying to use file: "/pma/index.php" "/usr/share/phpMyAdmin/pma/index.php"
2016/05/06 13:44:26 [debug] 7572#0: *1 trying to use file: "=404" "/usr/share/phpMyAdmin=404"
2016/05/06 13:44:26 [debug] 7572#0: *1 http finalize request: 404, "/pma/index.php?" a:1, c:1
2016/05/06 13:44:26 [debug] 7572#0: *1 http special response: 404, "/pma/index.php?"

Не совсем понимаю, как его заставить воспринимать путь к index.php без pma который он подставляет. Ну не реврайтить ведь каждый раз uri запрос или может я что-то делаю не так?

Естественно если делать все через location /phpMyAdmin все работает красиво, но хотелось бы чтобы имя было /pma или что-то подобное.

 

InventoRs
()
1 комментарий

глупый вопрос, но как в bash сделать echo и run

Форум — Development

Понимаю что было, но ненашел как правильно называется. к примеру, делаю файл с содержимым: 

/sbin/ipset -A US 192.168.0.1
но хочу чтобы текст команды одновременно и вывелся на экран и выполнился в текущей оболочке.

InventoRs
()
3 комментария

После замены ядра на Centos 5.7 с 2.6 на 3.0 перестал работать Openvpn

Форум — Admin

Из-за глюков сетевки решил заменить на фремя ядрышко на CentOS, новое вкатил ил elrepo, но как итог, клиент который сидит через openvpn перестал пинговать сети которые ему прописанны, как только перегружаешься в старое ядро то порядок, все работает.

iptables пробовал всключать все в accept, толку нету, проблема явно где-то в другом месте.

InventoRs
()
9 комментариев

Монтирование Lun в центос.

Форум — Admin

Система поставлена на сервере. Жесткие встроенные отстукивают. Лезвие bl460c g6 Полка Hp p2000 Создан один большой vdisk Созданы два Volume, один под систему, другой под базу данных.

Система нормально установилась на свой volume, дальше задача замаунтить второй volume под базу через multipath.

И вот тут начинается интересное:

[root@itdb_sb1 etc]# multipath -l
mpatha (3600c0ff000140c5cd7b9fe4f01000000) dm-0 HP,P2000 G3 SAS
size=33G features='1 queue_if_no_path' hwhandler='0' wp=rw
`-+- policy='round-robin 0' prio=0 status=active
  |- 0:1:1:3 sda 8:0  active undef running
  `- 0:1:2:3 sdc 8:32 active undef running
[root@itdb_sb1 etc]#

Хотя сюда расшарен второй volume А вот что интересное говорит dmesg 

sd 0:1:1:4: [sdb] Attached SCSI disk
sd 0:1:1:4: [sdb] Synchronizing SCSI cache
sd 0:1:1:4: [sdb] Result: hostbyte=DID_OK driverbyte=DRIVER_SENSE
sd 0:1:1:4: [sdb] Sense Key : Not Ready [current]
sd 0:1:1:4: [sdb] Add. Sense: Logical unit not ready, manual intervention required
[root@itdb_sb1 etc]#


sd 0:1:2:4: [sdd] Attached SCSI disk
sd 0:1:2:4: [sdd] Synchronizing SCSI cache
sd 0:1:2:4: [sdd] Result: hostbyte=DID_OK driverbyte=DRIVER_SENSE
sd 0:1:2:4: [sdd] Sense Key : Not Ready [current]
sd 0:1:2:4: [sdd] Add. Sense: Logical unit not ready, manual intervention required
[root@itdb_sb1 etc]#

Помогите разобраться, у самого уже голова не варит, как его смонтировать и ввести в строй.

InventoRs
()
20 комментариев

Centos 5.6 проблема с bridge

Форум — Admin

В крации, уже пару дней бьюсь над глюком, выглядит примерно так:

# cat ifcfg-br2
DEVICE=br2
TYPE=Bridge
STP=on # Turning this on doesn't help solve this problem
ONBOOT=yes
BOOTPROTO=static
IPADDR=192.168.200.1
NETMASK=255.255.255.0
#

# cat ifcfg-eth1.75
DEVICE=eth1.75
ONBOOT=yes
BOOTPROTO=static
VLAN=yes
BRIDGE=br2
#

# cat ifcfg-eth1.1015
DEVICE=eth1.1015
ONBOOT=yes
BOOTPROTO=static
VLAN=yes
BRIDGE=br2
#

После загрузки мост поднимается, интерфейсы в него добавлены, но пинг из внутренней сети на этот адрес не идет. делаем ifdown eth1.75 и пинг появляется.

Проходит какое-то время, пол часа, час, у пользователей отваливается инет которые сидят в eth1.1015, дергаем снова интерфейс eth1.75 и снова все впорядке. дамп трафика имеется, пробовал и в 2 часа ночи и в два часа дня, больше склоняюсь на проблемы сервера.

arp таблица в норме, arpwatch слушает по всем интерфейсам и проблем не видит.

куда копать? скоро посидею.

да, в интерфейсе eth1.75 находится один отдельный комп, порт клиента выключен через консоль.

InventoRs
()
2 комментария

iproute2 debian и один интерфейс по dhcp

Форум — Admin

Собственно настраиваю и нормальное работает iproute2 в связке динамика по pppoe или статика, но сейчас возникла задача настроить это дело когда один из адресов прилетает по dhcp, а второй висит статикой.

Когда идет апдейт адреса то слетает и default route и естественно в таблицу для роутинга ничего не пишется.
Пните как это правильно делается в Debian?

InventoRs
()
2 комментария

ПО, планировщик, ищу

Форум — Desktop

Собственно появляется много повседневных задач по нескольким работам и в обще умным мыслям, что в linux можно использовать для организации этого всего в древовидные структуры и налаживания порядка в голове?

понимаю что уже обсуждали, но мир не стоит на месте и появляется что-то новое, а старое уходит в небытие... Пасибо

InventoRs
()
6 комментариев

TC HTB шейпинг трафика на клиента

Форум — Admin

Разбираюсь с шейпированием трафика, написал пару строк правил, ничего более, но проблема в том что как только включаешь правила шейпировать начинает но не с указанной скоростью, а если указать rate 100Mbit то скорость закачки с этого сервера колеблется от 10кбит до 8мегабит, постоянной скорости нету. Правила выглядят так: 

tc qdisc del dev $dev_lan root
tc qdisc del dev $dev_lan ingress
tc qdisc add dev $dev_lan root handle 1: htb default 900
tc class add dev $dev_lan parent 1: classid 1:1 htb rate 10Mbit
tc filter add dev $dev_lan parent 1:0 protocol ip prio 10 u32 match ip dst 192.168.0.0/16 flowid 1:1

Больше ничего лишнего. 

[root@gw ~]#  tc -s -d class show dev eth0.1000
class htb 1:1 root prio 0 quantum 125000 rate 10000Kbit ceil 10000Kbit burst 2850b/8 mpu 0b overhead 0b cburst 2850b/8 mpu 0b overhead 0b level 0
 Sent 119196904 bytes 116002 pkt (dropped 16992, overlimits 0 requeues 0)
 rate 1890Kbit 277pps backlog 0b 1p requeues 0
 lended: 116001 borrowed: 0 giants: 0
 tokens: -2956 ctokens: -2956

[root@gw ~]#  tc -s -d class show dev eth0.1000
class htb 1:1 root prio 0 quantum 125000 rate 10000Kbit ceil 10000Kbit burst 2850b/8 mpu 0b overhead 0b cburst 2850b/8 mpu 0b overhead 0b level 0
 Sent 134116463 bytes 127463 pkt (dropped 20105, overlimits 0 requeues 0)
 rate 4351Kbit 435pps backlog 0b 0p requeues 0
 lended: 127463 borrowed: 0 giants: 0
 tokens: 1021 ctokens: 1021

OS CentOS 5.5 

Linux gw.localnet 2.6.18-238.9.1.el5 #1 SMP Tue Apr 12 18:10:56 EDT 2011 i686 i686 i386 GNU/Linux

Куда копать, подскажите правильный путь? а то получается все дальнейшие дисциплины просто не работают.

InventoRs
()
11 комментариев

proftpd и его настройка для анонима.

Форум — Admin

Есть сервер на базе уже CentOS 5.6 Установлен proftpd Прописан в /etc/sysconfig/proftpd анонимный доступ. Но! эта зараза отказывается писать в папку uploads и кричит Permission Denied Вычислил что этому мешает вот эта строка в конфиге: 

<Limit WRITE SITE_CHMOD>
  DenyAll
</Limit>
В вернее мешает конкретно слово WRITE

Полный конфиг:


[root@gw sysconfig]# grep -v -E "#|^$"  /etc/proftpd.conf
ServerName                      "ProFTPD server"
ServerIdent                     on "FTP Server ready."
ServerAdmin                     root@localhost
DefaultServer                   on
VRootEngine                     on
DefaultRoot                     ~ !adm
VRootAlias                      etc/security/pam_env.conf /etc/security/pam_env.conf
AuthPAMConfig                   proftpd
AuthOrder                       mod_auth_pam.c* mod_auth_unix.c
UseReverseDNS                   off
User                            nobody
Group                           nobody
MaxInstances                    20
UseSendfile                     off
LogFormat                       default "%h %l %u %t \"%r\" %s %b"
LogFormat                       auth    "%v [%P] %h %t \"%r\" %s"
<IfDefine TLS>
  TLSEngine                     on
  TLSRequired                   on
  TLSRSACertificateFile         /etc/pki/tls/certs/proftpd.pem
  TLSRSACertificateKeyFile      /etc/pki/tls/certs/proftpd.pem
  TLSCipherSuite                ALL:!ADH:!DES
  TLSOptions                    NoCertRequest
  TLSVerifyClient               off
  TLSLog                        /var/log/proftpd/tls.log
  <IfModule mod_tls_shmcache.c>
    TLSSessionCache             shm:/file=/var/run/proftpd/sesscache
  </IfModule>
</IfDefine>
<IfDefine DYNAMIC_BAN_LISTS>
  LoadModule                    mod_ban.c
  BanEngine                     on
  BanLog                        /var/log/proftpd/ban.log
  BanTable                      /var/run/proftpd/ban.tab
  BanOnEvent                    MaxLoginAttempts 2/00:10:00 01:00:00
  BanControlsACLs               all allow user ftpadm
</IfDefine>
<Global>
  Umask                         022
  AllowOverwrite                yes
  <Limit ALL SITE_CHMOD>
    AllowAll
  </Limit>
</Global>
<IfDefine ANONYMOUS_FTP>
  <Anonymous ~ftp>
    User                        ftp
    Group                       ftp
    AccessGrantMsg              "Anonymous login ok, restrictions apply."
    UserAlias                   anonymous ftp
    MaxClients                  10 "Sorry, max %m users -- try again later"
    DisplayLogin                /welcome.msg
    DisplayChdir                .message
    DisplayReadme               README*
    DirFakeUser                 on ftp
    DirFakeGroup                on ftp
    <Limit WRITE SITE_CHMOD>
     DenyAll
    </Limit>
    <Directory uploads/*>
      AllowOverwrite            no
      <Limit READ>
        DenyAll
      </Limit>
      <Limit STOR>
        AllowAll
      </Limit>
    </Directory>
    WtmpLog                     off
    ExtendedLog                 /var/log/proftpd/access.log WRITE,READ default
    ExtendedLog                 /var/log/proftpd/auth.log AUTH auth
    ExtendedLog                 /var/log/proftpd/all.log ALL
  </Anonymous>
</IfDefine>
[root@gw sysconfig]#

Вопрос: Если создатели делают такие опции и они не рабочие из коробки, какой от них смысл? пока не уберешь WRITE не работает запись в uploads, это ведь не нормально, вроде как все должно быть из коробки.

Кто может обьяснить почему так и как правильно? ведь по идее WRITE распространяется на все дерево /var/ftp, но почему тогда когда пишеш WRITE AllowAll в секции uploads он все равно не воспринимается?

InventoRs
()
5 комментариев

keepalived и proxy squid

Форум — Admin

client (0.5) — keepalived (real 0.211, virt 0.215) — proxy (0.117)


[root@balancer keepalived]# ipvsadm -L --stats
IP Virtual Server version 1.2.1 (size=4096)
Prot LocalAddress:Port               Conns   InPkts  OutPkts  InBytes OutBytes
  -> RemoteAddress:Port
TCP  192.168.0.215:squid                15       45        0     2160        0
  -> proxy.second.ua:squid              15       45        0     2160        0
[root@balancer keepalived]#




global_defs {
   notification_email {
     admin@second.ua
   }
   notification_email_from balancer@second.ua
   smtp_server mail.second.ua
   smtp_connect_timeout 30
   router_id LVS_DEVEL
}

vrrp_instance VI_1 {
    state MASTER
    interface eth0
    virtual_router_id 51
    priority 100
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass 1111
    }
    virtual_ipaddress {
        192.168.0.215
    }
}

virtual_server 192.168.0.215 3128 {
    delay_loop 6
    lb_algo rr
    lb_kind NAT
    nat_mask 255.255.255.0
    persistence_timeout 600
    protocol TCP

    real_server 192.168.0.117 3128 {
       weight 1
       HTTP_GET {
           url {
             path http://192.168.0.2
             status_code 200
          }

            connect_timeout 10
            nb_get_retry 3
            delay_before_retry 8
        }
    }

}

Дальше клиенту прописал: proxy 192.168.0.215 Видно что запросы на балансировщик приходят, но ответа нету. Подскажите куда еще копать?

InventoRs
()
1 комментарий

Exim, main.log и куски записей от clamav

Форум — Admin

Не могу понять, но ночью в 12 часов clamav вносит свои данные в /var/log/exim/main.log строками: 

^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
SelfCheck: Database status OK.
2011-02-28 00:02:37 Delay 0s for localhost [127.0.0.1] with HELO=mail.second.ua. Mail from root@mail.second.ua to root@mail.second.ua.
2011-02-28 00:02:37 1PtohJ-0008O0-LW <= root@mail.second.ua H=localhost (mail.second.ua) [127.0.0.1] P=esmtps X=TLSv1:AES256-SHA:256 S=863 id=201102272202.p1RM21HU032080@mail.second.ua
2011-02-28 00:02:37 1PtohJ-0008O0-LW => spam_in <root@mail.second.ua> R=localuser T=local_delivery
2011-02-28 00:02:37 1PtohJ-0008O0-LW Completed
2011-02-28 00:02:41 H=derivarisk.com (mail.capex.net) [85.214.159.151] sender verify defer for <volume@sotovik.com.ua>: could not connect to sotovik.com.ua [77.120.122.115]: No route to host
2011-02-28 00:02:41 H=derivarisk.com (mail.cap

При этом у clamav ведутся свои логи и все такое, в упор не могу найти где и что пересекается и как это устранить, прошу вашей помощи.

InventoRs
()
2 комментария

Автоматическое обновление ticket на proxy

Форум — Admin

CentOS 5.5, заведена в домен.
В smb.conf прописано
winbind refresh tickets = true
но тикеты все равно не обновляются автоматом, как это правильно автоматизировать?

InventoRs
()

Проблемы с clamav в контейнере OpenVZ

Форум — Admin

Перегрузил хостовую систему с контейнерами OpenVZ и в одном из контейнеров получил в логе clamav ошибку:

Tue Jan 4 09:57:33 2011 -> ERROR: daemonize() failed: Permission denied
Tue Jan 4 09:57:33 2011 -> Socket file removed.

В прошлый раз решил проблему так:
chmod a+w /dev/null
chmod a+r /dev/null

Теперь после перезагрузки права вернулись в исходную, вопрос почему и как сделать правильно чтобы работало?

InventoRs
()
6 комментариев

Непонятки с winbind

Форум — Admin

Используется SQUID с авторизацией в домене через Winbind
В логах сервера появляется такая запись:


Dec 21 11:58:05 proxy winbindd[25809]: rpc_api_pipe: Remote machine dc1.second.ua pipe \NETLOGON fnum 0xc001returned critical error. Error was Call timed out: server did not respond after 10000 milliseconds
Dec 21 11:58:15 proxy winbindd[25809]: [2010/12/21 11:58:15, 0] libsmb/clientgen.c:cli_receive_smb(111)
Dec 21 11:58:15 proxy winbindd[25809]: Receiving SMB: Server stopped responding
Не часто, но периодами.
Подскажите как оптимизировать и избавится от этой проблемы?

Squid, порядка 300 пользователей в сутки.

InventoRs
()
1 комментарий
следующие →

RSS подписка на новые темы