Сообщения Shinma

VLAN ip addr add arping

Форум — General

Добрый день. Вот собственно и вопрос - куда пропал пинг до DL101 из всей подсетки 10.133.10.0? куда копать подскажите. На сервере DL202 удалил IP

DL202
ip addr del 10.133.10.180/24 dev vlan723

И добавил его на сервер DL101

ip addr add 10.133.10.180/24 broadcast 10.133.10.255 dev vlan723 label vlan723:hanapfs
ip route add default via 10.133.10.1 table 108
ip rule add from 10.133.10.180 table 108
arping -c 4 -A -I vlan723 10.133.10.180

После этого начались проблемы. С любого сервера из сетки 10.133.10.0 перестал пинговаться один сервер DL101. Вся сопутствующая инфа ниже. Мне какжется вся проблема в строке:

ip route add default via 10.133.10.1 table 108

[cut]

DL202
ip addr del 10.133.10.180/24 dev vlan723

# nslookup DL202
Name:   DL202
Address: 10.133.10.22

# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
6: eth2: <BROADCAST,MULTICAST,SLAVE,UP,LOWER_UP> mtu 1500 qdisc mq master bond0 state UP group default qlen 1000
    link/ether 8c:dc:d4:11:ff:f0 brd ff:ff:ff:ff:ff:ff
7: eth4: <BROADCAST,MULTICAST,SLAVE,UP,LOWER_UP> mtu 1500 qdisc mq master bond0 state UP group default qlen 1000
    link/ether 8c:dc:d4:11:ff:f0 brd ff:ff:ff:ff:ff:ff
8: eth5: <BROADCAST,MULTICAST,SLAVE,UP,LOWER_UP> mtu 1500 qdisc mq master bond0 state UP group default qlen 1000
    link/ether 8c:dc:d4:11:ff:f0 brd ff:ff:ff:ff:ff:ff
9: eth6: <BROADCAST,MULTICAST,SLAVE,UP,LOWER_UP> mtu 1500 qdisc mq master bond0 state UP group default qlen 1000
    link/ether 8c:dc:d4:11:ff:f0 brd ff:ff:ff:ff:ff:ff
10: bond0: <BROADCAST,MULTICAST,MASTER,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 8c:dc:d4:11:ff:f0 brd ff:ff:ff:ff:ff:ff
11: vlan730@bond0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 8c:dc:d4:11:ff:f0 brd ff:ff:ff:ff:ff:ff
    inet 10.133.21.22/24 brd 10.133.21.255 scope global vlan730
       valid_lft forever preferred_lft forever
12: vlan741@bond0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 8c:dc:d4:11:ff:f0 brd ff:ff:ff:ff:ff:ff
    inet 10.133.41.22/24 brd 10.133.41.255 scope global vlan741
       valid_lft forever preferred_lft forever
13: vlan723@bond0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 8c:dc:d4:11:ff:f0 brd ff:ff:ff:ff:ff:ff
    inet 10.133.10.22/24 brd 10.133.10.255 scope global vlan723
       valid_lft forever preferred_lft forever
    inet 10.133.10.16/24 brd 10.133.10.255 scope global secondary vlan723:hanahis
       valid_lft forever preferred_lft forever
    inet 10.133.10.179/24 brd 10.133.10.255 scope global secondary vlan723:hanadfs
       valid_lft forever preferred_lft forever
	   
# ip rule
0:      from all lookup local
32766:  from all lookup main
32767:  from all lookup default

# ip route
default via 10.133.10.1 dev vlan723
10.133.10.0/24 dev vlan723 proto kernel scope link src 10.133.10.22
10.133.21.0/24 dev vlan730 proto kernel scope link src 10.133.21.22
10.133.41.0/24 dev vlan741 proto kernel scope link src 10.133.41.22

# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         10.133.10.1     0.0.0.0         UG        0 0          0 vlan723
10.133.10.0     0.0.0.0         255.255.255.0   U         0 0          0 vlan723
10.133.21.0     0.0.0.0         255.255.255.0   U         0 0          0 vlan730
10.133.41.0     0.0.0.0         255.255.255.0   U         0 0          0 vlan741

[/cut]

Пинга до DL101 нет, а он был (Вообще с любого сервера из подсетки 10.133.10.0 нет пинга до dl101)

# ping dl101
PING DL101.sgc.oil.gas (10.133.12.11) 56(84) bytes of data.
^C
--- DL101.sgc.oil.gas ping statistics ---
18 packets transmitted, 0 received, 100% packet loss, time 17413ms

[cut]

DL101
ip addr add 10.133.10.180/24 broadcast 10.133.10.255 dev vlan723 label vlan723:hanapfs
ip route add default via 10.133.10.1 table 108
ip rule add from 10.133.10.180 table 108
arping -c 4 -A -I vlan723 10.133.10.180
# nslookup DL101
Name:   DL101
Address: 10.133.12.11

# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether 28:80:23:b4:9e:70 brd ff:ff:ff:ff:ff:ff
3: eth5: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether 28:80:23:b4:9e:71 brd ff:ff:ff:ff:ff:ff
4: eth0: <BROADCAST,MULTICAST,SLAVE,UP,LOWER_UP> mtu 1500 qdisc mq master bond0 state UP group default qlen 1000
    link/ether 8c:dc:d4:12:10:38 brd ff:ff:ff:ff:ff:ff
5: eth6: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether 28:80:23:b4:9e:72 brd ff:ff:ff:ff:ff:ff
6: eth7: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether 28:80:23:b4:9e:73 brd ff:ff:ff:ff:ff:ff
7: eth2: <BROADCAST,MULTICAST,SLAVE,UP,LOWER_UP> mtu 1500 qdisc mq master bond0 state UP group default qlen 1000
    link/ether 8c:dc:d4:12:10:38 brd ff:ff:ff:ff:ff:ff
8: eth3: <BROADCAST,MULTICAST,SLAVE,UP,LOWER_UP> mtu 1500 qdisc mq master bond0 state UP group default qlen 1000
    link/ether 8c:dc:d4:12:10:38 brd ff:ff:ff:ff:ff:ff
9: eth4: <BROADCAST,MULTICAST,SLAVE,UP,LOWER_UP> mtu 1500 qdisc mq master bond0 state UP group default qlen 1000
    link/ether 8c:dc:d4:12:10:38 brd ff:ff:ff:ff:ff:ff
10: bond0: <BROADCAST,MULTICAST,MASTER,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 8c:dc:d4:12:10:38 brd ff:ff:ff:ff:ff:ff
11: vlan731@bond0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 8c:dc:d4:12:10:38 brd ff:ff:ff:ff:ff:ff
    inet 10.133.22.12/24 brd 10.133.22.255 scope global vlan731
       valid_lft forever preferred_lft forever
12: vlan741@bond0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 8c:dc:d4:12:10:38 brd ff:ff:ff:ff:ff:ff
    inet 10.133.41.11/24 brd 10.133.41.255 scope global vlan741
       valid_lft forever preferred_lft forever
13: vlan723@bond0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 8c:dc:d4:12:10:38 brd ff:ff:ff:ff:ff:ff
    inet 10.133.10.180/24 brd 10.133.10.255 scope global vlan723:hanapfs
       valid_lft forever preferred_lft forever
14: vlan725@bond0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 8c:dc:d4:12:10:38 brd ff:ff:ff:ff:ff:ff
    inet 10.133.12.11/24 brd 10.133.12.255 scope global vlan725
       valid_lft forever preferred_lft forever
    inet 10.133.12.121/24 brd 10.133.12.255 scope global secondary vlan725:hanar3d
       valid_lft forever preferred_lft forever
    inet 10.133.12.136/24 brd 10.133.12.255 scope global secondary vlan725:hanasfd
       valid_lft forever preferred_lft forever

# ip rule
0:      from all lookup local
32765:  from 10.133.10.180 lookup 108
32766:  from all lookup main
32767:  from all lookup default

# ip route
default via 10.133.12.1 dev vlan725
10.133.10.0/24 dev vlan723 proto kernel scope link src 10.133.10.180
10.133.12.0/24 dev vlan725 proto kernel scope link src 10.133.12.11
10.133.22.0/24 dev vlan731 proto kernel scope link src 10.133.22.12
10.133.41.0/24 dev vlan741 proto kernel scope link src 10.133.41.11

# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         10.133.12.1     0.0.0.0         UG        0 0          0 vlan725
10.133.10.0     0.0.0.0         255.255.255.0   U         0 0          0 vlan723
10.133.12.0     0.0.0.0         255.255.255.0   U         0 0          0 vlan725
10.133.22.0     0.0.0.0         255.255.255.0   U         0 0          0 vlan731
10.133.41.0     0.0.0.0         255.255.255.0   U         0 0          0 vlan741

[/cut]

vlan

Shinma
(28.11.22 07:23:42 MSK)

4 комментария

sudo runuser env

Форум — Admin

Цель: запустить команду из под обычного пользователя usertest Препятствия: Права на запуск бинарника есть только у пользователя userX (где Х-это разные символы на разных системах), а я не хочу на каждой системе делать отдельные частные команды. но более того, чтобы команда отработала надо использовать окружающую среду пользователя userX, т.к. там указаны переменные окружающей среды с путями к необходимым библиотекам, чтобы бинарник отработал верно. Прошу указать где могут быть проблемы в этом решении с точки зрения безопасности. Спасибо. Ну или если есть возможность показать как надо. Я решил эту задачу так:

visudo
usertest ALL = (root) NOPASSWD: /usr/sbin/runuser -l user? -c\ /doc/???/exe/license -get\
su - usertest
sudo -u root /usr/sbin/runuser -l user1 -c '/doc/TST/exe/license -get

env, runuser, sudo

Shinma
(20.01.22 19:24:18 MSK)

Как правильно выполнить ip addr add vlan?

Форум — Admin

Имею два сервера на которых поднять vlan интерфейс

сервер1
10.177.77.0/24 dev vlan777  proto kernel  scope link  src 10.177.77.13

сервер2
10.177.77.0/24 dev vlan777  proto kernel  scope link  src 10.177.77.23

добавляю на одном из них сетевой интерфейс

ip addr add 10.177.77.154/24 broadcast 10.177.77.255 dev vlan777 label vlan777:test1

все работает. проверяю командой ping с третьего сервера, где подсеть 10.177.88.* на своем vlan888. Пинг проходит. Все ОК. Удаляю.

удалить

ip addr del 10.177.77.154/24  dev vlan777

И поднимаю на втором сервере

ip addr add 10.177.77.154/24 broadcast 10.177.77.255 dev vlan777 label vlan777:test1

проверяю командой ping с сервера где подсеть 10.177.88.* на своем vlan888, приходится ждать минут 30, пинг появляется. Пытаюсь после этого поднять IP на обратном сервере, опять нет пинга и ждать пол часа пока появится. ОС SUSE. Если делать через YAST то все отрабатывает мгновенно на обоих узлах. Подскажите куда копать, и что читать.

Если вручную допишу в конфиг файл vlan этот ip то все работает.

vi /etc/sysconfig/network/ifcfg-vlan777
добавляю в конец конфига
IPADDR_0='10.177.77.154/24'
LABEL_0='test1'
выполняю команду
systemctl reload network
и все работает

Как это выполнить из консоли без конфига? Ну то-есть ip a, что не самостоятельная команда такая?

Shinma
(10.02.20 11:49:57 MSK)

6 комментариев

Systemd user.slice автозагрузка

Форум — Admin

Имеется user-16553.slice

└─user.slice
***
***
  └─user-16553.slice
    ├─user@16553.service
    │ └─init.scope
    │   ├─2478 /usr/lib/systemd/systemd --user
    │   └─2482 (sd-pam)
    └─session-c3.scope
      ├─ 2578 /usr/sap/ET2/HDB10/exe/sapstartsrv pf=/usr/sap/ET2/SYS/profile/ET2_HDB10_kvm-sap-sds -D -u et2adm
      ├─ 4396 sapstart pf=/usr/sap/ET2/SYS/profile/ET2_HDB10_kvm-sap-sds
      ├─ 4405 /usr/sap/ET2/HDB10/kvm-sap-sds/trace/hdb.sapET2_HDB10 -d -nw -f /usr/sap/ET2/HDB10/kvm-sap-sds/daemon.ini pf=/usr/sap/ET2/SYS/profile/ET2_HDB10_kvm-sap-sds
      ├─ 4422 hdbnameserver
      ├─ 4457 hdbstreamingserver -hdb:instance=10 -hdb:hostname=kvm-sap-sds -p/usr/sap/ET2/HDB10/streaming/cluster/et2/config/cluster.log.properties --config /usr/sap/ET2/HDB10/streaming/cluster/et2/
      ├─ 4460 hdbwebdispatcher
      ├─10730 /hana/shared/ET2/streaming/STREAMING-2_0/bin/streamingwebservice -c -e
      ├─10733 /hana/shared/ET2/streaming/STREAMING-2_0/bin/streamingwebworker -c -e
      ├─10734 /hana/shared/ET2/streaming/STREAMING-2_0/bin/streamingwebworker -c -e
      ├─10735 /hana/shared/ET2/streaming/STREAMING-2_0/bin/streamingwebworker -c -e
      ├─10736 /hana/shared/ET2/streaming/STREAMING-2_0/bin/streamingwebworker -c -e
******

Цель - ограничить потребление оперативной памяти для всего, что запускается под этим пользоавтелем. не знаю можно ли использовать session-c3.scope. Если использовать следующую команду, то все работает до перезагрузки

systemctl set-property user-16553.slice MemoryLimit=1024M

Как правильно организовать ограничение использования памяти даже после перезагрузки ОС? Пробовал создавать

vi /etc/systemd/system/user-16553.slice
[Unit]
Description=16553 user.slice
[Slice]
MemoryAccounting=true
MemoryLimit=3000M

systemctl daemon-reload

Но файл удаляется системой после перезагрузки. Я уже подумываю просто запустить скрипт в кронтаб, но это выглядит как то по кустарному. Как правильно организовать такие ограничения ? Заранее спасибо.

systemd

Shinma
(23.09.19 07:32:12 MSK)

6 комментариев

Kerberos, LDAP, PAM (Все на Linux)

Форум — Admin

Добрый день.Прошу помочь в поиске информации. Хочу разобраться как работает Kerberos, LDAP и PAM в этой связке на Linux сервер/клиент по ssh. Те статьи которые нашел никак не раскрывают картину, либо относятся к какому-то уже готовому продукту типа астры. Мне удалось запустить kdc и зайти в систему-клиент с помощью учетки настроенной в kdc на сервере. Но тепреь у меня появилось еще больше вопросов. Как оказалось на клиент по ssh зайти могу только если эта учетка уже есть на клиенте, заранее создана, если она не создана на клиенте локально, то зайти нельзя, в логах ругается, что мол нет uid/guid. У учетки которая есть локально появляется два выбора пароля - можно ввести локальный, а можно от кербероса. Но я не знаю как сделать так, чтобы можно было контролировать создание удаление учеток. Чтобы home был у всех свой локальный безо всяких samba. Что-бы Guid/Uid указывал я при создании как админ, а не автоматом как захотелось системе. Чтобы требовало смену пароля у пользователя. Я думаю, что это может сделать LDAP, но не нашел еще норм статьи разжовывающей, как оно работает и надо ли его вообще прикручивать к kerberos. Еще не понял как правильно и безопасно организовать вход в систему-клиент и локальных учеток и kerberos через PAM. И в дальнейшем закрыть вход локальных, либо оставить только специальный учетки для входа локально, а всем остальным разрешить вход только через kerberos пароль. Одни вопросы, а ответов пока нет. realm - может ли быть любым словом или обязательно быть доменом? Как сделать дублирование kerberos на случай падения первого узла? итд. Прошу помочь.

vi /var/lib/kerberos/krb5kdc/kdc.conf

[kdcdefaults]
        kdc_ports = 750,88
        default_realm = OAO.SSS
  
[realms]
OAO.SSS = {
    database_name = /var/lib/kerberos/krb5kdc/principal
    admin_keytab = FILE:/var/lib/kerberos/krb5kdc/kadm5.keytab
    acl_file = /var/lib/kerberos/krb5kdc/kadm5.acl
	dict_file = /var/lib/kerberos/krb5kdc/kadm5.dict
    key_stash_file = /var/lib/kerberos/krb5kdc/.k5.OAO.SSS
    kdc_ports = 750,88
    max_life = 10h 0m 0s
    max_renewable_life = 7d 0h 0m 0s
}
 
[logging]
    kdc = FILE:/var/log/krb5/krb5kdc.log
    admin_server = FILE:/var/log/krb5/kadmind.log


vi /etc/krb5.conf

[libdefaults]
default_realm = OAO.SSS
default_ccache_name = FILE:/tmp/krb5cc_%{uid}

[realms]
OAO.SSS = {
kdc = kvm-kdc01.OAO.SSS
}

[domain_realm]
.oao.sss = OAO.SSS
oao.sss = OAO.SSS

[logging]
    kdc = FILE:/var/log/krb5/krb5kdc.log
    admin_server = FILE:/var/log/krb5/kadmind.log
    default = SYSLOG:NOTICE:DAEMON

kerberos, ldap, pam

Shinma
(27.06.19 14:01:52 MSK)

5 комментариев

PasswordAuthentication yes или UsePAM yes

Форум — Admin

vi /etc/ssh/sshd_config
PasswordAuthentication yes
UsePAM yes

Подскажите как работают эти две опции с параметром yes в одном конфиге. Я не понимаю как работает PasswordAuthentication.По умолчанию UsePAM yes, а PasswordAuthentication no. я по ssh работаю с паролем и ключами и все ок, но некий пользователей со своей программы не смог зайти по SFTP. зато когда я ему добавил PasswordAuthentication yes он смог зайти. По умолчанию у меня стоит так:

vi /etc/ssh/sshd_config
PasswordAuthentication no
UsePAM yes

passwordauthentication

Shinma
(22.03.19 10:34:37 MSK)

23 комментария

Права на файл не трогая стандартные chmod

Форум — Security

Добрый день. Подскажите пожалуйста как выдать права на чтение на файл пользователю если у него нельзя менять владельца, группу, other и нельзя менять права на эти параметры. Пример: файлы в папке /tmp/test1, владелец user1 группа group1, права 760. Нельзя менять владельца и группу, нельзя менять 760. Нужно дать права на чтение файлов в этом каталоге пользователю user2, но нельзя записывать user2 в group1, чтобы он не получил больше прав чем следует из-за прав группы group1 на другие каталоги. Пробовал setfacl -R -dm..., setfacl -dm..., setfacl -m. все равно пользователь не может читать файлы в каталоге.

права

Shinma
(14.06.18 13:14:17 MSK)

14 комментариев

Unlimited Virtual Machines

Форум — Linux-install

Всем здоровья. Подскажите ответ на вопрос по лицензиям. У Suse есть лицензии с припиской «SUSE Linux Enterprise Server, 1-2 Sockets with Unlimited Virtual Machines». Что это означает? Поставить на физ сервер с 2 ЦПУ ОС Suse, зарегистрировать ее под выданным рег кодом по этой лицензии, поднять на ней KVM и на этом KVM безграничное число VM той же SUSE и все это за покупку одной лицензии но примененной на все 125* VM на ней? или мне надо докупать на каждую VM еще отдельную лицензию Suse?

suse

Shinma
(30.05.18 17:07:16 MSK)

8 комментариев

openWRT VPN через соседний роутер

Форум — Admin

Ребята кто может рассказать как должен быть настроен роутер с прошивкой openWRT, чтобы он получал интернет через соседний роутер и при этом подключался к VPN серверу pptp находящемуся в интернете и раздавал по вифи доступ именно через это впн соединение. В и тоге хочу получить роутер с простой заводской прошивкой (тплинк) - соединяется с интернетом - раздает интернет по кабелю ethernet и по wifi безо всяких VPN. К нему подключен роутер c openWRT - dlink dir320. dlink по pptp поднимает vpn соединение с внешним VPN сервером (купил vps и поднял там pptp) и по своему WIFI раздает интернет, которые должен проходить через VPN. я максимум до чего дошел - это dlink соединяется с интерентом и поднимает VPN. Но я не понимаю как заставить WIFI проходить через VPN. т.к. соединяясь с dlink по wifi почему-то соединение идет через tplink напрямую в интернет, а не через VPN. Я не могу заставить его маршрутизировать трафик через VPN. Подскажите какой должен быть конфиг. Может это и VPN сервак надо по другому настраивать. Я еще не мутил такие схемы и не понимаю как оно должно быть устроено. Заранее спасибо.

P.S> Конфиг, не графика. VPN я сломал на dlink. теперь его совсем нет. И я не понимаю как он вообще должен быть настроен на dlink.

Сейчас настроено так:

tplink:
DHCP enable
IP Address:192.168.1.1
Subnet Mask:255.255.255.0
Default Gateway: 192.168.1.1
DNS Server: 8.8.8.8

Dlink openWRT

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fd52:a4f2:c772::/48'

config interface 'lan'
        option type 'bridge'
        option ifname 'eth0.1'
        option proto 'static'
        option netmask '255.255.255.0'
        option ipaddr '192.168.1.10'
        option gateway '192.168.1.1'
        option dns '192.168.1.1'

config device 'lan_dev'
        option name 'eth0.1'
        option macaddr '2a:10:7b:55:a7:96'

config device 'wan_dev'
        option name 'eth0.2'
        option macaddr '2a:10:7b:55:a7:97'

config interface 'wan6'
        option ifname 'eth0.2'
        option _orig_ifname 'eth0.2'
        option _orig_bridge 'false'
        option proto 'dhcp'
        option hostname 'Dir_320'

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option ports '0 1 2 3 6t'

config switch_vlan
        option device 'switch0'
        option vlan '2'
        option ports '4 6t'

Пакеты на dlink для pptp соединения:

kmod-pptp   4.4.92-1    
ppp-mod-pptp   2.4.7-12

openwrt

Shinma
(20.05.18 01:01:21 MSK)

11 комментариев

cp -pr не отрабатывает как надо

Форум — Admin

Подскажите куда смотреть

cd /srv && tar cf - . | (cd /srv_new ; tar xf -)

# ll /srv/www/htdocs
total 20
drwxr-xr-x 2 root root 4096 Sep 28  2016 gif
-rw-r--r-- 1 root root 2356 Sep 23  2014 info2html.css
drwxr-xr-x 7 smt  www  4096 May  6  2017 repo
-rw-r--r-- 1 root root 1651 Oct  2  2017 smt.crt
-r--r--r-- 1 root root 1651 Sep 29  2016 smt.crt_OLD

# ll /srv_new/www/htdocs
total 8
drwx------ 5 root root 4096 Apr 10 12:18 repo
-rw-r--r-- 1 root root 1651 Oct  2  2017 smt.crt

пробовал и tar -cvf ***; tar -xvf ***; и cp -pr система не создает файлы с теми же правами. Выше в примере копирование не закончилось поэтому не все файлы, но наглядно видно, что папка repo получает другие uid/guid и права. Кто знает в чем проблема? Заранее спасибо.

Shinma
(10.04.18 10:28:34 MSK)

3 комментария

сетевые адаптеры - vmware - linux eth интерфейс - аппаратная очередь RX TX

Форум — Admin

В Linux SUSE через ethtool вижу 4 аппаратные очереди отправки,получения у сетевого интерфейса. ОС - это виртуалка в VMware. На другой виртуалке в другом кластере VMware 2 очереди, а не 4. Я не могу понять откуда ноги растут у этих очередей. Как найти или куда смотреть в вмваре, чттобы увидеть откуда у сетевого интерфейса несколько аппаратных очередей? я в вмваре новичек.


/usr/sbin/ethtool -S eth0
NIC statistics:
     Tx Queue#: 0
       TSO pkts tx: 7214486
       TSO bytes tx: 50550218430
       ucast pkts tx: 583443569
       ucast bytes tx: 222914172507
       mcast pkts tx: 0
       mcast bytes tx: 0
       bcast pkts tx: 84
       bcast bytes tx: 3528
       pkts tx err: 0
       pkts tx discard: 0
       drv dropped tx total: 0
          too many frags: 0
          giant hdr: 0
          hdr err: 0
          tso: 0
       ring full: 0
       pkts linearized: 0
       hdr cloned: 0
       giant hdr: 0
     Tx Queue#: 1
       TSO pkts tx: 7216123
       TSO bytes tx: 38831016246
       ucast pkts tx: 604816019
       ucast bytes tx: 219323791932
       mcast pkts tx: 0
       mcast bytes tx: 0
       bcast pkts tx: 0
       bcast bytes tx: 0
       pkts tx err: 0
       pkts tx discard: 0
       drv dropped tx total: 0
          too many frags: 0
          giant hdr: 0
          hdr err: 0
          tso: 0
       ring full: 0
       pkts linearized: 0
       hdr cloned: 0
       giant hdr: 0
     Tx Queue#: 2
       TSO pkts tx: 8394151
       TSO bytes tx: 37183473140
       ucast pkts tx: 678502215
       ucast bytes tx: 237489185714
       mcast pkts tx: 0
       mcast bytes tx: 0
       bcast pkts tx: 0
       bcast bytes tx: 0
       pkts tx err: 0
       pkts tx discard: 0
       drv dropped tx total: 0
          too many frags: 0
          giant hdr: 0
          hdr err: 0
          tso: 0
       ring full: 0
       pkts linearized: 0
       hdr cloned: 0
       giant hdr: 0
     Tx Queue#: 3
       TSO pkts tx: 7188275
       TSO bytes tx: 34760819224
       ucast pkts tx: 760889801
       ucast bytes tx: 247582904693
       mcast pkts tx: 0
       mcast bytes tx: 0
       bcast pkts tx: 0
       bcast bytes tx: 0
       pkts tx err: 0
       pkts tx discard: 0
       drv dropped tx total: 0
          too many frags: 0
          giant hdr: 0
          hdr err: 0
          tso: 0
       ring full: 3
       pkts linearized: 0
       hdr cloned: 0
       giant hdr: 0
     Rx Queue#: 0
       LRO pkts rx: 112669805
       LRO byte rx: 621229025054
       ucast pkts rx: 670692089
       ucast bytes rx: 937379449784
       mcast pkts rx: 0
       mcast bytes rx: 0
       bcast pkts rx: 56965
       bcast bytes rx: 3427140
       pkts rx OOB: 0
       pkts rx err: 0
       drv dropped rx total: 0
          err: 0
          fcs: 0
       rx buf alloc fail: 0
     Rx Queue#: 1
       LRO pkts rx: 120269388
       LRO byte rx: 678500866929
       ucast pkts rx: 706652396
       ucast bytes rx: 1017216474826
       mcast pkts rx: 0
       mcast bytes rx: 0
       bcast pkts rx: 146
       bcast bytes rx: 34120
       pkts rx OOB: 0
       pkts rx err: 0
       drv dropped rx total: 0
          err: 0
          fcs: 0
       rx buf alloc fail: 0
     Rx Queue#: 2
       LRO pkts rx: 117541666
       LRO byte rx: 637783456937
       ucast pkts rx: 814410347
       ucast bytes rx: 995778025970
       mcast pkts rx: 0
       mcast bytes rx: 0
       bcast pkts rx: 0
       bcast bytes rx: 0
       pkts rx OOB: 109
       pkts rx err: 0
       drv dropped rx total: 0
          err: 0
          fcs: 0
       rx buf alloc fail: 0
     Rx Queue#: 3
       LRO pkts rx: 147713022
       LRO byte rx: 984700200609
       ucast pkts rx: 714191391
       ucast bytes rx: 1339429264464
       mcast pkts rx: 0
       mcast bytes rx: 0
       bcast pkts rx: 2
       bcast bytes rx: 408
       pkts rx OOB: 129
       pkts rx err: 0
       drv dropped rx total: 0
          err: 0
          fcs: 0
       rx buf alloc fail: 0
     tx timeout count: 0

/usr/sbin/ethtool -S eth0
NIC statistics:
     Tx Queue#: 0
       TSO pkts tx: 7214486
       TSO bytes tx: 50550218430
       ucast pkts tx: 583443569
       ucast bytes tx: 222914172507
       mcast pkts tx: 0
       mcast bytes tx: 0
       bcast pkts tx: 84
       bcast bytes tx: 3528
       pkts tx err: 0
       pkts tx discard: 0
       drv dropped tx total: 0
          too many frags: 0
          giant hdr: 0
          hdr err: 0
          tso: 0
       ring full: 0
       pkts linearized: 0
       hdr cloned: 0
       giant hdr: 0
     Tx Queue#: 1
       TSO pkts tx: 7216123
       TSO bytes tx: 38831016246
       ucast pkts tx: 604816019
       ucast bytes tx: 219323791932
       mcast pkts tx: 0
       mcast bytes tx: 0
       bcast pkts tx: 0
       bcast bytes tx: 0
       pkts tx err: 0
       pkts tx discard: 0
       drv dropped tx total: 0
          too many frags: 0
          giant hdr: 0
          hdr err: 0
          tso: 0
       ring full: 0
       pkts linearized: 0
       hdr cloned: 0
       giant hdr: 0
     Tx Queue#: 2
       TSO pkts tx: 8394151
       TSO bytes tx: 37183473140
       ucast pkts tx: 678502215
       ucast bytes tx: 237489185714
       mcast pkts tx: 0
       mcast bytes tx: 0
       bcast pkts tx: 0
       bcast bytes tx: 0
       pkts tx err: 0
       pkts tx discard: 0
       drv dropped tx total: 0
          too many frags: 0
          giant hdr: 0
          hdr err: 0
          tso: 0
       ring full: 0
       pkts linearized: 0
       hdr cloned: 0
       giant hdr: 0
     Tx Queue#: 3
       TSO pkts tx: 7188275
       TSO bytes tx: 34760819224
       ucast pkts tx: 760889801
       ucast bytes tx: 247582904693
       mcast pkts tx: 0
       mcast bytes tx: 0
       bcast pkts tx: 0
       bcast bytes tx: 0
       pkts tx err: 0
       pkts tx discard: 0
       drv dropped tx total: 0
          too many frags: 0
          giant hdr: 0
          hdr err: 0
          tso: 0
       ring full: 3
       pkts linearized: 0
       hdr cloned: 0
       giant hdr: 0
     Rx Queue#: 0
       LRO pkts rx: 112669805
       LRO byte rx: 621229025054
       ucast pkts rx: 670692089
       ucast bytes rx: 937379449784
       mcast pkts rx: 0
       mcast bytes rx: 0
       bcast pkts rx: 56965
       bcast bytes rx: 3427140
       pkts rx OOB: 0
       pkts rx err: 0
       drv dropped rx total: 0
          err: 0
          fcs: 0
       rx buf alloc fail: 0
     Rx Queue#: 1
       LRO pkts rx: 120269388
       LRO byte rx: 678500866929
       ucast pkts rx: 706652396
       ucast bytes rx: 1017216474826
       mcast pkts rx: 0
       mcast bytes rx: 0
       bcast pkts rx: 146
       bcast bytes rx: 34120
       pkts rx OOB: 0
       pkts rx err: 0
       drv dropped rx total: 0
          err: 0
          fcs: 0
       rx buf alloc fail: 0
     Rx Queue#: 2
       LRO pkts rx: 117541666
       LRO byte rx: 637783456937
       ucast pkts rx: 814410347
       ucast bytes rx: 995778025970
       mcast pkts rx: 0
       mcast bytes rx: 0
       bcast pkts rx: 0
       bcast bytes rx: 0
       pkts rx OOB: 109
       pkts rx err: 0
       drv dropped rx total: 0
          err: 0
          fcs: 0
       rx buf alloc fail: 0
     Rx Queue#: 3
       LRO pkts rx: 147713022
       LRO byte rx: 984700200609
       ucast pkts rx: 714191391
       ucast bytes rx: 1339429264464
       mcast pkts rx: 0
       mcast bytes rx: 0
       bcast pkts rx: 2
       bcast bytes rx: 408
       pkts rx OOB: 129
       pkts rx err: 0
       drv dropped rx total: 0
          err: 0
          fcs: 0
       rx buf alloc fail: 0
     tx timeout count: 0
[\code]

vmware

Shinma
(14.12.17 14:21:24 MSK)

8 комментариев

Bash Сложение чисел выводящихся построково

Форум — Admin

Не знаю как в этой строке продолжить кода чтобы получить конечную сумму

ethtool -S eth0 | grep "ucast pkts tx" | cut -d":" -f2
 672170
 573638

Пробовал так:

# ethtool -S eth0 | grep "ucast pkts tx" | cut -d":" -f2|while read n; do  s=$(($s+$n)); echo "n=$n"; echo "s=$s"; done; echo $s
n=672220
s=672220
n=573643
s=1245863
0

Но почему-то все правильно пока не выходит из цикла while. А в итоге опять ноль.

bash

Shinma
(12.12.17 12:52:13 MSK)

14 комментариев

ethtool научите пользоваться

Форум — Admin

Научите пожалуйста читать следующий вывод:

( ethtool -S eth0 )

Конкретно я не понимаю почему тут два Tx Queue#: и два Rx Queue#: Что означают параметры в значениях которых не НОЛЬ. И как из этой информации получить скорость передачи через данный интерфейс, ну или хотябы на что смотреть чтобы понимать, что идет активность?

Спасибо. (Ман не помог, как и гугл в течении часа)

ethtool

Shinma
(12.12.17 07:23:44 MSK)

3 комментария

Проблема с открытием графических приложений

Форум — Admin

Опишу подробно, что делаю. Запускаю suse. запускаю vncserver. соединяюсь через броузер с рабочим столом vncserver. Получаю рабочий стол пользователя в броузере. У пользователя по умолчанию шел= /bin/bash. запускаю терминал и в нем запускаю программы работающие через графику(xclock) все нормально работает, приложения с графикой запускается. Переключаюсь на пользователя у которого оболочка csh приложения работающие через графику - вылетают. Если переключиться на пользователя с оболочкой bash, то до одного вложенного пользователя графика еще отображается, со второго переключения su - user1; su - user2; графика уже не отрабатывает. Но это не беда. Проблема как раз в том, что при переключении на пользователя с оболочкой /bin/csh дисплей теряется. Помогите решить проблему. Мне надо именно такой способ запуска графических приложений. Чтобы пользователь заходил под собой на рабочий стол и в консоли переключался на определенную учетку у которой шел csh и именно в ней запускал программу с графическим интерфейсом. Но я не знаю как в этом случае перенаправить дисплей.

user123 > cat /etc/passwd | grep user123
user123 :x:222:333:System Administrator:/home/user123:/bin/bash

Работет все ок пока я не перейду на другого пользователя

user123> sudo su - eeeadm 
eeeadm > cat /etc/passwd | grep eeeadm 
eeeadm:x:111:222:System Administrator:/home/eeeadm:/bin/csh

eeeadm> xclock
#Error: Can't open display:

eeeadm> firefox
#Error: GDK_BACKEND does not match available displays

eeeadm> xmessage test
#Error: Can't open display:

exit

user123 > su - eeeadm
Password: 
> xclock
#Error: Can't open display: 
***

не работает ни через sudo ни через su-(pam.d)

# cat su-l

#%PAM-1.0
auth     sufficient     pam_rootok.so
auth     [success=2 new_authtok_reqd=ok ignore=ignore default=ignore]      pam_succeed_if.so uid >= 200
auth     required       pam_wheel.so use_uid
auth     sufficient     pam_wheel.so trust use_uid
auth     include        common-auth
account  sufficient     pam_rootok.so
account  include        common-account
password include        common-password
session  include        common-session
session  optional       pam_xauth.so
#13.02.2017

display

Shinma
(15.09.17 14:29:25 MSK)

7 комментариев

Создать свой прокси https сервер

Форум — Admin

Даже не знаю с чего начать. Подскажите имена, названия, что почитать на тему: Хочу сделать на линуксе https сервер. Чтобы я заходил на страничку этого сервера по логин/паролю. А дальше грузится страница с полем запроса и кнопкой ок. ввожу в строке запроса урл другой странички и она развертывается внутри первичной. Тобишь сайт для обхода фильтров корпоративного фаервола. ip будет получается моего сервака. он не забанен. а с него я хочу получать инфу с других сайтов. Просто порой когда по работе надо попасть на какой-то сайт, а он забанен.... хочется по голове дать админам фильтра. Но увы. С линуксом у меня все ок. Но вот с web серверами и проксями не работал. Не знаю даже куда копать. да и просто полезно для развития. спасибо. тапками не кидайтесь все были нубасами.

сервер

Shinma
(10.05.17 07:46:41 MSK)

16 комментариев

sudo -Hi -u user_name script.sh

Форум — Admin

Доброе утро. Помогите пожалуйста с вопросом.

Пытаюсь запустить скрипт от имени другого пользователя с его окружающей средой.

echo $SHELL /bin/csh

Окружение берется вот так:

 
.login
~
if ( -e $HOME/.sapenv_`hostname`.csh ) then
   source $HOME/.sapenv_`hostname`.csh
else if ( -e $HOME/.sapenv.csh ) then
   source $HOME/.sapenv.csh
endif
~

Собственно я добавил запуск скрипта в sudo и пытаюсь его запускать.

 
/etc/sudoers
ec3adm ALL=(ecladm) NOPASSWD: /usr/sap/ECL/SYS/exe/dbg/stopsap
ec3adm ALL=(ecladm) NOPASSWD: /usr/bin/env

Для примера я еще добавил env, чтобы видеть все окружение.

 
ec3adm>
sudo -Hi -u ecladm /usr/bin/env
sudo -Hi -u ecladm /usr/sap/ECL/SYS/exe/dbg/stopsap

Этот скрипт использует переменную SAPSYSTEMNAME записанную в ~/.sapenv.csh и подгружающуюся только если зашел пользователем ecladm и загрузилось его окружение. пример:

 
cat .sapenv.csh | grep "setenv SAPSYSTEMNAME"
setenv SAPSYSTEMNAME  ECL

в общем думал поможет опция -i или -s, но они запрашивает пароль, а мне ни в коем случае нельзя выдавать пароль. Хочу использовать именно окружение ecladm чтобы не было скрытых ошибок. Что я делаю не так?

sudo

Shinma
(21.03.17 08:55:45 MSK)

11 комментариев

служба поднятая на порту ipv6 отвечает по ipv4

Форум — Admin

OS SLES

Почему служба поднятая на порту ipv6 отвечает по ipv4? Я выключил ipv6 в системе

sysctl -n net.ipv6.conf.all.disable_ipv6
1


# ifconfig
eth0      Link encap:Ethernet  HWaddr ХХ.ХХ.ХХ.ХХ
          inet addr:ХХ.ХХ.ХХ.ХХ  Bcast:ХХ.ХХ.ХХ.ХХ Mask:ХХ.ХХ.ХХ.ХХ
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:19355 errors:0 dropped:56 overruns:0 frame:0
          TX packets:9149 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:36403964 (34.7 Mb)  TX bytes:2492398 (2.3 Mb)

eth1      Link encap:Ethernet  HWaddr ХХ.ХХ.ХХ.ХХ
          inet addr:ХХ.ХХ.ХХ.ХХ  Bcast:ХХ.ХХ.ХХ.ХХ  Mask:ХХ.ХХ.ХХ.ХХ
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:70 errors:0 dropped:48 overruns:0 frame:0
          TX packets:16 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:4184 (4.0 Kb)  TX bytes:1062 (1.0 Kb)

Службы висят в режиме LISTEN на ipv6 адресах

# netstat -tanp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1766/sshd
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      2008/master
tcp        0      0 127.0.0.1:6010          0.0.0.0:*               LISTEN      845/0
tcp        0      0 127.0.0.1:47038         0.0.0.0:*               LISTEN      1939/ovconfd
tcp        0      0 :::3306                 :::*                    LISTEN      1781/mysqld
tcp        0      0 :::5555                 :::*                    LISTEN      1/systemd
tcp        0      0 :::383                  :::*                    LISTEN      1384/ovbbccb

# Специально для тестов установил БД. и пытаюсь телнетом зайти на порт 3306 этой базы. но использую ipv4 адрес.

telnet 10.1.2.3 3306

соединение проходит, а в netstat появляется новое соединение:

tcp        0      0 :::383                  :::*                    LISTEN      1384/ovbbccb
tcp        0      0 10.1.2.3:383       10.1.2.5:50981     ESTABLISHED 1384/ovbbccb

Почему SLES так делает? где можно выключить такой обходной путь? это не только БД касается, но и многих других служб. Я не могу найти информацию какая служба в SLES поднимает соединение на Ipv4 когда порт открыт для ipv6. и как это выключить одним махом?

ipv4, ipv6, порт

Shinma
(20.01.17 08:38:20 MSK)

11 комментариев

Sudoers

Форум — Admin

Что я делаю:

ввожу команду проверки NTP: sudo ntpdate -d NTP_name

Команда делает запись в syslog вида:

Feb 17 08:41:00 *** sudo: user_name_Vuasiya : TTY=unknown ; PWD=*** ; USER=root ; COMMAND=/usr/sbin/ntpdate -d IP***

Проблема: Эту команду я использую раз в минуту на 4-6 серверов NTP. В итоге в syslog попадает ОГРОМНАЯ куча спама.

Вопрос: я установил sudo 1.8.6p3, т.к. вычитал что в этой версии есть замечательные опции:

NOLOG_OUTPUT

Добавил в sudo:

sudo visudo
ADMIN ALL=(root) NOLOG_OUTPUT:NOPASSWD: /usr/sbin/ntpdate -d*

Но системе пофиг на NOLOG_OUTPUT, как и вообще на спецификации: LOG_INPUT, NOLOG_INPUT, LOG_OUTPUT, NOLOG_OUTPUT. спам в syslog не прекратился. Я сделал решение не удовлетворяющее меня с точки зрения безопасности:

Defaults:user_name_Vuasiya !syslog

Но тогда все что делает user_name_Vuasiya в sudo не пишется в syslog. А мне надо чтобы только одна команда не писалась. Кто знает решение?

Решение:

Cmnd_Alias SCRIPT =  /usr/sbin/ntpdate
Defaults!SCRIPT !syslog

( Отрывок MAN: )

sudo

Shinma
(17.02.15 07:43:22 MSK)

13 комментариев

RSS подписка на новые темы