Сообщения Ved_mak

Wireguard: отваливание клиентов

Форум — Admin

Добрый день!
Имеем на Centos 7 сервер, и клиентов на Centos 7, винде и Android.
Проблема: сервер работает, не падает, но примерно через двое суток аптайма клиенты отваливаются (точно еще не скажу, сегодня только на мониторинг повесил), чтобы завелись - достаточно рестартануть клиента. В логах ошибок нет, вообще. Честно говоря не понимаю что может быть. Знаю что особенность реализации этого впн в том что через UDP он хз клиент с той стороны живой или нет - для этого в параметрах прописывается PersistentKeepalive, но судя по всему он не помогает. Какие еще варианты решения/поиска причины падения? Заранее спасибо

Сервер:

[Interface]
Address = 10.200.0.1/16
PrivateKey = QGvKBMhO+09AEM**
ListenPort = 8899

[Peer]
PublicKey = WMQ5Fj90PTcdwBC9z**
AllowedIPs = 10.200.0.2/32

[Peer]
PublicKey = wJYR1i4MzU0k**
AllowedIPs = 10.200.0.3/32

Клиент

[Interface]
Address = 10.200.0.6/16
PrivateKey = EDcPQbh9HV7CYboL**
DNS=194.169.*.*

[Peer]
PublicKey = K+Fkh5856kOGCOtv2xE+SO**
AllowedIPs = 10.200.0.0/16
Endpoint = 92.*.*.253:8899
PersistentKeepalive = 20

wireguard

Ved_mak
(12.11.21 12:19:44 MSK)

13 комментариев

Хобби айтишника. Как использовать во благо?

Форум — Talks

Всем доброго времени суток!

Пишу потому что… Нужен совет. Не что-то подобное «ты лох», а совет как поступить. Ситуация следующая: как-то посетила меня идея поиграться с личным DNS и NTP сервером (да, это каждый третий делает). DNS сервером хотел блочить основную рекламу (да-да, про AdBlock в курсе) и закрывать доступ к сайтам по чисто своей выборке. И плюс поиграться с DoH и DoT. Идея в итоге воплотилась в жизнь. NTP добавил в мировой пул (типа на благо общества и всего ИТ-мира). DNS… Мне не жалко если его кто-то будет юзать кроме меня.

Вопрос собственно в чем - то что в итоге получилось, продукт хобби, увлечения. И мне не хотелось бы его хоронить - пусть живет, но и платить за сервера тоже надо. И тут вопрос - где и как можно показать свой проект, преподнести его правильно и если людям понравится чтобы кинули копейку-другую на пожертвования. Площадки краудфандинга и просто продвижения - отнимают много времени и это уже скорее коммерческие замашки. А вот что-то лайт версии краудфандинга - есть?

В общем, прошу совета, ИМХО и обоснованных замечаний.

прошу в гости (да, «сайт» как дойдут руки переделаю на нормальный):

https://barsik.space/

DNS\ 194.169.160.106
45.156.26.130

NTP
ntp1.barsik.space
ntp2.barsik.space

dns, ntp, хобби

Ved_mak
(20.08.21 18:38:45 MSK)

16 комментариев

ntpd и синхрон с LOCAL

Форум — Admin

Доброго времени суток!

Centos 7 и ntpd ниже будет конфиг, я не пойму почему при наличии серверов для синхрона сервер времени синхронится с самим собой? Вот как тут:

ntpq -p IP-ntp
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 unknown229-n1.h .PPS.            1 u   22   64    3   30.960    9.534   1.151
 unknown228-n1.h .PPS.            1 u   22   64    3   29.332    8.597   0.070
 ntp2.vniiftri.r .MRS.            1 u   20   64    3    4.602    3.713   0.143
 ntp.aas.ru      .INIT.          16 u    -   64    0    0.000    0.000   0.000
 ntp4.vniiftri.r .MRS.            1 u   18   64    3    4.743    3.577   0.042
 mail.sonur.ru   .PPS.            1 u   20   64    3   26.917   -0.287   3.863
*LOCAL(1)        .LOCL.           2 l   19   64    3    0.000    0.000   0.000

Можно локальный синхрон запретить принудительно? В манах не нашел такого параметра.

Вот полный конфиг:

server  ntp5.stratum1.ru iburst
server  ntp4.stratum1.ru iburst
server  ntp3.stratum1.ru
server  ntp2.vniiftri.ru
server  ntp.aas.ru
server  ntp4.vniiftri.ru
server  ntp.sonur.ru

driftfile /var/lib/ntp/drift
logfile /var/log/ntp

restrict default kod limited nomodify notrap nopeer noquery
restrict -6 default kod limited nomodify notrap nopeer noquery
restrict  IP mask 255.255.255.255

restrict  ntp5.stratum1.ru nomodify notrap
restrict  ntp4.stratum1.ru nomodify notrap
restrict  ntp3.stratum1.ru nomodify notrap
restrict  ntp2.vniiftri.ru nomodify notrap
restrict  ntp4.vniiftri.ru nomodify notrap
restrict  ntp3.vniiftri.ru nomodify notrap
restrict  ntp.corbina.net nomodify notrap
restrict  ntp.aas.ru nomodify notrap
restrict  ntp4.vniiftri.ru nomodify notrap
restrict  ntp.sonur.ru nomodify notrap

server  127.127.1.1
fudge   127.127.1.1     stratum 2

disable monitor

Так понимаю локально синхронится если все стратумы из списка не ответили, верно?

Заранее спасибо!

centos, ntp

Ved_mak
(13.04.21 19:51:08 MSK)

2 комментария

Unbound и Fail2ban - ошибка в синтаксисе правила

Форум — Admin

Всем доброе время суток!

Прошу помощи в поиске ошибки в самописном правиле для Fail2ban. Суть проблемы: имеется DNS сервер Unbound, так вышло что ему надо торчать в интернет. С недавнего времени стали ломиться на DNS с левыми запросами, в логах вижу вот такое:

Apr 04 01:01:25 unbound[20735:0] info: 177.0.0.177 sl. ANY IN

Решил прикрутить Fail2ban для решения этой проблемы, написал правило, но - оно не работает. Вот само правило:

Правило Fail2ban

[Definition]
_daemon     = unbound
failregex   = unbound: (.*) info: <HOST> .* ANY IN
              unbound: (.*) info: <HOST> sl.* ANY IN
              unbound: (.*) info: <HOST> .* VERSION\.BIND\. TXT CH
              unbound: (.*) info: <HOST> .* version\.bind\. TXT CH
ignoreregex =

При проверке правила получаю вот такое:

 fail2ban-regex /var/log/unbound.log unbound

Running tests
=============

Use   failregex filter file : unbound, basedir: /etc/fail2ban
Use         log file : /var/log/unbound.log
Use         encoding : UTF-8


Results
=======

Failregex: 0 total

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
|  [23575] {^LN-BEG}(?:DAY )?MON Day %k:Minute:Second(?:\.Microseconds)?(?: ExYear)?
`-

Lines: 23575 lines, 0 ignored, 0 matched, 23575 missed

Понимаю, что Fail2ban не может переварить формат даты, но вот тут я не могу победить. Пробовал передавать такой формат даты:

fail2ban-regex -d «%b %d %H:%M:%S» /var/log/unbound.log unbound

но неудачно:

  fail2ban-regex -d "%b %d %H:%M:%S" /var/log/unbound.log unbound

Running tests
=============

Use      datepattern : MON Day 24hour:Minute:Second
Use   failregex filter file : unbound, basedir: /etc/fail2ban
Use         log file : /var/log/unbound.log
Use         encoding : UTF-8


Results
=======

Failregex: 0 total

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
|  [23575] MON Day 24hour:Minute:Second
`-

Lines: 23575 lines, 0 ignored, 0 matched, 23575 missed

Прошу помощи разобраться с правилом.

fail2ban, unbound

Ved_mak
(05.04.21 17:26:01 MSK)

4 комментария

Нужна подсказка по маршрутам + iptables

Форум — Admin

Добрый день, коллеги! Нужна помощь в нубском вопросе: я что-то упускаю в настройке сети и iptables - прошу помочь советом. Задача: есть сервер openvpn, через один интерфейс (eth0) к нему коннектятся клиенты, второй интерфейс (eth1) смотрит на шлюз Ideco. Смысл в том, чтобы клиенты через ВПН лазили в интернет через Ideco (192.168.10.5). Сейчас получается что сервер OpenVPN сам спокойно может выходить через Ideco в интернет, если выключаем клиентам VPN ходить не через Ideco, сразу в интернет, то все отлично работает. Сам Ideco настроен как прозрачный шлюз. Что в настройках я упускаю?

Схема: стучатся клиенты <-> (eth0) Server OpenVPN (eth1) <-> (192.168.10.5) Ideco <-> интернет

Iptables (правила избыточны - ибо открыл все в поиске где косяк):

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 1194 -j ACCEPT
#-A INPUT -j REJECT --reject-with icmp-host-prohibited
#-A FORWARD -j REJECT --reject-with icmp-host-prohibited
#COMMIT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT

-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT

-A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i tun0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT

*nat
:PREROUTING ACCEPT [39:5343]
:POSTROUTING ACCEPT [2:120]
:OUTPUT ACCEPT [3:196]
-A POSTROUTING -s 172.16.45.0/24 -o eth1 -j MASQUERADE
COMMIT

0.0.0.0         192.168.0.1     0.0.0.0         UG    100    0        0 eth0
0.0.0.0         192.168.10.5    0.0.0.0         UG    101    0        0 eth1
172.16.45.0     172.16.45.2     255.255.255.0   UG    0      0        0 tun0
172.16.45.2     0.0.0.0         255.255.255.255 UH    0      0        0 tun0
192.168.0.0     0.0.0.0         255.255.255.0   U     100    0        0 eth0
192.168.10.0    0.0.0.0         255.255.255.0   U     101    0        0 eth1

При этом когда клиент подключается по OpenVPN он: 1. Видит сервер ВПН 2. Видит внешний шлюз Ideco - 192.168.10.5 3. При трассировке ya.ru (например) дальше сервера VPN пакет не бежит.

Ткните носом где накосячил.

iptables, openvpn

Ved_mak
(23.04.19 08:05:42 MSK)

20 комментариев

Centos7, KVM, WebVirtMgr и SASL

Форум — Admin

Коллеги, добрый вечер! Задача: хочу прикрутить веб на гипервизор KVM. Выбор пал на WebVirtMgr. Но еще не дойдя собственно до установки натолкнулся на затруднения. Ниже по порядку. Имеем Centos 7.3 minimal. Выполняем:

yum -y install kvm libvirt python-virtinst qemu-kvm bridge-utils
vi /etc/sysconfig/libvirtd ->
LIBVIRTD_ARGS="--listen"
vi /etc/libvirt/libvirtd.conf ->
listen_tls = 0
listen_tcp = 1
service libvirtd start
saslpasswd2 -a libvirt admin
(вводим данные)
sasldblistusers2 -f /etc/libvirt/passwd.db

И вот тут у меня ошибка:

listusers failed

Соотвественно файла /etc/libvirt/passwd.db нет. Прежде чем писать сюда я полез в логи и гугл. Выполнил доп правки:

/etc/sasl2/libvirt.conf -> mech_list: digest-md5
/etc/libvirt/libvirtd.conf -> auth_tcp = "sasl" auth_tls = "sasl"

...и не работает. Вопрос: что делаю не так?

kvm

Ved_mak
(01.03.18 19:57:10 MSK)

3 комментария

Apache + Redmine

Форум — Admin

Доброе время суток! Что имею: на ВМ Redmine 3.2 + Ruby + Rails + Passenger и подружено все это с Apache. Доступ к ресурсу по адресу сайта, т.е. site.ru. Все конечно работает. Но мне необходимо чтобы доступ по site.ru/redmine - как сделать, что-то не могу ума приложить на ночь глядя. сам Redmine лежит в

/var/www/html/redmine

, конфиг apache:

<VirtualHost *:80>
 DocumentRoot /var/www/html/redmine/public
 ErrorLog logs/redmine_error_log
 <Directory "/var/www/html">
   Options Indexes ExecCGI FollowSymLinks
   Order allow,deny
   Allow from all
   AllowOverride all
 </Directory>
</VirtualHost>

Помогите советом

apache, redmine

Ved_mak
(17.02.18 00:58:00 MSK)

1 комментарий

LDAP и Centos 6

Форум — Admin

Вечер добрый! Поднимаю LDAP сервер и в самом начале столкнулся с непонятной мне вещью: при банальном выполнении команд вываливает ошибку:

[root@ldap1 certs]# openssl rand -base64 12 > /etc/openldap/certs/password
[root@ldap1 certs]# cat /etc/openldap/certs/password
q31fVPwka03105Ou
[root@ldap1 certs]# echo falkdjfdajkhfaksj » noise.txt
[root@ldap1 certs]# certutil -N -d . -f /etc/openldap/certs/password
Invalid password.
[root@ldap1 certs]# certutil -G -d . -z noise.txt -f /etc/openldap/certs/password
Incorrect password/PIN entered.
certutil: unable to generate key(s)
: SEC_ERROR_BAD_PASSWORD: The security password entered is incorrect.

Прошлый раз поднимал сервер - с полгода назад, и ну не могу вспомнить чтобы были ошибки. Есть какие соображения? Буду признателен за помощь.

ldap

Ved_mak
(12.02.18 21:12:52 MSK)

4 комментария

Nmap и 1720/tcp open H323/Q.931: несовсем понял проблему

Форум — Security

коллеги, добрый день! я здесь не так давно, может вопрос ранее и был, но...

есть VPS в цоде. На VPS крутится веб. Появилась инфа что имеется дырка. Проверил банальным nmap из внешки на белый ip веба, и итоге вижу что:

1720/tcp open H323/Q.931

На самой VPS netstat этот порт среди юзаемых не видит. Т.е. на самом VPS порт не юзается и по идее закрыт iptables. Про этот порт читал в гугле - понял 50 на 50

Вопрос: почему этот порт открыт? Насколько знаю перед VPS стоит ПАК ЦОДа... чего то я не понимаю.

Прошу помощи, куда мне копать?)

Спасибо!

nmap, tcp

Ved_mak
(08.02.18 12:26:19 MSK)

27 комментариев

DHCP-relay и PXE загрузка по сети. Это возможно?

Форум — Admin

Доброе время суток!
Имеется задача на PXE-сервере и посредством DHCP развернуть два пула адресов. При этом машины второй пул адресов получают через удаленный relay.
Сам факт получения адреса проблем не вызывает - все машины корректно получают адреса. Проблема проявляется когда тонкие клиенты начинают грузить ОС по сети: ядро посредством tftp загружается корректно, а вот когда настает черед NFS - ступор. Загрузка идет, но очень-очень медленно, и банально не заканчивается.
Я если честно не понимаю в какую сторону копать: уже поигрался всеми возможными комбинациями настроек DHCP и relay (к слову в качестве relay тестировал на базе Centos и аппаратный) - итог один: проблема проявляется на этапе NFS загрузки.
Настройки DHCP:

 

subnet 10.1.194.0 netmask 255.255.254.0 # zone to issue addresses from
{
pool {
        range 10.1.194.30 10.1.194.250;
        }

allow unknown-clients;
authoritative;
option routers 10.1.194.1;
option subnet-mask 255.255.254.0;
option broadcast-address 10.1.194.255;
option domain-name-servers 10.3.100.15;
option ntp-servers 10.3.100.15;
option netbios-node-type 8;
default-lease-time 3000;
max-lease-time 6000;
filename "B/pxelinux.0";
next-server 10.1.194.15;
}

                #192.168.22.1/24
subnet 192.168.22.0 netmask 255.255.255.0 {
        pool
                {
                range 192.168.22.100 192.168.22.200;
                }
        option subnet-mask 255.255.255.0;
        option broadcast-address 192.168.22.255;
        allow booting;
        allow bootp;
        allow unknown-clients;
        authoritative;
        option routers 192.168.22.1;   #
        option domain-name-servers 10.3.100.15;
        option netbios-node-type 8;
        default-lease-time 3000;
        max-lease-time 6000;
        filename "B1/pxelinux.0";  
        next-server 10.1.194.15; #192.168.22.1;    #
}

Здесь имеем:
10.1.194.15 - PXE, DHCP сервер
192.168.22.1 - адрес в сторону второго пула

Т.е. «обычная» подсеть 10.1.194.0 работает штатно, а вот 192.168.22.0 - нет, получает адрес, но загрузка по сети нормально не отрабатывает.

У меня сложилось субъективное мнение, что я банально чего-то не понимаю в работе этой схемы. Если так - прошу произвести битие тапками в живот и подсказать в чем я накосячил...

dhcp relay, nfs, pxe

Ved_mak
(26.11.17 23:19:25 MSK)

11 комментариев

Проблема с TFTP на два сетевых интерфейса

Форум — Admin

Добрый день! Имеется сервер под Centos 6. Имеется два сетевых интерфейса eth0 и eth1 - на них сидят разные подсети. DHCP в обе подсети раздается нормально. Проблема появляется когда хочу поднять PXE-загрузку по сети. В этом случае с нулевого интерфейса ТК грузятся, с первого - нет. Экспериментально было установлено, что если отправить в down нулевой интерфейс, то с первого загрузка тут же поднимается.

Вопрос: как заставить сервер грузить в обе подсети одновременно?

Ниже прикладываю конфиг DHCP:

shared-network eth0 {
subnet 10.1.194.0 netmask 255.255.254.0 # zone to issue addresses from
{
interface eth0;
    pool {
      range 10.1.194.30 10.1.194.250;
      }
allow unknown-clients;
authoritative;
option subnet-mask 255.255.254.0;
option broadcast-address 10.1.194.255;
option netbios-node-type 8;
default-lease-time 3000;
max-lease-time 6000;
filename "B/pxelinux.0";
next-server 10.1.194.15;
}
}

shared-network eth1 {
subnet 192.168.22.0 netmask 255.255.254.0 # zone to issue addresses from
{
interface eth1;
    pool {
      range 192.168.22.100 192.168.22.200;
      }
allow unknown-clients;
authoritative;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.22.255;
option netbios-node-type 8;
default-lease-time 3000;
max-lease-time 6000;
filename "B_1/pxelinux.0";
next-server 192.168.22.1;
}
}

Буду благодарен за любую подсказку.

tftp

Ved_mak
(31.10.17 18:57:59 MSK)

6 комментариев

При установке ./configure не видит пакет

Форум — Linux-install

День добрый!

Имеется машина на Ubuntu 15, необходимо поставить дрова для кард-ридеров. С оф сайта скачан архивчик - необходимо собирать через тройку ./configure - make - make install. При старте установки ругался на nfs-common, починил. Теперь же при ./configure система выкатывает следующее:

configure: error: install pcsc-lite 1.8.3 or later, or use ./configure PCSC_CFLAGS=...

При этом в системе стоит уже 1.8.11. Скачал deb-пакет dev-версии при установке:

Распаковывается libpcsclite-dev (1.8.10-1ubuntu1) на замену (1.8.10-1ubuntu1) …
dpkg: зависимости пакетов не позволяют настроить пакет libpcsclite-dev:
 libpcsclite-dev зависит от libpcsclite1 (= 1.8.10-1ubuntu1), однако:
  Версия libpcsclite1:i386 в системе — 1.8.10-1ubuntu1.1.
 libpcsclite1:i386 (1.8.10-1ubuntu1.1) ломает libpcsclite-dev (<< 1.8.10-1ubuntu1.1) и установлен.
  Версия libpcsclite-dev, которая будет настроена: 1.8.10-1ubuntu1.

dpkg: ошибка при обработке пакета libpcsclite-dev (--install):
 проблемы зависимостей — оставляем не настроенным
Обрабатываются триггеры для man-db (2.7.0.2-5) …
При обработке следующих пакетов произошли ошибки:
 libpcsclite-dev

И не ставится... В общем я запутался в первопричине проблемы - либо ./configure тупо не видит установленного пакета, либо он очень криво стоит. Как заставить установочник увидеть пакет?

Коллеги, подскажите где копать и что от меня еще необходимо из информации. Благодарен за любую подсказку

configure

Ved_mak
(17.05.17 11:57:23 MSK)

13 комментариев

KVM большая нагрузка на процессор

Форум — Admin

Добрый день, господа. Гуру Linux и виртуализации себя не считаю, поэтому буду рад людбому совету и помощи.

Ситуация такова. Мощности хоста составляли 1 CPU Intel(R) Xeon(R) CPU E5-2403 0 @ 1.80GHz - 4 ядра и 32 GB ОЗУ, ОС CentOS 6.3. Мне достался данный сервер с поднятыми тремя ВМ на KVM:
1. Linux 2 CPU + 2Gb RAM
2. Linux 1 CPU + 4Gb RAM
3. WinServer 2008 4 CPU + 24 Gb RAM

При этом Виндовый сервер работает как терминальный сервер. Ввиду большой загруженности его загрузка была почти всегда 100%, было решено поставить на хост дополнительный процессор и увеличить ОЗУ до 80Gb.

Теперь вопрос первый. Имея доступ по ssh я выключил ВМ и используя команду

virsh edit <имя ВМ>

изменил количество выделенных ядер на ВМ. Такое редактирование конфигурации правильное?

Вопрос второй. После изменения конфигурации ВМ проходил пара недель и появляются жалобы на тормоза теперь уже хоста. Тут конечно есть мой косяк ибо я с дуру отдал все 8 ядер CPU на эту ВМ. При просмотре top на хосте вижу:

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
45473 qemu      20   0 62.5g  60g 5624 R 581.0 76.5   1456:33 qemu-kvm
 2793 qemu      20   0 2737m 1.3g 5580 S  9.9  1.6   2849:13 qemu-kvm

Вот эти 581% CPU это нормально?! Я понял свою ошибку с выделением количества ядер и изменил конфигурацию вновь - выделив 6 из 8 ядер на ВМ. В итоге при спокойной работе ВМ - загрузка CPU на хосте не более 50%, при загрузке юзерами ВМ опять под 400-500%. При этом со слов админа Винды нагрузка самой Винды до 100% не доходит. Доступа к Винде нет.

Что я делаю не так? Как мне кажется есть прямая связь нагрузки на проц и активности сетевого трафика ВМ. Прошу помочь советом.

Вот конфиг злосчастной ВМ:

<domain type='kvm'>
  <name>E</name>
  <uuid>63898d7d-f2ca-5530-c273-360c0542e62c</uuid>
  <memory unit='KiB'>64421888</memory>
  <currentMemory unit='KiB'>64421888</currentMemory> 
 <vcpu placement='static'>6</vcpu>
  <os>
    <type arch='x86_64' machine='rhel6.5.0'>hvm</type>
    <boot dev='hd'/>
    <boot dev='cdrom'/>
  </os>
  <features>
    <acpi/>
    <apic/>
    <pae/>
  </features>
  <cpu mode='custom' match='exact'>
    <model fallback='allow'>SandyBridge</model>
    <vendor>Intel</vendor>
    <feature policy='require' name='pbe'/>
    <feature policy='require' name='tm2'/>
    <feature policy='require' name='est'/>
    <feature policy='require' name='vmx'/>
    <feature policy='require' name='osxsave'/>
    <feature policy='require' name='smx'/>
    <feature policy='require' name='ss'/>
    <feature policy='require' name='ds'/>
    <feature policy='require' name='vme'/>
    <feature policy='require' name='dtes64'/>
    <feature policy='require' name='ht'/>
    <feature policy='require' name='dca'/>
    <feature policy='require' name='pcid'/>
    <feature policy='require' name='tm'/>
    <feature policy='require' name='pdcm'/>
    <feature policy='require' name='pdpe1gb'/>
    <feature policy='require' name='ds_cpl'/>
    <feature policy='require' name='xtpr'/>
    <feature policy='require' name='acpi'/>
    <feature policy='require' name='monitor'/>
  </cpu>
  <clock offset='localtime'>
    <timer name='rtc' tickpolicy='catchup'/>
  </clock>
  <on_poweroff>destroy</on_poweroff>
  <on_poweroff>destroy</on_poweroff>
  <on_reboot>restart</on_reboot>
  <on_crash>restart</on_crash>
  <devices>
    <emulator>/usr/libexec/qemu-kvm</emulator>
    <disk type='file' device='disk'>
      <driver name='qemu' type='raw' cache='none'/>
      <source file='/var/lib/libvirt/images/E.img'/>
      <target dev='hda' bus='ide'/>
      <address type='drive' controller='0' bus='0' target='0' unit='0'/>
    </disk>
    <disk type='file' device='cdrom'>
      <driver name='qemu' type='raw'/>
      <source file='/var/lib/libvirt/images/ru_windows_server_2008_r2.iso'/>
      <target dev='hdc' bus='ide'/>
      <readonly/>
      <address type='drive' controller='0' bus='1' target='0' unit='0'/>
    </disk>
    <controller type='usb' index='0'>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x01' function='0x2'/>
    </controller>
    <controller type='ide' index='0'>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x01' function='0x1'/>
    </controller>
    <interface type='bridge'>
      <mac address='52:54:00:88:f3:d8'/>
      <source bridge='br0'/>
      <model type='e1000'/>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/>
    </interface>
    <interface type='bridge'>
      <mac address='52:54:00:04:a8:b1'/>
      <source bridge='br1'/>
      <model type='e1000'/>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x04' function='0x0'/>
    </interface>
    <serial type='pty'>
      <target port='0'/>
    </serial>
    <console type='pty'>
      <target type='serial' port='0'/>
    </console>
    <input type='tablet' bus='usb'/>
    <input type='mouse' bus='ps2'/>
    <graphics type='vnc' port='-1' autoport='yes'/>
    <sound model='ich6'>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x05' function='0x0'/>
    </sound>
    <video>
      <model type='vga' vram='9216' heads='1'/>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x02' function='0x0'/>
    </video>
    <memballoon model='virtio'>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x07' function='0x0'/>
    </memballoon>
  </devices>
</domain>

kvm

Ved_mak
(03.05.17 09:51:06 MSK)

25 комментариев

CentOS 6 и OpenSSL

Форум — General

Всем доброго времени суток! Имеем CentOS 6. Для работы с Zabbix необходимо поставить ZabbixAgent. При попытке поставить имеем:

rpm -Uvh zabbix-agent-3.2.1-1.el6.x86_64.rpm
предупреждение: zabbix-agent-3.2.1-1.el6.x86_64.rpm: Заголовок V4 RSA/SHA512 Signature, key ID a14fe591: NOKEY
ошибка: Неудовлетворенные зависимости:
        libcrypto.so.10(OPENSSL_1.0.1_EC)(64bit) нужен для zabbix-agent-3.2.1-1.el6.x86_64

Ок. Пытаемся поставить что нас просят:

rpm -ivh openssl10-libs-1.0.1e-1.ius.centos6.x86_64.rpm
предупреждение: openssl10-libs-1.0.1e-1.ius.centos6.x86_64.rpm: Заголовок V4 DSA/SHA1 Signature, key ID 9cd4953f: NOKEY
Подготовка...     ########################################### [100%]
        файл /usr/lib64/libcrypto.so.1.0.1e из устанавливаемого пакета openssl10-libs-1.0.1e-1.ius.centos6.x86_64 конфликтует с файлом из пакета openssl-1:1.0.1e-16.sp6.7.x86_64
        файл /usr/lib64/libssl.so.1.0.1e из устанавливаемого пакета openssl10-libs-1.0.1e-1.ius.centos6.x86_64 конфликтует с файлом из пакета openssl-1:1.0.1e-16.sp6.7.x86_64
        файл /usr/lib64/openssl/engines/lib4758cca.so из устанавливаемого пакета openssl10-libs-1.0.1e-1.ius.centos6.x86_64 конфликтует с файлом из пакета openssl-1:1.0.1e-16.sp6.7.x86_64
        файл /usr/lib64/openssl/engines/libaep.so из устанавливаемого пакета openssl10-libs-1.0.1e-1.ius.centos6.x86_64 конфликтует с файлом из пакета openssl-1:1.0.1e-16.sp6.7.x86_64
        файл /usr/lib64/openssl/engines/libatalla.so из устанавливаемого пакета openssl10-libs-1.0.1e-1.ius.centos6.x86_64 конфликтует с файлом из пакета openssl-1:1.0.1e-16.sp6.7.x86_64
        файл /usr/lib64/openssl/engines/libcapi.so из устанавливаемого пакета openssl10-libs-1.0.1e-1.ius.centos6.x86_64 конфликтует с файлом из пакета openssl-1:1.0.1e-16.sp6.7.x86_64
        файл /usr/lib64/openssl/engines/libchil.so из устанавливаемого пакета openssl10-libs-1.0.1e-1.ius.centos6.x86_64 конфликтует с файлом из пакета openssl-1:1.0.1e-16.sp6.7.x86_64
        файл /usr/lib64/openssl/engines/libcswift.so из устанавливаемого пакета openssl10-libs-1.0.1e-1.ius.centos6.x86_64 конфликтует с файлом из пакета openssl-1:1.0.1e-16.sp6.7.x86_64
        файл /usr/lib64/openssl/engines/libgmp.so из устанавливаемого пакета openssl10-libs-1.0.1e-1.ius.centos6.x86_64 конфликтует с файлом из пакета openssl-1:1.0.1e-16.sp6.7.x86_64
        файл /usr/lib64/openssl/engines/libnuron.so из устанавливаемого пакета openssl10-libs-1.0.1e-1.ius.centos6.x86_64 конфликтует с файлом из пакета openssl-1:1.0.1e-16.sp6.7.x86_64
        файл /usr/lib64/openssl/engines/libpadlock.so из устанавливаемого пакета openssl10-libs-1.0.1e-1.ius.centos6.x86_64 конфликтует с файлом из пакета openssl-1:1.0.1e-16.sp6.7.x86_64
        файл /usr/lib64/openssl/engines/libsureware.so из устанавливаемого пакета openssl10-libs-1.0.1e-1.ius.centos6.x86_64 конфликтует с файлом из пакета openssl-1:1.0.1e-16.sp6.7.x86_64
        файл /usr/lib64/openssl/engines/libubsec.so из устанавливаемого пакета openssl10-libs-1.0.1e-1.ius.centos6.x86_64 конфликтует с файлом из пакета openssl-1:1.0.1e-16.sp6.7.x86_64

Решил на тестовой машине на дурака удалить сей пакет openssl-1:1.0.1e-16.sp6.7.x86_64:

 rpm -e openssl-1:1.0.1e-16.sp6.7.x86_64
ошибка: пакет openssl-1:1.0.1e-16.sp6.7.x86_64 не установлен

Это как? подскажите как узнать с каким файлом из openssl-1:1.0.1e-16.sp6.7.x86_64 конфликт? И куда копать для решения проблемы?... ...само собой использование флагов --force --nodeps при установке пакета библиотек и самого агента заббикса... проходит без ошибок, но агент предсказуемо не стартует

openssl

Ved_mak
(30.11.16 15:23:28 MSK)

5 комментариев

CUPS и iptables

Форум — Admin

Всем доброе время суток! Господа, прошу помочь советом или направить в каком направлении курить гугл. Ситуация такова. Имеем Ubuntu 15, к ней по usb цепляется принтер (модель и дрова значения не имеют), система печатает все хорошо. Расшариваем принтер в cups. Заходим на второй ПК под Ubuntu (собственно, тут версия ОС уже не важна, тестил и на centos и на alt) - принтер ставится, но при попытке печати не печатает. Если ставим принтер графической оболочкой - то сразу после установки (!) исчезает из списка принтеров. В общем, я долго искал причину, но в итоге помог великий и могучий научный тык - я очистил правила iptables на принт-сервере и принт-клиенте и все запечатало. Вопрос: какие порты открыть чтобы печать работала? Кто сталкивался с подобным на Ubunt'e, ибо мне кажется это именно ее косяк - правилами открыты порты 631, 632, 5353, но... Centos и Alt в схожей ситуации печатает.

/etc/cups/cupsd.conf
LogLevel warn
PageLogFormat
MaxLogSize 0
# Allow remote access
Port 631
Listen /var/run/cups/cups.sock
DefaultEncryption Required
ServerCertificate /etc/cups/ssl/server.crt
ServerAlias *
# Administrator user group...
SystemGroup sys root admin
# Share local printers on the local network.
Browsing On
BrowseLocalProtocols dnssd
DefaultAuthType Basic
WebInterface Yes
DefaultLanguage ru
<Location />
  # Allow shared printing...
  Order allow,deny
  Allow @LOCAL
</Location>
<Location /admin>

Ниже логи и конфиги. Меня смущают каждый раз разные порты cups при печати... Это сие есть?

D [16/Nov/2016:16:34:47 +0300] [Client 1] Accepted from localhost:59323 (IPv6) ...
D [16/Nov/2016:16:34:47 +0300] [Client 2] Accepted from localhost:59324 (IPv6) ...
D [16/Nov/2016:16:34:47 +0300] [Client 3] Accepted from localhost:59325 (IPv6)
D [16/Nov/2016:16:34:47 +0300] [Client 3] Waiting for request.
D [16/Nov/2016:16:34:47 +0300] [Client 4] Accepted from localhost:59326 (IPv6)
D [16/Nov/2016:16:34:47 +0300] [Client 4] Waiting for request.
D [16/Nov/2016:16:34:47 +0300] [Client 3] HTTP_STATE_WAITING Closing for error 32 (Broken pipe)
D [16/Nov/2016:16:34:47 +0300] [Client 3] Closing connection.
========
D [16/Nov/2016:16:49:36 +0300] [Client 3] Accepted from localhost:42234 (IPv6)
========
D [16/Nov/2016:16:55:30 +0300] [Client 5] Accepted from localhost:55067 (IPv6)
D [16/Nov/2016:16:55:30 +0300] [Client 5] Waiting for request.
D [16/Nov/2016:16:55:30 +0300] [Client 4] HTTP_STATE_WAITING Closing for error 32 (Broken pipe)

Всем заранее спасибо и удачной пятницы!

cups, iptables

Ved_mak
(18.11.16 10:00:53 MSK)

11 комментариев

RSS подписка на новые темы