LINUX.ORG.RU

Сообщения akv_

 

Расширение root раздела с LVM + LUKS

Форум — General

Подскажите, какой правильный алгоритм действий для расширения root раздела на машине с LUKS + LVM. Виртуалка на Debian 11.

sudo fdisk -l /dev/sda
Disk /dev/sda: 50 GiB, 53687091200 bytes, 104857600 sectors
Disk model: QEMU HARDDISK   
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0xa90dc9db

Device     Boot   Start      End  Sectors  Size Id Type
/dev/sda1  *       2048   999423   997376  487M 83 Linux
/dev/sda2       1001470 33552383 32550914 15.5G  5 Extended
/dev/sda5       1001472 33552383 32550912 15.5G 83 Linux


lsblk 
NAME                    MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
sda                       8:0    0   50G  0 disk  
|-sda1                    8:1    0  487M  0 part  /boot
|-sda2                    8:2    0    1K  0 part  
`-sda5                    8:5    0 15.5G  0 part  
  `-sda5_crypt          254:0    0 15.5G  0 crypt 
    |-debian--vg-root   254:1    0 14.5G  0 lvm   /
    `-debian--vg-swap_1 254:2    0  980M  0 lvm   [SWAP]

 ,

akv_
()

Hardware Error в dmesg

Форум — General

Как интерпретировать данные ошибки в dmesg?

[37672.518987] [Hardware Error]: Corrected error, no action required.
[37672.519012] [Hardware Error]: CPU:0 (17:71:0) MC17_STATUS[-|CE|MiscV|AddrV|-|-|SyndV|CECC|-|-|-]: 0x9c2040000000011b
[37672.519039] [Hardware Error]: Error Addr: 0x00000006ef94d080
[37672.519054] [Hardware Error]: IPID: 0x0000009600050f00, Syndrome: 0x484208000a800802
[37672.519074] [Hardware Error]: Unified Memory Controller Ext. Error Code: 0, DRAM ECC error.
[37672.519104] EDAC MC0: 1 CE Cannot decode normalized address on mc#0csrow#2channel#0 (csrow:2 channel:0 page:0x0 offset:0x0 grain:64 syndrome:0x800)

CPU Ryzen, память ECC. Читал что в Ryzen память ECC поддерживается не официально.

 , ,

akv_
()

samba + sssd, не стартует smb сервис.

Форум — Admin

Привет,

Пытаюсь настроить SMB сервер на CentOS 8, с AD интеграцией. Связку с доменом настроил через sssd, работает. Но samba не стартует:

May 28 08:39:47 srv smbd[3106]: [2020/05/28 08:39:47.791727,  0] ../../source3/auth/auth_util.c:1386(make_new_session_info_guest)
May 28 08:39:47 srv smbd[3106]:   create_local_token failed: NT_STATUS_NO_MEMORY
May 28 08:39:47 srv smbd[3106]: [2020/05/28 08:39:47.791997,  0] ../../source3/smbd/server.c:2041(main)
May 28 08:39:47 srv smbd[3106]:   ERROR: failed to setup guest info.
May 28 08:39:47 srv systemd[1]: smb.service: Main process exited, code=exited, status=255/n/a
May 28 08:39:47 srv systemd[1]: smb.service: Failed with result 'exit-code'.
May 28 08:39:47 srv systemd[1]: Failed to start Samba SMB Daemon.

smb.conf

[global]
        workgroup = DOMAIN
        security = ads
        encrypt passwords = yes
        realm = DOMAIN.LOCAL

        passdb backend = tdbsam

        printing = cups
        printcap name = /dev/null
        load printers = no
        cups options = raw
[data]
        valid users = @"admins@domain.local"
        path = /data/test
        public = yes
        writable = yes
        guest ok = no

Находил информацию что последние версии samba не работают без winbind, возможно причина в этом. Какие сейчас рекомендации по настройке samba + ad?

 , ,

akv_
()

Proxmox, hping3, потери пакетов на vm.

Форум — Admin

Всем привет! Сервер Proxmox, на одной из vm находится web server, на второй vm запускаю стресс тест:

hping3 -c 15000 -d 128 -S -w 64 -p 443 --flood --rand-source IP_WebServer 
На машине с web сервером растет %si до 20%, процесс ksoftirqd уходит в 100%, начинаются потери пакетов до этого сервера в районе 40%.
Абсолютно также убивается любая другая виртуалка внутри Proxmox.
Версия Proxmox 6.1, виртуалки на Ubuntu 18.04, сеть virtio.
Что можно сделать и предпринять в данном случае для улучшения ситуации?
PS На удаленной площадке есть ESXi, в качестве теста повторил тоже самое на нем, %si поднялся также до 20, ksoftirqd 0%, потерь нет.

 

akv_
()

iptables clamp-mss-to-pmtu и выбор цепочки.

Форум — Admin

Добрый день!

Где правильно применять clamp-mss-to-pmtu и --set-mss в iptables. В FORWARD, в mangle FORWARD или в POSTROUTING? Сколько не смотрел доков и статей, единства не нашел.

т.е пример:


iptables -A FORWARD -o tun0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1380
или
iptables -t mangle -A FORWARD -o tun0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1380
или
iptables -t mangle -A POSTROUTING -o tun0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1381:1536 -j TCPMSS --set-mss 1380

 

akv_
()

squid + kerberos

Форум — General

Всем привет!

Никак не получается подружить Squid с Kerberos (Active Directory).

Система: CentOS 7.5.

Имя домена «DOMAIN.local». Два контроллера на Windows 2012 и 2003.

keytab делаю на контроллере (2012).

ktpass.exe /princ HTTP/server-proxy.domain.local@DOMAIN.LOCAL /mapuser squid@DOMAIN.LOCAL /crypto ALL /ptype KRB5_NT_PRINCIPAL /pass password /out C:\squid.keytab

krb5.conf

[libdefaults]
  default_realm = DOMAIN.LOCAL
  dns_lookup_kdc = no
  dns_lookup_realm = no

[realms]
  DOMAIN.LOCAL = {
  kdc = 192.168.0.10
  kdc = 192.168.0.11
  admin_server = 192.168.0.10
 }

;[domain_realm]
;  domain.local = DOMAIN.LOCAL
; .domain.local = DOMAIN.LOCAL

[logging]
  kdc = FILE:/var/log/kdc.log
  admin_server = FILE:/var/log/kadmin.log
  default = FILE:/var/log/krb5lib.log

squid.conf (дефолтный конфиг)

auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -d -s HTTP/server-proxy-domain.local
auth_param negotiate children 20
auth_param negotiate keep_alive on

acl auth proxy_auth REQUIRED

http_access allow auth

Ошибка:

negotiate_kerberos_auth: WARNING: received type 1 NTLM token
2018/08/30 15:15:15 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: received type 1 NTLM token; }}

Время синхронизировано, в DNS все прописано, прокси в браузере FQDN.

kinit -k HTTP/server-proxy.domain.local ; klist

Default principal: HTTP/server-proxy.DOMAIN.local@DOMAIN.LOCAL

Valid starting       Expires              Service principal
08/30/2018 15:23:38  08/31/2018 01:23:38  krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
	renew until 08/31/2018 15:23:38

 

akv_
()

yum update vs upgrade

Форум — General

Всем привет!

Подскажите как правильно обновлять RedHat дистрибутивы. В каких случаях делать yum update, а когда upgrade? Читал что при update старая версия пакета сохраняется, тогда как при upgrade удаляется, и update считается более безопасный способ. Но если всегда делать update, не получится ли свалка старых пакетов, которые будут без толку занимать свободное место на диске? Вообщем интересует Best Practices по обновлению RedHat/CentOS. До этого работал с Debian, и там как то все логично apt update && apt upgrade.

 ,

akv_
()

Бэкап для ovirt/rhev.

Форум — Admin

Подскажите решение для резервного копирования для ovirt? Помимо Linux есть немного Win VM. Кто чем пользуется? Сам ничего лучше Veeam не встречал. Но его под KVM к сожалению нет.

 , , ,

akv_
()

Nginx и Exchange ActiveSync

Форум — Admin

Здравствуйте,

Опубликован exchange 16 через Nginx, все работает корректно за исключением ActiveSync и iPhone клиентов. Проблема заключается в том, что не отправляются любые вложение размер которых больше 1 килобайта через встроенный клиент Mail. При отправке почтовый клиент сообщает «Сбой отправки сообщения» «Это сообщение было отклонено сервером»

ОС Ubuntu 16.04, nginx/1.13.5

Exchange.conf

server { 

listen 443 ssl http2; 
server_name mail.exchange.com autodiscover.exchange.com; 

ssl_certificate /etc/letsencrypt/live/mail.exchange.com/fullchain.pem; 
ssl_certificate_key /etc/letsencrypt/live/mail.exchange.com/privkey.pem; 
ssl_trusted_certificate /etc/letsencrypt/live/mail.exchange.com/fullchain.pem; 

# add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload" always; 
# add_header X-Content-Type-Options nosniff always; 

include exchange_proxy.conf; 

proxy_ssl_verify off; 

location / { 
return 301 https://mail.exchange.com/owa; 
} 

location = /favicon.ico { 
empty_gif; 
access_log off; 
} 

location ~* ^/owa { 
proxy_pass https://exchange; 
proxy_http_version 1.1; 
proxy_set_header Connection ""; 
} 

location ~* ^/Microsoft-Server-ActiveSync { 
proxy_pass https://exchange; 
proxy_http_version 1.1; 
proxy_set_header Connection ""; 
} 

location ~* ^/autodiscover { 
proxy_pass https://exchange; 
proxy_http_version 1.1; 
proxy_set_header Connection ""; 
} 

exchange_proxy.conf

client_max_body_size 0; 
client_body_buffer_size 128k; 

proxy_read_timeout 3h; 
proxy_send_timeout 3h; 
proxy_connect_timeout 3h; 
keepalive_timeout 3h; 

proxy_buffers 16 32k; 
proxy_buffer_size 64k; 
proxy_busy_buffers_size 64k; 
proxy_temp_file_write_size 64k; 

proxy_pass_header Date; 
proxy_pass_header Server; 
proxy_pass_header Authorization; 

proxy_pass_request_headers on; 

large_client_header_buffers 8 32k; 


# more_set_input_headers 'Authorization: $http_authorization'; 

proxy_http_version 1.1; 
proxy_set_header Host $host; 
proxy_set_header X-Real-IP $remote_addr; 
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 
proxy_set_header Accept-Encoding ""; 
proxy_set_header Connection "Keep-Alive"; 

# more_set_headers -s 401 'WWW-Authenticate: Basic realm="10.11.11.11"'; 

proxy_buffering off; 
proxy_request_buffering off; 

ssl.conf

ssl_dhparam /etc/ssl/certs/dhparam.pem; 
ssl_session_timeout 1d; 
ssl_session_cache shared:SSL:50m; 
ssl_session_tickets off; 
ssl_protocols TLSv1.2; 
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256'; 
ssl_prefer_server_ciphers on; 
# ssl_ecdh_curve secp384r1; 
ssl_stapling on; 
ssl_stapling_verify on; 

upstream.conf

upstream exchange { 
server 10.11.11.11:443; 
} 

В логах при отправке:

IP - user@exchange.com [09/Sep/2017:13:38:23 +0300] «POST /Microsoft-Server-ActiveSync?User=user@exchange.com&DeviceId=FDBV17HMPH1VDDJDFRGIS0K8ES&DeviceType=iPhone&Cmd=SendMail HTTP/2.0» 400 166 "-" «Apple-iPhone8C2/1501.537200001» "-"

 

akv_
()

Postfix AUTH на 25 порту

Форум — Admin

Выключил авторизацию на 25 порту Postfix, по дефолту включена. Клиенты с авторизацией ходят на 587 порт. Насколько правильно в целом отключать авторизацию на 25 порту? -o smtpd_sasl_auth_enable=no

 ,

akv_
()

MariaDB root пароль

Форум — Admin

Всем привет!

После установки MariaDB на Ubuntu 16.04, запустил скрипт mysql_secure_installation, и через него установил пароль для root.

Но в mysql -u root пускает сразу и пароль не запрашивает. Если mysql -u root -p вообще принимает любой пароль.

Как установить пароль для root?

Перемещено leave из general

 

akv_
()

Postfix не шифрует исходящие письма

Форум — Admin

Подскажите где ошибка в TLS конфиге Postfix, не проходит шифрование исходящих сообщений.

smtpd_tls_cert_file=/etc/letsencrypt/live/dom.com/fullchain.pem
smtpd_tls_key_file=/etc/letsencrypt/live/dom.com/privkey.pem
smtpd_use_tls=yes
smtpd_tls_auth_only = yes
smtpd_tls_loglevel = 1
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_tls_eecdh_grade = strong
smtpd_tls_security_level=may
smtpd_tls_dh1024_param_file = ${config_directory}/dh2048.pem
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_ciphers = high
smtpd_tls_exclude_ciphers = ECDHE-RSA-RC4-SHA, RC4, aNULL, DES, MD5, CAMELLIA, SEED
smtpd_tls_mandatory_ciphers=high
smtpd_tls_mandatory_exclude_ciphers = ECDHE-RSA-RC4-SHA, RC4, aNUL, DES, MD5, CAMELLIA, SEED

smtp_use_tls = yes
smtp_tls_loglevel = 1
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_tls_security_level = may
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_ciphers = high
smtp_tls_exclude_ciphers = ECDHE-RSA-RC4-SHA, RC4, aNUL, DES, MD5, CAMELLIA, SEED
smtp_tls_mandatory_ciphers = high
smtp_tls_mandatory_exclude_ciphers = ECDHE-RSA-RC4-SHA, RC4, aNUL, DES, MD5, CAMELLIA, SEED

lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3
lmtp_tls_protocols = !SSLv2, !SSLv3

tls_high_cipherlist = HIGH:@STRENGTH
tls_preempt_cipherlist = yes
tls_ssl_options = NO_COMPRESSION

 , ,

akv_
()

RSS подписка на новые темы