LINUX.ORG.RU

Сообщения lckrspirit

 

Хеши паролей в puppet (через openssl)

Привет всем

В данный момент занимаюсь разработкой своего puppet-модуля, который взаимодействует с локальными пользователями на linux-хостах.

В процессе так получилось, что необходимо использовать пароли.

И вот мой вопрос, насколько рационально использовать хеш-пароля в yaml-структуре hiera? - Безопасно ли это, с той точки зрения если этот хеш узнает какой злодей?

Хеш генерится командой:

$ openssl passwd -sha256 MyPasswd

Затем полученная строка, просто указывается в hiera.

Зарание спасибо за комментарии.

 , , ,

lckrspirit
()

Конвертация LXC --> VMWARE/KVM

Доброго дня всем.

Есть парочка lxc контейнеров на старом хосте proxmox, и стоит задача мигрануть их на vmware.

Существует ли менее безболезненный вариант реализации этой задачи?

На форуме proxmox видел тред, пишут что нужно идти по классике. То есть ставить ядро, загрузчик, etc…

Заранее спасибо.

 , ,

lckrspirit
()

WinSCP: Проблема с проверкой хеша

Добрый день, всем.

Столкнулся с такой проблемкой. Написать скриптец на powershell, который синхронизирует каталоги между серверами Windows Server 2012 и Aix 7.2 (Стягивает бекапы с Aix), и вроде бы все работает корректно.

Но при проверке хеша файлов - все хешы совпадают, на последнем (из 10 файлов) хеш не совпадает.

Опытные камрады, подскажите куда капнуть еще, что бы подразобраться в проблеме. (Пробовал копировать ручками, менять протокол все также.)

Заранее спасибо, за рекомендации.

 ,

lckrspirit
()

Switch: Из Админов -> Програмисты

Добрый день,

Как считает комьюнити, нормально свитчнутся из админов в программисты? Стоит ли в такое время это делать?

Работаешь в двух конторах, вроде бы все гуд. Но все равно тянет делать поделки на коленке.

 

lckrspirit
()

Вопросы относительно, DC/OS

Добрый день,

Пытаюсь подтянуть «мат-часть» относительно DC/OS (Mesos), образовалось несколько вопросов.

  1. Bootstrap node - используется только для инсталяции кластера, и дальнейшего обслуживания? (+ можно поднять где угодно, только не в кластере)

  2. На мастер нодах не нужно ставить исполняемую среду (docker)?

Заранее спасибо за пояснения. Вопросы будут дополнятся, по мере)

 

lckrspirit
()

Отзывы о курсе на Otus.ru

Всем привет.

Высока вероятность быть забитым ссаными тряпками, но все же.

Есть ли смысл идти на курс от Otus.ru «Администратор Linux».? - Работаю админом около 2 лет, хотелось бы больше знаний и опыта в этом ремесле приобрести.

Возможно, кто-нибудь обучался у этих ребят. И может оставить реальный отзыв?

ПС: Не нужно тут искать рекламу и прочего скрытого смысла.

 ,

lckrspirit
()

Nginx авторизация через pam (pam_linotp.so)

Приветствую всех.

Пытаюсь настроить авторизацию nginx через pam. Вызывается модуль pam_linotp.so

Тестовый конфиг nginx:

location / {
            root   html;
            index  index.html index.htm;
            auth_pam              "Secure Zone";
            auth_pam_service_name "nginx";
            auth_pam_set_pam_env  on;
        }

Pam - модуль:

# cat /etc/pam.d/nginx 
# Include LinOTP authentication
auth [success=1 default=ignore]  pam_linotp.so url=https://172.30.254.9/validate/simplecheck debug nosslhostnameverify nosslcertverify
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so

Кусок лог-файла:

linotp:DEBUG: "freeing escaped value for user"
Aug  4 18:01:35 lotp-nginx-test pam_linotp[28383]: linotp:DEBUG: "freeing escaped value for pass"
Aug  4 18:01:35 lotp-nginx-test pam_linotp[28383]: linotp:DEBUG: "connecting to url:https://172.30.254.9/validate/simplecheck with parameters user=user1&pass=user1"
Aug  4 18:01:35 lotp-nginx-test pam_linotp[28383]: linotp:DEBUG: "result :-("
Aug  4 18:01:35 lotp-nginx-test pam_linotp[28383]: linotp:INFO: "user 'user1' rejected"

В форму авторизации nginx, указываю логин - user1 и пароль - 12212122(Например). Но судя по логу в значение - pass = user=user1&pass=user1, подставляется логин.

Может кто нибудь знает как можно переопределить значение pass? Или есть может есть очевидное решение?

 , ,

lckrspirit
()

Ansible, после 2 запуской пользователь лочится

Всем привет.

Столкнулся с проблемой. Запускаю ansible-playbook, при первом-втором запуске все ок, выполняется. Запускаю 3-й раз, ловлю ошибку -

{"msg": "Incorrect sudo password"}

Полез на сервер, обнаружил что пользователь в заблокирован, после 5 попыток. В pam/system-auth указано,

auth        required      pam_faillock.so preauth silent deny=5 unlock_time=900
auth        required      pam_faillock.so authfail deny=5 unlock_time=900

Стало очевидно, по какой причине блокируется.

После разблокировки - faillock --user ansible_hostuser --reset, и плейбук выполняется успешно.

В логах обнаружил, что несколько раз переподнимается сессия. И после каждого каждого запуска плейбука, пишется ошибка в faillock.

Просьба подсказать, как можно обойти эту проблему? Пока что на ум приходить только 2 решения, изменить файл sudoers или увеличить количество в значении pam_faillock deny=5. Не уверен что оба варианта верные.

 ,

lckrspirit
()

Локальный репозиторий с обновлениями(Выбор сервиса)

Всем привет.

Просьба поделится опытом использования локальных зеркал с обновлениями, возможно есть удобные сервисы?

Сейчас интересно попробовать spacewalk.

Спасибо за ответы.

 ,

lckrspirit
()

pam_script, вызов при подключении

Всем привет.

Пытаюсь настроить модуль pam_script.so в настройках sshd. Что бы при подключении по ssh, отрабатывался скрипт.

Файл /etc/pam.d/sshd:

#%PAM-1.0
auth       optional     pam_script.so  debug dir=/bin/myscript.sh
auth       required     pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin
# Used with polkit to reauthorize users in remote sessions
-auth      optional     pam_reauthorize.so prepare
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth
session    include      postlogin
# Used with polkit to reauthorize users in remote sessions
-session   optional     pam_reauthorize.so prepare
~                                                        

Кусок лога:

Mar 18 13:39:19 admin-rsatest sshd[8876]: pam_unix(sshd:session): session closed for user user1
Mar 18 13:39:25 admin-rsatest sshd[8939]: Accepted password for anatoliit from 172.30.253.197 port 50763 ssh2
Mar 18 13:39:26 admin-rsatest sshd[8939]: pam_unix(sshd:session): session opened for user user1 by (uid=0)

Но при подключении, модуль не отрабатывает. Просьба подсказать, почему. Заранее спасибо.

 ,

lckrspirit
()

Костыль для ФайлШаринга

Просьба подсказать решение для задачи.

Хосты:

  • клиентское устройство на windows7
  • промежуточный сервер на ubuntu
  • NAS с файловой шарой на Windows Server

Клиентские хосты расположены вне скоупа (подключены с сети через VPN), и каждый день должны выгружить логи на NAS через промежуточный сервер.

Можно ли реализовать как нибудь прокси для самбы? Или пробросить порты через nginx?

 , ,

lckrspirit
()

TomCat - через systemd unit не работает

Всем привет.

Поднял tomcat через стартап скрипты странички отрабатывают. Если запустить через unit, в активном статусе, не работает сервис.

# Systemd unit file for tomcat
[Unit]
Description=Apache Tomcat Web Application Container
After=syslog.target network.target

[Service]
Type=forking

Environment=JAVA_HOME=/usr/lib/jvm/jre
Environment=CATALINA_PID=/opt/tomcat/temp/tomcat.pid
Environment=CATALINA_HOME=/opt/tomcat
Environment=CATALINE_BASE=/opt/tomcat
Environment='CATALINE_OPTS=-Xms128M -Xmx765M -server -XX:+UseParallelGC'
Environment='JAVA_OPTS=-Djava.awt.haedless=true -Djava.security.egd=file:/dev/./urandom'

ExecStart=/opt/tomcat/bin/startup.sh
ExecStop=/bin/kill -15 $MAINPID

User=tomcat
Group=tomcat

[Install]
WantedBy=multi-user.target

Просьба подсказать решение проблемы.

 ,

lckrspirit
()

Конфиг для домашнего десктора (Gentoo)

Всем привет. Посоветуйте конфиг(связку) что собрать для генты в качестве домашнего десктопа, чтоб оптимально было на 2021. Бюджет 60к.

Спасибо!

 ,

lckrspirit
()

550 5.1.1 <examle@example.com>: Recipient address rejected:

Всем привет.

Получил письмо с уведомлением что мой IP был занесен в базу сомнительных адресов, из-за рассылки спама. В коментариих были логи, где все записи с событием:

550 5.1.1 <examle@example.com>: Recipient address rejected:

Действительно, за этим адресом Postfix сервер, который рассылает клиентские сообщения. Сервер закрыт за фаером, из вне на него доступа нету. В локальном скоупе, сервер используется приложением с клиентской базой, и барракудой.

Просьба подсказать, как можно расследовать этот инцидент и устранить подобные ситуации. И как можно повысить репутацию ip?

Заранее спасибо

 , ,

lckrspirit
()

Вопрос по WildCard сертификат

Добрый день.

Прошу поделиться информацией и опытом, где заказываете wildcard-сертификаты?

И существует ли ограничение на создание поддоменных имен, при покупке wildcard сертификата?

(Прошу не мочить ссаными тряпками)

Спасибо.

 ,

lckrspirit
()

Checkpoint + CentOS8

Добрый день.

Подскажите как можно выпустить в интернет сервер на CentOS8, через прокси Checkpoint. На чеке правила созданы.

На сервер нужно ставить сертификат или агент?

Заранее спасибо за ответ.

 , ,

lckrspirit
()

Авторизация через LDAP (AD)

Всех приветствую.

Не могу выявить и устанить проблему в авторизации пользователей в GLPI через LDAP-каталоги.

Если у пользователя есть ограничения на вход с определенных пк(ниже скрин), то при авторизации выбрасываеться ошибка: «Не верный логин или пароль». Если же ради теста, снять это ограничение, авторизация проходит.

К дополнению, добавил glpi-сервер в домен, и пользователю к ограниченными правами добавил разрешения входа на этот сервер, но все равно не помогло.

Просьба помочь в поисках проблемы. Заранее спасибо.

Скрин: https://prnt.sc/t6t65m

 , ,

lckrspirit
()

SQL - запрос, выражение после ORDER BY

Всем привет. Написал такой Селект:

SELECT
	YEAR(action_date) AS `Year`,
    NULL AS `Month`,
    NULL AS `Day`,
    SUM(qty*price) AS `Total`
FROM actions
GROUP BY `Year` , `Month` , `Day`
UNION
SELECT 
	YEAR(action_date) AS `Year`,
    MONTH(action_date) AS `Month`,
    NULL AS `Day`,
    SUM(qty*price) AS `Total`
FROM actions
GROUP BY `Year` , `Month` , `Day`
UNION
SELECT
	YEAR(action_date) AS `Year`,
    MONTH(action_date) AS `Month`,
    DATE(action_date) AS `Day`,
    SUM(qty*price) AS `Total`
FROM actions
GROUP BY `Year` , `Month` , `Day`
ORDER BY `Year`, `Month`, `Day`

Результатом которого, выборка ниже:

'2015', NULL, NULL,        '181974.00000'
'2015', '7',  NULL,        '88319.00000'
'2015', '7', '2015-07-25', '35467.00000'
'2015', '7', '2015-07-26', '17149.00000'
'2015', '7', '2015-07-28', '8293.00000'
'2015', '7', '2015-07-29', '19760.00000'
'2015', '7', '2015-07-30', '7650.00000'

Подскажите, как можно заменить заменить NULL на пустые значения? И как можно выполнять модификации над выборкой, после ORDER BY? Заранее спасибо.

 , ,

lckrspirit
()

Rofi custom menu

Всем привет.

Просьба подсказать, как можно прикрутить свою кастомную rofi-менюшку к основной?

То есть при вызове основной меню (mod+d), вызывается дефолдная меню с режимами - drun/run/ssh/window. Собственно хочу свою менюшку добавить к этому списку режимов.

Заранее спасибо!

 ,

lckrspirit
()

i3wm, как убрать заголовок.

Всех приветствую. Просьба подсказать, как можно убрать границы и соответсвенно сам title-бар в i3, у приложение сайблайма 3.

Пытался убрать так:

for_window [class="Sublime Text"] border pixel 0
for_window [class="(?u)sublime"] border pixel 0
for_window [class="(?u)subl3"] border pixel 0

Заранее спасибо за ответы.

 ,

lckrspirit
()

RSS подписка на новые темы