LINUX.ORG.RU

Сообщения mrtmexx

 

Php5-fpm

Стоит на Dedian6 связка nginx + php5-fpm.

Php установлено из Dotdeb репозитория.

Версия php (http://paste.pocoo.org/show/2jnkuNmRVPCDYCD5HcX3/)

# php -v
PHP 5.3.8-1~dotdeb.2 with Suhosin-Patch (cli) (built: Aug 25 2011 13:30:46) 
Copyright (c) 1997-2011 The PHP Group
Zend Engine v2.3.0, Copyright (c) 1998-2011 Zend Technologies
    with Suhosin v0.9.32.1, Copyright (c) 2007-2010, by SektionEins GmbH

Версия nginx:

# nginx -v
nginx version: nginx/0.7.67 

При нагрузке небольшой свыше 30-40 подключений php-fpm перестает отвечать:

[16-Mar-2012 10:58:08] WARNING: [pool www] seems busy (you may need to increase pm.start_servers, or pm.min/max_spare_servers), spawning 8 children, there are 0 idle, and 10 total

Кто нибудь может сталкивался?

mrtmexx
()

Openvz для для крупного проекта.

Хочу узнать кто нибудь использует OpenVz в крупных, высоконагруженных проектах? Начальство чуть ли не заставляет использовать OpenVz контейнеры для большого проекта, при условии что есть несколько физических серверов и довольно не слабых.

CPU http://paste.pocoo.org/show/gzQw1BTmLbjtGcZl5ff4/

Memory http://paste.pocoo.org/show/wDhDUYbPXixMf5wzyvpn/

Начальство аргументирует тем, что многие большие корпорации активно используют виртуальные машины, да с этим я соглашусь, но не думаю что они используют OpenVZ.

Хотел бы узнать все за и против.

mrtmexx
()

Opensuse 11.4 & Virtualbox

Как в OpenSuse 11.4 поставить VirtualBox с поддержкой 64 разрядных дистрибутивов?

Вроде бы поставил VirtualBox x86_64 но не хотят загружаться 64 разрядные системы.

mrtmexx
()

Openvpn server to server

Есть две машины: одна находится в офисе (gateway) сеть 172.16.0.0/24, а вторая стоит в нете (remote_srv) сеть 172.16.2.0/24. Шлюз подключается к remote_srv по OpenVPN ( используя ключи). Все маршруты ходят и все нормально.

Настройки сервера:

1. /etc/openvpn/server.conf 

http://paste.pocoo.org/show/yWYOa47rb08WxlTkrN5A/

2. настройки для клиента (gateway)

http://paste.pocoo.org/show/493989/

Для доступа сотрудников к локальной сети (172.16.0.0/24), виртуалкам которые стоят на remote_srv (172.16.2.0) был был поднят еще один OpenVPN сервер на remote_srv на другом порту с авторизацией через LDAP.

Настройки сервера:

http://paste.pocoo.org/show/3IO14HUqS8CanPKp7fpn/

Пользователи получают ip-адреса из сети 172.16.3.0/30 Сотрудники подключившиеся видят друг друга и сеть виртуалок (172.16.2.0/24), которые стоят на remote_srv, но не видят сеть которая находиться за gateway (172.16.0.0/24), да и сам gateway тоже не видят.

Так понимаю проблема в маршрутах или нет? может ли быть такое что маршруты одного сервера не видят маршруты другого?

mrtmexx
()

Debian 6 & Openvpn

Доброе время суток всем, настраиваю OpenVPN server и не получаются пару моментов: 1. не могу сделать так чтобы linux клиентам назначался nameserver 2. как можно сделать чтобы при подключении на клиенте не спрашиволо постоянно логин и пароль?

Настройки сервера http://paste.pocoo.org/show/490543/

Настройки клиента http://paste.pocoo.org/show/490544/

# cat /etc/openvpn/auth.txt 
user
passwd

И клиент ругается

Oct 10 21:34:40 linux-2x5t openvpn[14598]: OpenVPN 2.1.4 x86_64-unknown-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Nov  4 2010
Oct 10 21:34:40 linux-2x5t openvpn[14598]: Sorry, 'Auth' password cannot be read from a file
Oct 10 21:34:40 linux-2x5t openvpn[14598]: Exiting

И как настроить чтобы linux машины получали DNS?

mrtmexx
()

PPTPD + Radius NPS

Пытаюсь прикрутить pptpd сервер установленный на Debian 6 к Windows Server 2008 R2 Active Directory через NPS (RADIUS). Radius настроил по статье http://araihan.wordpress.com/2009/11/11/windows-server-2008-how-to-configure-... но для pptp сервера, а не l2tp.

Настройки pptpd:

/etc/pptpd.conf

option /etc/ppp/pptpd-options-radius
logwtmp
localip 172.16.0.1
remoteip 172.16.0.201-250
connections 50

/etc/ppp/pptpd-options-radius

debug
logfile /var/log/pptpd.log
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mppe-128
require-mschap-v2
ms-dns 172.16.0.4
ms-dns 172.16.0.5
proxyarp
nodefaultroute
lock
nobsdcomp
mtu 1200
mru 1200
plugin radius.so
plugin radattr.so
lcp-echo-failure 50

/etc/radiusclient/radiusclient.conf

auth_order      radius
login_tries     4
login_timeout   60
nologin         /etc/nologin
issue           /etc/radiusclient/issue
authserver      172.16.0.4
acctserver      172.16.0.4
servers         /etc/radiusclient/servers
dictionary      /etc/radiusclient/dictionary
login_radius    /usr/sbin/login.radius
seqfile         /var/run/radius.seq
mapfile         /etc/radiusclient/port-id-map
default_realm
radius_timeout  10
radius_retries  3
login_local     /bin/login

/etc/radiusclient/servers

172.16.0.4 password

Так же настройки:

/etc/radiusclient/dictionary.microsoft http://paste.pocoo.org/show/485156/

/etc/radiusclient/dictionary.merit http://paste.pocoo.org/show/485157/

/etc/radiusclient/dictionary http://paste.pocoo.org/show/485158/

При попытке подключиться к серверу в логах: http://paste.pocoo.org/show/485143/

Соединение обрывается, но не могу понять почему, авторизация проходит я так понимаю, но почему то обрывается соединение.

Кто нибудь сталкивался с такой задачей, посоветуйте как решить проблему.

mrtmexx
()

Openfire & Debian

Настраиваю внутрекорпоративную систему обмена сообщениями Jabber. Установил Openfire 3.7.0 на Debian 6. Внутри сети все нормально работает, но как только захотел отправить сообщения наружу, то сообщения не доходят, но снаружи от других приходит. В чем может быть проблема?

mrtmexx
()

KnockD! За и против

Хотелось бы спросить у кого нибудь был опыт работы с этим продуктом, а если был то какой? Хотелось бы знать положительные стороны, ну точнее я о них представляю, больше интересует отрицательные стороны.

Были ли какие нибудь проблемы с работой данного продукта?

Да и вообще как думает народ о том чтобы закрывать доступ к удаленным серверам таким образом?

Лично мне кажется что использовать этот метод защиты на серверах к которым вообще не имеешь физического доступа очень даже опасно. Мало ли что произойдет, к примеру нужно получить доступ с компа где не стоит клиент... да и вообще стабильно работает KnockD?

mrtmexx
()

Openvz & Snapshot & Crypsetup

Реально ли сделать чтобы openvz контейнеры находилишь на шифрованных cryptsetup-ом lvm разделах?

точнее не совсем такой вопрос, это то реально, но вопрос в том будут ли сниматься snapshot-ы?

Стоит задача, делать мгновенные бекапы ( без downtime) openvz контейнеров, но в тоже время должны быть зашифрованы разделы где лежат контейнеры.

Пробывал делать так:

1. создавал lvm том.

2. криптовал его

3. моунтил в /var/lib/vz

и потом пробывал снять snapshot, но openvz ругался что не может найти lvm тома.

mrtmexx
()

OpenVz & vzdump & snapshot

Создал lvm том /dev/vms/vg1 и смонтировал в /mnt/dump/ (fs ext4).

# lvdisplay 
  --- Logical volume ---
  LV Name                /dev/vms/vg1
  VG Name                vms
  LV UUID                oWEzdm-AeBo-ejtc-eJbo-5oJx-NGhn-u87Osh
  LV Write Access        read/write
  LV Status              available
  # open                 1
  LV Size                20,00 GiB
  Current LE             5120
  Segments               1
  Allocation             inherit
  Read ahead sectors     auto
  - currently set to     256
  Block device           254:1
решил сделать snapshot dump openvz виртуалки:

vzdump --snapshot 101 --dumpdir /mnt/dump/
INFO: starting new backup job: vzdump --snapshot 101 --dumpdir /mnt/dump/
INFO: Starting Backup of VM 101 (openvz)
INFO: CTID 101 exist mounted running
INFO: status = CTID 101 exist mounted running
INFO: mode failure - unable to detect lvm volume group
INFO: trying 'suspend' mode instead
INFO: backup mode: suspend
INFO: bandwidth limit: 10240 KB/s
INFO: starting first sync /var/lib/vz/private/101/ to /mnt/dump/vzdump-openvz-101-2011_08_01-22_41_19.tmp
...

Но openvz не делает дамп в режиме snapshot

INFO: mode failure - unable to detect lvm volume group

, а замораживает виртуалку

INFO: trying 'suspend' mode instead

почему так может быть? может есть какие то ньюансы?

mrtmexx
()

bacula backup

Поставили задачу делать бэкап openvz виртуалок.

Настроил bacula, дамп снимается нормально. но вот восстановить виртуалку целиком не получается не получается:

29-июля 14:03 mrtmexx-dir JobId 15: Start Restore Job RestoreFiles.2011-07-29_14.02.16_18
29-июля 14:03 mrtmexx-dir JobId 15: Устройство "FileStorage" используется
29-июля 14:03 File JobId 15: Ready to read from volume "2" on device "FileStorage" (/var/bacula).
29-июля 14:03 File JobId 15: Forward spacing Volume "2" to file:block 0:1311545277.
29-июля 14:04 openvz-fd JobId 15: Error: attribs.c:423 File size of restored file /var/lib/bacula-restores/vz/private/79/var/log/redis/redis-server.log not correct. Original 185285017, restored 185285171.
29-июля 14:05 mrtmexx-dir JobId 15: Error: Bacula mrtmexx-dir 5.0.3 (04Aug10): 29-июля-2011 14:05:28
  Build OS:               x86_64-pc-linux-gnu ubuntu 11.04
  JobId:                  15
  Job:                    RestoreFiles.2011-07-29_14.02.16_18
  Restore Client:         openvz-fd
  Start time:             29-июля-2011 14:03:33
  End time:               29-июля-2011 14:05:28
  Files Expected:         66,454
  Files Restored:         66,454
  Bytes Restored:         2,739,301,673
  Rate:                   23820.0 KB/s
  FD Errors:              1
  FD termination status:  Ошибка
  SD termination status:  OK
  Termination:            *** Restore Error ***

29-июля 14:05 mrtmexx-dir JobId 15: Begin pruning Jobs older than 6 months .
29-июля 14:05 mrtmexx-dir JobId 15: No Jobs found to prune.
29-июля 14:05 mrtmexx-dir JobId 15: Begin pruning Jobs.
29-июля 14:05 mrtmexx-dir JobId 15: No Files found to prune.
29-июля 14:05 mrtmexx-dir JobId 15: End auto prune.

Но если восстанавливать часть бекапа (какую нить папку файл) то все нормально. С чем это может быть связано?

mrtmexx
()

Nginx + apache

Настроил связку nginx+apache2

cat /etc/nginx/sites-enabled/example-ssl 
server {
    listen XX.XX.XX.XX:443;
    server_name example.com;

    ssl                   on;
    ssl_protocols         SSLv3 TLSv1;
    ssl_certificate       /etc/nginx/ssl/sslchain.crt;
    ssl_certificate_key   /etc/nginx/ssl/privatekey;

	error_log /var/log/nginx/error_opencity.log;
	location / {
		proxy_pass http://192.168.100.101/;
		proxy_redirect     off;
                proxy_set_header        Host            $host;
                proxy_set_header        X-Real-IP       $remote_addr;
                proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;

                client_max_body_size    100m;
                client_body_buffer_size 128k;

                proxy_connect_timeout   120;
                proxy_send_timeout      120;
                proxy_read_timeout      120;
                proxy_buffer_size       128k;
                proxy_buffers           10 512k;
                proxy_busy_buffers_size 512k;
                proxy_temp_file_write_size      512k;
	}
}

и влогах апача нет ип адреса того кто зашел, а пишит только ип адреcc машины на которой стоит nginx. Почему так? Хотелось бы чтобы был адрес посетителя был, как сделать? ОС дебиан!

mrtmexx
()

завернуть SMTP трафик

Провайдер по непонятным причинам режет SMTP трафик, как можно smtp трафик завернуть через сервак который находится в инете? VPN тунель поднят между локальным шлюзом и серваком в нете. Я так понимаю это сделать можно средствами Iptables?

mrtmexx
()

Debian 6 & Openvz

Поставил на Debian 6 OpenVZ, настраиваю интерфейс venet0 чтобы он автоматом получал ip-адресс 192.168.100.1

# cat /etc/network
network/  networks  
root@ocb1:~# cat /etc/network/interfaces 
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
        address X.X.X.X
        netmask 255.255.255.224
        gateway X.X.X.X
auto venet0
iface venet0 inet static
        address 192.168.100.1
        netmask 255.255.255.0

но после ребута интерфейс не получает ip-адреса

# ifconfig 
lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:8 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:560 (560.0 B)  TX bytes:560 (560.0 B)

venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

в чем проблема ?

mrtmexx
()

Server security

Хочу узнать существуют ли какие нибудь корпоративные стандарты защиты серверов?

Может кто нибудь поделиться личным опытом защиты серверов?

mrtmexx
()

Debian GATEWAY

Настроил NAT на Debian 6:

# uname -a
Linux gateway 2.6.32-5-amd64 #1 SMP Wed May 18 23:13:22 UTC 2011 x86_64 GNU/Linux

Iptables:

#
IPT=/sbin/iptables
#
LOCAL_IF="eth1"
INET_IF="ppp0"
GW_IP="192.168.1.1"
GW_IP_PUB="XXX.XXX.XXX.XXX"
#
# Включить перенаправление пакетов через ядро.
echo 1 > /proc/sys/net/ipv4/ip_forward
# Загружаем некторое модули. Ip_nat_ftp требуется, чтобы преобразование сетевых адресов (Network Adress Translation)
# производилось корректно с протоколами FTP
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
echo 1 > /proc/sys/net/netfilter/nf_conntrack_acct
#
# удалить все действующие правила
#
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F
$IPT -X                 #удалить пустую цепочку, на которую нет ссылок
#
# Политики по умолчанию
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P PREROUTING ACCEPT
#
# Разрешаем себе ping наружу, ставим ограничение на ping своей машины.
$IPT -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 2 -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type echo-request -j DROP
$IPT -A INPUT -p icmp -j ACCEPT

# Разрешаем прохождение любого трафика по интерфейсу обратной петли.
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

#
# Разрешаем любой входящий трафик через локальный интерфейс
$IPT -A INPUT -i $LOCAL_IF -j ACCEPT

#
# Проброс портов во внутреннюю сеть
$IPT -t nat -A PREROUTING -p udp -d $GW_IP --dport 53 -j DNAT --to-destination 8.8.8.8:53

$IPT -t nat -A PREROUTING -p tcp -d $GW_IP_PUB --dport 14322 -j DNAT --to-destination 192.168.1.143:22

# Masquerade
$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1500 -j TCPMSS --clamp-mss-to-pmtu -o $INET_IF
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $LOCAL_IF -j ACCEPT # Разрешаем всем
$IPT -t nat -A POSTROUTING -o $INET_IF -j MASQUERADE 

Возникла проблема, некоторые сайты не открываются, к примеру beeline.ru ни в какую не хочет, и к примеру с artvid.ru ничего не качает но открывает, а если пробывать со шлюза то все нормально, в чем проблема?

Так понимаю в iptables, но конкретно в чем?

mrtmexx
()

observium monitoring

ставлю observium monitoring на ubuntu:

Linux mrtmexx 2.6.38-8-generic #42-Ubuntu SMP Mon Apr 11 03:31:24 UTC 2011 x86_64 x86_64 x86_64 GNU/Linux

Делаю все по инструкции: http://www.observium.org/wiki/Ubuntu_SVN_Installation

Проблема в том что не могу добавить пользователя в observium:

./adduser.php user pass 10 user@example.com

но пользователь не добавляется в БД:

PHP Warning:  QDB - Insert failed. in /opt/observium/includes/dbFacile.php on line 77
PHP Notice:  Undefined index: insert_sec in /opt/observium/includes/dbFacile.php on line 83
PHP Notice:  Undefined index: insert in /opt/observium/includes/dbFacile.php on line 84
PHP Notice:  Undefined variable: id in /opt/observium/includes/dbFacile.php on line 86

В чем пробелема так и не могу понять? помогите плиз!

mrtmexx
()

Beeline Home internet & VPN

Настроил VPN подключение к билайну.

# cat /etc/ppp/peers/beeline 
pty "pptp vpn.internet.beeline.ru --nolaunchpppd"
name 089*****
remotename PPTP
mtu 1400
lcp-echo-failure 10
lock
noauth
nobsdcomp
nodeflate
ipparam beeline
Соединение происходит. Но не устанавливается маршрут по умолчанию, приходиться ручками прописывать
#route add default dev ppp0
Все работать начинает, но доменные имена не понимает, так понимаю проблема в nameserver-ах.
# cat /etc/resolv.conf 
domain ring241.tatintel.com
search ring241.tatintel.com
nameserver 10.10.0.9
nameserver 10.10.0.10
если прописать nameserver гугла (8.8.8.8) то все прекрасно работать начинает.

Как сделать чтобы эти допольнительные действия не делать постоянно? (не прописывать руками роут и не добавлять другой DNS сервер)

# uname -a
Linux hm 2.6.32-5-openvz-amd64 #1 SMP Wed May 18 23:53:57 UTC 2011 x86_64 GNU/Linux

mrtmexx
()

nginx & регулярные вырожения

Добрый день прошу помочь с регулярными выражениями. Есть конфиг nginx:


server {
    listen *:808;
        location ~ ^/image/(\d+|-)x(\d+|-)/(.+) {

                set                         $width  $1;
                set                         $height $2;

                alias                       /var/www/image/$3;
              image_filter                resize  $width  $height;
    }
}
Который в этом случае ждет URL вида http://host:808/image/100x100/1.jpg

какой должен быть location чтобы обрабатывались url вида http://host:808/image/1.jpg?w=100&h=100 ?

mrtmexx
()

Debian & nginx & пересобрать пакет

Нужно пересобрать nginx включив поддержку модуля --with-http_image_filter_module

делаю так:

# apt-get source nginx
# vim nginx-0.7.67/debian/rules
добавляю поддержку данного модуля в то место где ./configure и сохраняю
# dpkg-buildpackage -us -uc -nc

но почему то выдает следующее ( не может собрать deb пакет)

dpkg-buildpackage: export CFLAGS from dpkg-buildflags (origin: vendor): -g -O2
dpkg-buildpackage: export CPPFLAGS from dpkg-buildflags (origin: vendor): 
dpkg-buildpackage: export CXXFLAGS from dpkg-buildflags (origin: vendor): -g -O2
dpkg-buildpackage: export FFLAGS from dpkg-buildflags (origin: vendor): -g -O2
dpkg-buildpackage: export LDFLAGS from dpkg-buildflags (origin: vendor): 
tail: cannot open `debian/changelog' for reading: No such file or directory
dpkg-buildpackage: error: tail of debian/changelog gave error exit status 1
В чем проблема ? пробывал и в lenny и squeeze

mrtmexx
()

RSS подписка на новые темы