Сообщения Incher

Nginx: самопроизвольное проксирование

Доброго времени суток!

Ситуация такая: имеется инфраструктура, на которой крутится сервис из нескольких php-модулей. Имеется свой DNS под bind9 и связка nginx+php-fpm. Когда необходимо завести локацию для нового модуля, я добавляю в /etc/bind/db.example запись вида:

new-module IN      A       12.34.56.78

рестартую bind, завожу локацию /var/www/new-module, добавляю в /etc/nginx/sites/enabled файл со следующим содержимым:

server {
        root /var/www/new-module;
        index index.php;
        server_name new-module.example;

        location ~ \.php$ {
           fastcgi_pass 12.34.56.78:9000;
           include fastcgi_params;
        }
}

Затем делаю service nginx reload и все работает (работало до недавнего времени). Таким образом, накопился список локаций типа

/var/www/new-module1
/var/www/new-module2
...
/var/www/new-module9
/var/www/new-module10

Которые прекрасно работают. Однако недавно потребовалось завести новый модуль, например, /var/www/new-module11. Делаю все по тому же алгоритму, но при открытии в браузере адреса http://new-module11.example вместо ожидаемого отображения индекс файла из /var/www/new-module11 отображается индекс-файл из локации, например, /var/www/new-module6. Дальше интереснее: завожу тестовый урл test.example - только в bind, ничего не прописывая в nginx, ради интереса открываю http://test.example и получаю опять содержимое /var/www/new-module6 ! И так для любого вновь создаваемого урла все запросы неведомым образом проксируются на одну и ту же локацию.

Глобальный конфиг nginx не менялся очень давно (да и вряд ли в нем дело, если даже без всяких изменений в настройках nginx запросы на новые урлы перекидываются в другое место). Но на всякий случай привожу /etc/nginx/nginx.conf

user www-data;
worker_processes 4;
pid /var/run/nginx.pid;
events {
    worker_connections 1024;
    multi_accept on;
     use epoll;
}
http {
    keepalive_timeout 65;
    types_hash_max_size 2048;
    include /etc/nginx/mime.types;
    default_type application/octet-stream;
    access_log /var/log/nginx/access.log;
    error_log /var/log/nginx/error.log;
    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*;
}

Я даже не представляю, на что грешить, помогите, пожалуйста понять, что за магия происходит.

ЗЫ. При этом в логах nginx такие собщения:

2014/07/09 04:22:10 [error] 9139#0: *2881543 directory index of "/var/www/new-module6" is forbidden, client: хх.хх.хх.хх, server: new-module6.example, request: "GET / HTTP/1.1", host: "test.example"

Incher
(09.07.14 03:48:28 MSK)

3 комментария

Nginx + php-fpm на разных хостах - error: failed (104: Connection reset by peer) while reading response header from upstream

Добрый день всем! Ситуация такая: необходимо настроить связку php-fpm + nginx, чтоб они работали на разных виртуалках в одной локальной сети. Собственно после установки и настройки всего в логах nginx возникает сабжевая ошибка при попытке зайти на тестовую страничку, в браузере при этом, естественно, 502 - Bad Gateway. При этом в логах php-fpm пусто, только

[12-May-2014 12:30:48] NOTICE: fpm is running, pid 11860
[12-May-2014 12:30:48] NOTICE: ready to handle connections

и все. Перекопала все, что можно, везде в основном предлагается подключать fastcgi не через unix-сокет, а через ip-адрес:порт, но у меня, собственно, так и есть. Фаерволов между машинами нет. Привожу конфиги.

/etc/nginx/nginx.conf:

user www-data;
worker_processes 4;
pid /var/run/nginx.pid;
events {
        worker_connections 1024;
        multi_accept on;
        use epoll;
}
http {
        keepalive_timeout 65;
        include /etc/nginx/mime.types;
        default_type application/octet-stream;
        access_log /var/log/nginx/access.log;
        error_log /var/log/nginx/error.log;
        include /etc/nginx/conf.d/*.conf;
        include /etc/nginx/sites-enabled/*;
}

/etc/nginx/sites-enabled/test:

server {
        root /webdata/internal/test;
        index index.php;
        server_name xx.xx.xx.xx;
        location ~ \.php$ {
           fastcgi_pass 192.168.199.223:9000;
                #fastcgi_index index.php;
                #fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
                include fastcgi_params;
        }
}

/etc/php5/fpm/php-fpm.conf

[global]
pid = /var/run/php5-fpm.pid
error_log = /var/log/php5-fpm.log
include=/etc/php5/fpm/pool.d/*.conf

/etc/php5/fpm/pool.d/www .conf

[www]
user = www-data
group = www-data
listen = 192.168.199.223:9000

listen.allowed_clients = 127.0.0.1, 192.168.199.224
pm = static
pm.max_children = 100
pm.max_requests = 100
pm.status_path = /status_php-test

ping.path = /ping_php-test
chdir = /webdata

Incher
(13.05.14 04:39:33 MSK)

17 комментариев

Как перенести виртуалку с ESXi на XEN

Сабж, собственно. Сталкивался ли кто-нибудь с переносом ВМ с ESXi на XEN? Особенно интересно для ESXi 5.1 и XEN 4.2. В гугле полно информации про перенос наоборот с XEN на ESXi и попалось еще пара статей про перенос с ESXi на XenServer - но это совсем другая история. Подскажите, пожалуйста, где можно подглянуть толковый мануал по переносу с ESXi на XEN.

Incher
(02.04.14 10:41:01 MSK)

7 комментариев

Snort перестал видеть трафик всей локальной сети

Доброго времени суток! Есть хост под Ubuntu Server LTS 12.04, с установленной связкой Snort 2.9.2 + ACID BASE + PostgreSQL-client (сама база на другом хосте). При первоначальной устанвке и настойке (около 5 мясецев назад) все работало как надо, а именно в веб-интерфейсе BASE отображалась информация о пакетах не только исходящих или входящих самого хоста со Snort'ом, но и о пакетах, переправляемых между другими хостами этой же локальной сети. То есть у Snort-хоста адрес 10.0.40.3, но он видел пакеты, в которых, например, source 10.0.40.4 - destination 10.0.40.5. Пару дней назад обновила пакеты системы через «aptitude update && aptitude upgrade», после этого Snort стал просматривать только пакеты, для которых он сам является хостом отправителем или получателем, то есть трафика между 10.0.40.4 и 10.0.40.5 он уже не видит. Настройки на первый взгляд никакие не изменились, привожу часть конфига Snort (т.к. весь конфиг - большая простыня), где производились изменения вручную после установки:

ipvar HOME_NET [10.0.40.0/24,10.0.20.0/24,10.0.30.0/24,10.0.10.0/24]
ipvar EXTERNAL_NET !$HOME_NET
ipvar DNS_SERVERS 10.0.40.2
ipvar SMTP_SERVERS 10.0.40.6
ipvar HTTP_SERVERS 10.0.30.3
ipvar SQL_SERVERS 10.0.20.2
ipvar TELNET_SERVERS $HOME_NET
ipvar SSH_SERVERS $HOME_NET
ipvar FTP_SERVERS $HOME_NET
ipvar SIP_SERVERS $HOME_NET
portvar HTTP_PORTS [80,81,311,591,593,901,1220,1414,1830,2301,2381,2809,3128,3702,5250,7001,7777,7779,8000,8008,8028,8080,8088,8118,8123,8180,8181,8243,8280,8888,9090,9091,9443,9999,11371]
portvar SHELLCODE_PORTS !80
portvar ORACLE_PORTS 1024:
portvar SSH_PORTS 22
portvar FTP_PORTS [21,2100,3535]
portvar SIP_PORTS [5060,5061,5600]
ipvar AIM_SERVERS [64.12.24.0/23,64.12.28.0/23,64.12.161.0/24,64.12.163.0/24,64.12.200.0/24,205.188.3.0/24,205.188.5.0/24,205.188.7.0/24,205.188.9.0/24,205.188.153.0/24,205.188.179.0/24,205.188.248.0/24]
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules

/etc/snort/database.conf

output database: log, postgresql, user=snort password=pass dbname=snort host=10.0.20.2

Помогите, пожалуйста, вернуть все обратно, чтоб Snort видел трафик всей локальной сети.

Incher
(27.03.14 05:26:07 MSK)

14 комментариев

Анализатор логов Splunk - срок действия бесплатной лицензии

Доброго времени суток! Возникла необходимость централизовано хранить логи с нескольких серверов, для логирования и отправки логов по сети используется rsyslog. Так как логов накапливается достаточно много, то для удобства чтения и их анализа было решено использовать Splunk. При установке сего продукта дается триальная enterprise-лицензия сроком на 3 месяца. У меня при установке дата окончания срока действия получилась May 2, 2014 7:25:13 AM. В принципе платить за enterprise версию нет смысла - возможностей free мне вполне достаточно. На панели Splunk в разделе Settings > Licensing > Installed licenses написано, что на моем лог-сервере установлено 3 лицензии:

Installed licenses on: logs01 (3)
1. Splunk Enterprise Download Trial
creation_time 	2013-10-23 12:00:06+04:00
expiration_time 	2014-05-02 07:25:13+04:00
features 	

    Alerting
    AllowDuplicateKeys
    Auth
    DeployClient
    DeployServer
    DistSearch
    FwdData
    LocalSearch
    RcvData
    RcvSearch
    ScheduledSearch
    SigningProcessor
    SplunkWeb
    SyslogOutputProcessor


label 	Splunk Enterprise Download Trial
max_violations 	5
payload 	None
quota_bytes 	524288000.0
sourcetypes 	

stack_name 	download-trial
status 	VALID
type 	download-trial
window_period 	30
2. Splunk Forwarder
creation_time 	2010-06-20 11:00:00+04:00
expiration_time 	2038-01-19 07:14:07+04:00
features 	

    Auth
    DeployClient
    FwdData
    RcvData
    SigningProcessor
    SplunkWeb
    SyslogOutputProcessor


label 	Splunk Forwarder
max_violations 	5
payload 	None
quota_bytes 	1048576.0
sourcetypes 	

stack_name 	forwarder
status 	VALID
type 	forwarder
window_period 	30
3. Splunk Free
creation_time 	2010-06-20 11:00:00+04:00
expiration_time 	2038-01-19 07:14:07+04:00
features 	

    FwdData
    LocalSearch
    RcvData
    ScheduledSearch
    SigningProcessor
    SplunkWeb


label 	Splunk Free
max_violations 	3
payload 	None
quota_bytes 	524288000.0
sourcetypes 	

stack_name 	free
status 	VALID
type 	free
window_period 	30

Получается, срок окончания Free-лицензии 2038-01-19 07:14:07+04:00, однако при переключении с Enterprise на Free-лицензию согласно инструкции на оф. сайте http://docs.splunk.com/Documentation/Splunk/5.0.1/Admin/MoreaboutSplunkFree#S... тип лицензии изменился на Free, но срок окончания остался прежним - May 2, 2014 7:25:13 AM. Подскажите, пожалуйста, в чем тут может быть проблема и как продлить бесплатную лицензию?

Incher
(19.03.14 08:16:41 MSK)

2 комментария

Проброс портов в Xen

Доброго времени суток всем!
Суть вопроса: есть хост XEN 4.2 на базе CentOS 6.5, имеет 2 сетевухи - одна смотрит наружу (ip xx.xx.xx.xx), другая в локалку 192.168.199.0/24 (ip 192.168.199.203). На хосте имеется виртуалка под Ubuntu Server 12.04, необходимо, чтобы она была подключена к этой же физической локальной сети и имела доступ в интернет. С подключением по локалке проблем нет, а вот с пробросом портов, что-то не разберусь. Сейчас конфигурация такая: на гипервизоре eth0 - внешний интерфейс с адресом ip xx.xx.xx.xx, eth1 - внутренний интерфейс, без адреса, воткнут в бридж, и xenbr1 - бридж с адресом 192.168.199.203, в него включены eth1 и виртуальный интерфейс виртуалки с адресом 192.168.199.218.
Пыталась настроить проброс портов с виртуалки на CentOS в iptables, но скорее всего, намудрила какую-то ерунду:

[root@adsl-75-045 network-scripts]# service iptables status
Таблица: nat
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination
1    DNAT       tcp  --  0.0.0.0/0            80.243.75.45        tcp dpt:8080 to:192.168.199.218:80
2    DNAT       udp  --  0.0.0.0/0            80.243.75.45        udp dpt:8080 to:192.168.199.218:80

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination
1    MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0

Таблица: filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  0.0.0.0/0            192.168.199.218     tcp dpt:80
2    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Помогите, пожалуйста, разобраться с пробросом портов.

Incher
(13.02.14 10:28:17 MSK)

8 комментариев

Зеркалирование трафика с физического порта на виртуальный

Доброго времени суток! Сабж: имеется физический сервер с парком виртуалок на борту на базе Xen. Виртуалки поделены на 4 VLAN'а, гипервизор в отдельном VLAN'е, физический порт сервера соединен с маршрутизатором Cisco 1921 - данный канал является транком для имеющихся VLAN'ов. У роутера всего 2 порта - второй смотрит наружу. В одном из VLAN'ов стоит виртуалка со Snort'ом, на которую нужно передавать весь поступающий на роутер извне трафик для анализа.

Вопрос: каким образом можно зеркалировать тарфик с физ. порта Cisco для дальнейшей передачи на виртуалку со Snort'ом для последующего анлиза?

PS. Полагаю, необходимо на роутере создать вирт. интерфейс, зазеркалировать на него трафик (как?), затем в xen-гипервизоре создать бридж, к которому присоединить вирт. интерфейс роутера и один из интерфейсов ВМ со Snort'ом, вот только не знаю как это сделать, да так, чтоб коннект к роутеру не отвалился (весь этот зоопарк на другом конце страны, так что ошибку допустить нельзя).

Incher
(04.12.13 06:46:46 MSK)

11 комментариев

Не работает SOAP (PHP 5.4, Debian 6)

Доброго времени суток! При запуске скрипта из командной строки PHP ругается на строки:

    public function __construct()
	 {
            $this->soap = new SoapClient(CBR::WSDL);
	 }

следующим образом:

root@debian:/var/www# php script2.php

Fatal error: Class 'SoapClient' not found in /var/www/www-cryptcp/script2.php on line 10

PHP установлен из пакетов, пакет php-soap установлен:

root@debian:~# aptitude search ~iphp
i A libapache2-mod-php5             - server-side, HTML-embedded scripting langu
i A libphp-adodb                    - The ADOdb database abstraction layer for P
i A php-auth-sasl                   - Abstraction of various SASL mechanism resp
i A php-http-request                - provides an easy way to perform HTTP reque
i A php-mail                        - PHP PEAR module for sending email
i A php-mail-mime                   - PHP PEAR module for creating MIME messages
i A php-mail-mimedecode             - PHP PEAR module to decode MIME messages
i A php-net-dime                    - class that implements DIME encoding
i A php-net-smtp                    - PHP PEAR module implementing SMTP protocol
i A php-net-socket                  - PHP PEAR Network Socket Interface module
i A php-net-url                     - easy parsing of Urls
i A php-pear                        - PEAR - PHP Extension and Application Repos
i   php-soap                        - a SOAP Client/Server class for PHP
i   php5                            - server-side, HTML-embedded scripting langu
i   php5-cgi                        - server-side, HTML-embedded scripting langu
i   php5-cli                        - command-line interpreter for the php5 scri
i   php5-common                     - Common files for packages built from the p
i   php5-curl                       - CURL module for php5
i   php5-gd                         - GD module for php5
i   php5-imagick                    - imagick module for php5
i   php5-imap                       - IMAP module for php5
i   php5-ldap                       - LDAP module for php5
i   php5-mcrypt                     - MCrypt module for php5
i   php5-mysql                      - MySQL module for php5
i   php5-pspell                     - pspell module for php5
i   php5-snmp                       - SNMP module for php5
i   php5-sqlite                     - SQLite module for php5
i   php5-tidy                       - tidy module for php5
i   php5-xdebug                     - xdebug module for php5
i   php5-xmlrpc                     - XML-RPC module for php5
i   php5-xsl                        - XSL module for php5
i   phpmyadmin                      - MySQL web administration tool

Думала, нужно прописать строку extension=php_soap.so в php.ini, но файла php_soap.so в ситстеме нет. Вывод команды php -m|grep soap пустой.

Помогите, пожалуйста, заставить soap работать.

Incher
(14.11.13 05:28:38 MSK)

10 комментариев

Apache: Ошибка подключения SSL - ERR_SSL_PROTOCOL_ERROR (Centos 6.3)

Доброго времени суток! Собственно необходимо помимо имеющегося доступа к сайту по http настроить доступ по https с самподписным ssl сертификатом. Сертификаты сгенерены, сконфигурирован Апач (по статье http://centos.name/?page/howto/Https). Текущие настройки /etc/httpd/conf/httpd.conf:

ServerTokens OS
ServerRoot "/etc/httpd"
PidFile run/httpd.pid
Timeout 120
KeepAlive Off
MaxKeepAliveRequests 100
KeepAliveTimeout 15
#Listen 443
<IfModule worker.c>
StartServers         2
MaxClients          30
MinSpareThreads     25
MaxSpareThreads     75
ThreadsPerChild     25
MaxRequestsPerChild  1500
</IfModule>

LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule authn_file_module modules/mod_authn_file.so
LoadModule authz_host_module modules/mod_authz_host.so
LoadModule authz_user_module modules/mod_authz_user.so
LoadModule authz_groupfile_module modules/mod_authz_groupfile.so
LoadModule include_module modules/mod_include.so
LoadModule log_config_module modules/mod_log_config.so
LoadModule logio_module modules/mod_logio.so
LoadModule env_module modules/mod_env.so
LoadModule ext_filter_module modules/mod_ext_filter.so
LoadModule mime_magic_module modules/mod_mime_magic.so
LoadModule expires_module modules/mod_expires.so
LoadModule headers_module modules/mod_headers.so
LoadModule setenvif_module modules/mod_setenvif.so
LoadModule mime_module modules/mod_mime.so
LoadModule status_module modules/mod_status.so
LoadModule autoindex_module modules/mod_autoindex.so
LoadModule info_module modules/mod_info.so
LoadModule vhost_alias_module modules/mod_vhost_alias.so
LoadModule dir_module modules/mod_dir.so
LoadModule actions_module modules/mod_actions.so
LoadModule userdir_module modules/mod_userdir.so
LoadModule alias_module modules/mod_alias.so
LoadModule rewrite_module modules/mod_rewrite.so
LoadModule ssl_module modules/mod_ssl.so

Include conf.d/*.conf

User bitrix
Group bitrix

ServerAdmin root@localhost

UseCanonicalName Off

DocumentRoot "/home/bitrix/www"

<Directory />
    Options FollowSymLinks
    AllowOverride None
</Directory>

<IfModule mod_userdir.c>
    UserDir disable
</IfModule>

DirectoryIndex index.html index.html.var

AccessFileName .htaccess

<Files ~ "^\.ht">
    Order allow,deny
    Deny from all
</Files>

TypesConfig /etc/mime.types
DefaultType text/plain
<IfModule mod_mime_magic.c>
#   MIMEMagicFile /usr/share/magic.mime
    MIMEMagicFile conf/magic
</IfModule>

HostnameLookups Off
ErrorLog logs/error_log
LogLevel warn
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %b" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent
CustomLog logs/access_log combined
ServerSignature On

<IfModule mod_dav_fs.c>
    # Location of the WebDAV lock database.
    DAVLockDB /var/lib/dav/lockdb
</IfModule>

IndexOptions FancyIndexing VersionSort NameWidth=* HTMLTable

IndexIgnore .??* *~ *# HEADER* README* RCS CVS *,v *,t

AddLanguage ca .ca
AddLanguage cs .cz .cs
AddLanguage da .dk
AddLanguage de .de
AddLanguage el .el
AddLanguage en .en
AddLanguage eo .eo
AddLanguage es .es
AddLanguage et .et
AddLanguage fr .fr
AddLanguage he .he
AddLanguage hr .hr
AddLanguage it .it
AddLanguage ja .ja
AddLanguage ko .ko
AddLanguage ltz .ltz
AddLanguage nl .nl
AddLanguage nn .nn
AddLanguage no .no
AddLanguage pl .po
AddLanguage pt .pt
AddLanguage pt-BR .pt-br
AddLanguage ru .ru
AddLanguage sv .sv
AddLanguage zh-CN .zh-cn
AddLanguage zh-TW .zh-tw

###LanguagePriority en ca cs da de el eo es et fr he hr it ja ko ltz nl nn no pl pt pt-BR ru sv zh-CN zh-TW

###ForceLanguagePriority Prefer Fallback

AddDefaultCharset UTF-8

AddType application/x-compress .Z
AddType application/x-gzip .gz .tgz

AddHandler type-map var
AddType text/html .shtml
AddOutputFilter INCLUDES .shtml

BrowserMatch "Mozilla/2" nokeepalive
BrowserMatch "MSIE 4\.0b2;" nokeepalive downgrade-1.0 force-response-1.0
BrowserMatch "RealPlayer 4\.0" force-response-1.0
BrowserMatch "Java/1\.0" force-response-1.0
BrowserMatch "JDK/1\.0" force-response-1.0

<Location /server-status>
        SetHandler server-status
        Allow from 127.0.0.1
        Order deny,allow
        Deny from all
</Location>
ExtendedStatus On

Текущий конфиг /etc/httpd/conf.d/default.conf:

NameVirtualHost *:80
Listen 80
ServerName site_name.com
<VirtualHost site_name.com>
        ServerAdmin webmaster@localhost
        DocumentRoot /home/bitrix/www/site_name
        ServerName site_name.com
        <Directory />
                Options FollowSymLinks
                AllowOverride None
        </Directory>

        <Directory /home/bitrix/www>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride All
                DirectoryIndex index.php index.html index.htm
                Order allow,deny
                allow from all
        </Directory>

        ErrorLog logs/error_log
        # Possible values include: debug, info, notice, warn, error, crit,
        # alert, emerg.
        LogLevel warn

###     CustomLog logs/access_log combined

    <IfModule mod_rewrite.c>
    #Nginx should have "proxy_set_header HTTPS YES;" in location
    RewriteEngine On
    RewriteCond %{HTTP:HTTPS} =YES
    RewriteRule .* - [E=HTTPS:on,L]
    </IfModule>

</VirtualHost>

Текущий конфиг /etc/httpd/conf.d/default-ssl.conf:

<IfModule mod_ssl.c>
NameVirtualHost *:443

Listen 443
<VirtualHost *:443>
        <Directory /home/bitrix/www>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride All
                DirectoryIndex index.php index.html index.htm
                Order allow,deny
                allow from all
        </Directory>
        <Directory /home/bitrix/www/site_name>
                AllowOverride All
        </Directory>
        DocumentRoot /home/bitrix/www/site_name
        ServerName site_name.com

        SSLEngine on
        SSLProtocol all -SSLv2
        SSLCertificateFile /etc/pki/tls/certs/ca.crt
        SSLCertificateKeyFile /etc/pki/tls/private/ca.key
</VirtualHost>
</IfModule>

При таких настройках сайт работает по http, но при попытке подключиться по https в браузере вываливается ошибка, приведенная в сабже (проверено в браузерах IE, Mozilla и Chrome). Однако если в файле /etc/httpd/conf.d/default-ssl.conf строки

<IfModule mod_ssl.c>
NameVirtualHost *:443

Listen 443
<VirtualHost *:443>

заменить на

<IfModule mod_ssl.c>
NameVirtualHost site_name.com:443

Listen 443
<VirtualHost site_name.com:443>

то при попытке зайти на сайт по http отображается домашняя страница Апача, а по https сайт открывается, но почему-то не грузит стили и картинки, хотя по сути директория DocumentRoot одна и та же. Главное, что необходимо иметь доступ к сайту как по http (для конечных пользователей), так и по https (для работы веб-приложения).
Помогите, пожалуйста, решить проблему.

Incher
(06.11.13 04:59:46 MSK)

4 комментария

Auditd отказывается запускаться (Centos 6.4)

Доброго времени суток! Случайно обнаружилось, что демон auditd остановлен, запускаться тоже не запускается:

[root@hp-proliant]# service auditd start
Запускается auditd:                                        [СБОЙ ]

в логах:

[root@hp-proliant]# tail /var/log/messages
Oct 25 10:42:40 hp-proliant auditd: Could not open dir /var/log/audit (Permission denied)
Oct 25 10:42:40 hp-proliant auditd: The audit daemon is exiting.
Oct 25 10:42:40 hp-proliant kernel: type=1400 audit(1382683360.103:21): avc:  denied  { dac_override } for  pid=14636 comm="auditd" capability=1  scontext=unconfined_u:system_r:auditd_t:s0 tcontext=unconfined_u:system_r:auditd_t:s0 tclass=capability
Oct 25 10:42:40 hp-proliant kernel: type=1400 audit(1382683360.103:22): avc:  denied  { dac_read_search } for  pid=14636 comm="auditd" capability=2  scontext=unconfined_u:system_r:auditd_t:s0 tcontext=unconfined_u:system_r:auditd_t:s0 tclass=capability

При этом права на директорию и сам файл лога такие:

[root@hp-proliant]# ls -al /var/log/audit
итого 6160
drwxr-xr-x. 2 root root    4096 Июн 30 08:44 .
drw-------. 7 root root    4096 Окт 20 03:32 ..
-rw-------. 1 root root 6291519 Авг  2 03:42 audit.log

Подскажите, пожалуйста, куда копать?

Incher
(25.10.13 10:47:03 MSK)

3 комментария

linux не предлагает ввести новый пароль по истечении срока старого

Доброго времени суток! При создании нового пользователя ограничиваю срок действия пароля командой chage -I 0 -M 90 -W 14 user. По идее после окончания срока действия пароля при входе под этим пользователем система должна предлагать ввести новый пароль, но когда я захожу под этим пользователем по ssh система просто спрашивает пароль, я ввожу (старый) пароль и соединение по ssh разрывается, putty выдает сообщение «Server unexpectedly close network connection». Если ввести не старый, а просто какой-нибудь заведомо неправильный пароль, то в консоли пишется «Access denied» и предлагается вновь ввести пароль. К сожалению, зайти на сервер локально и посмотреть, что при этом происходит нет возможности.

Подскажите, пожалуйста, почему так происходит, можно ли это как то исправить и как после этого разблокировать пользователя.

Incher
(14.10.13 07:16:01 MSK)

7 комментариев

xen: DomU после рестарта стал (null) и не удаляется

Приветствую всех,
собственно сабж: имеется гипервизор Xen 4.2 на базе CentOS 6.4, на нем несколько виртуалок, все под Ubuntu Server 12.04 LTS. После apt-get upgrade одной из них (назовем ее logs01), потребовалось ее рестартануть, в консоли vncviewer'а делаю reboot, затем в консоли гипервизора смотрю xl list:

[root@dom0 ~]# xl list
Name                                        ID   Mem VCPUs      State   Time(s)
Domain-0                                     0  4096    24     r-----   44247.4
service01.hvm                               12  1019     1     -b----    2955.4
(null)                                      14     0     1     --psrd    7584.6
...

xl destroy 14 не помогает, получаю ошибку:

[root@dom0 ~]# xl destroy 14
libxl: error: libxl_dm.c:1245:libxl__destroy_device_model: could not find device-model's pid for dom 14
libxl: error: libxl.c:1414:libxl__destroy_domid: libxl__destroy_device_model failed for 14

Содержимое конфига logs01.hvm:

# =====================================================================
# Example HVM guest configuration
# =====================================================================
#
# This is a fairly minimal example of what is required for an
# HVM guest. For a more complete guide see xl.cfg(5)

# This configures an HVM rather than PV guest
builder = "hvm"

# Guest name
name = "logs01.hvm"

# 128-bit UUID for the domain as a hexadecimal number.
# Use "uuidgen" to generate one if required.
# The default behavior is to generate a new UUID each time the guest is started.
#uuid = "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX"

# Enable Microsoft Hyper-V compatibile paravirtualisation /
# enlightenment interfaces. Turning this on can improve Windows guest
# performance and is therefore recommended
#viridian = 1

# Initial memory allocation (MB)
memory = 512

# Maximum memory (MB)
# If this is greater than `memory' then the slack will start ballooned
# (this assumes guest kernel support for ballooning)
#maxmem = 512

# Number of VCPUS
vcpus = 1

# Network devices
# A list of 'vifspec' entries as described in
# docs/misc/xl-network-configuration.markdown
vif = [ 'bridge=xenbr40' ]

# Disk Devices
# A list of `diskspec' entries as described in
# docs/misc/xl-disk-configuration.txt
disk = [
        '/dev/vg_pcam_0/logs01_root,raw,xvda,rw',
        '/dev/vg_pcam_0/logs01_swap,raw,xvdb,rw',
        '/usr/local/distr/ubuntu-12.04.2-server-amd64.iso,,xvdc,cdrom']

# Guest VGA console configuration, either SDL or VNC
#sdl = 1
vnc = 1

Помогите, пожалуйста, разобраться, как удалить этот домен-призрак

Incher
(06.09.13 08:04:38 MSK)

9 комментариев

Ubuntu: настройка сложности пароля

Доброго времени суток! Сабж: необходимо привести процедуру создания паролей юзеров в соответствие со стандартом PCI DSS, для этого необходимо добавить в файл /etc/pam.d/common-password строки:

password    sufficient    pam_unix.so remember=4 sha512 shadow nullok try_first_pass use_authtok
password    required    pam_cracklib.so retry=6 minlen=7 dcredit=-1 lcredit=-1 ocredit=0 ucredit=0

Предварительно установила libpam-cracklib, изменила /etc/pam.d/common-password, но система игнорит все это, то есть завожу например юзера test, завожу ему пароль '1234' - passwd сначала ругается на то, что он слишком простой и короткий, но после повторного ввода спокойно его проглатывает - ни длина меньше 7 символов, ни то, что пароль состоит из одних цифр, его не смущает.

Помогите плиз разобраться, полдня убила на это...

Incher
(03.09.13 10:49:11 MSK)

7 комментариев

pam_tally2: не работает unlock_time

Доброго времени суток!

Сабж: необходимо временно блокировать пользователя, который N раз ввел неверный пароль. Содержимое файла /etc/pam.d/system-auth:

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_tally2.so onerr=fail deny=6 lock_time=180 unlock_time=180
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so
auth        required      pam_unix.so

account     required      pam_tally2.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so remember=4 sha512 shadow nullok try_first_pass use_authtok
password    required      pam_cracklib.so retry=6 minlen=7 dcredit=-1 lcredit=-1 ocredit=0 ucredit=0

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

ОС - centOS 6.4. Логинюсь через putty, ввожу неправильно пароль 6 раз подряд, putty выкидывает с сообщением «too much fail attempts for user 'username'», повторно захожу через putty и успешно логинюсь без всяких задержек...

Помогите, пожалуйста, разобраться почему не работает блокировка

ЗЫ: к слову на Ubuntu 12.04 LTS та же ерунда...

Incher
(29.07.13 10:46:03 MSK)

XEN 4.2.2 + Debian 7: не запускается xenstored

Доброго времени суток!
Излагаю суть проблемы:
На свежеустановленный Debian 7 установлен из исходников Xen 4.2.2, руководствовалась при этом статьями http://how-it.ru/public/root/457-ustanovka_xen_4_2_na_debian_squeeze.html и http://wiki.xen.org/wiki/Compiling_Xen_From_Source
Ядро использовала текущее, то есть новое отдельно не устанавливала, так как в wheezy-backports специализированного под xen ядра нет, а доступно то же самое ядро, что уже установлено, а в http://wiki.xen.org/wiki/Compiling_Xen_From_Source говорится, что с недавних пор под dom0 портированное ядро не требуется и можно брать любое, которое удовлетворяет ваши нужды.
В общем, стартует ядро с Xen 4.2.2, вроде все штатно, запускаю xl list, в ответ:

libxl: error: libxl.c:87: libxl_ctx_alloc:  Is xenstore daemon running?
failed to stat /var/run/xenstored.pid: No such file or directory
cannot init xl context

В /etc/init.d ни xenstore, ни xenstored нет, команда /etc/init.d/xencommos start возвращает No xenstored found.
Погуглила, нашла что возможно это из-за того, что модуль xen_evtchn не установлен - добавила, но это не помогло.

Подскажите плиз, кто сталкивался, куда копать?

Incher
(05.06.13 10:06:46 MSK)

7 комментариев

vsftpd: ftp-сервер не позволяет заливать файлы

Здравствуйте, суть проблемы в следующем:

настроен ftp-сервер (vsftpd, под debian) для предоставления доступа к контенту организации-партнеру. Анонимусам доступ не нужен, так что решено было использовать виртуальных юзеров, которые хранятся в бд mysql. Авторизация проходит успешно (тестировалось через проводник винды и total commander), при входе файлы видны и доступны для скачивания, и еще вчера файлы можно было туда заливать. НО сегодня утром обнаружилось, что залить файлы не удается, ни в проводнике, ни в total commander проводник выдает окно с ошибкой «В ходе создания папки на FTP-сервере произошла ошибка. Убедитесь, что у вас есть разрешение помещать файлы на этот сервер. Подробности: 550 Create Directory Operation Failed».

Фаервола на сервере нет. Привожу конфиг vsftpd:

listen=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
xferlog_enable=YES
xferlog_file=/var/log/vsftpd.log
log_ftp_protocol=YES
pam_service_name=vsftpd
session_support=YES
virtual_use_local_privs=YES
local_root=/srv/ftp/content
#user_sub_token=$USER
user_config_dir=/etc/vsftpd/user_conf
guest_enable=YES
guest_username=virtual
#nopriv_user=virtual
chroot_local_user=YES
chroot_list_enable=NO
pasv_enable=YES
pasv_min_port=50000
pasv_max_port=60000
#pasv_promiscuous=YES
ascii_download_enable=YES
ascii_upload_enable=YES
use_sendfile=YES
#chown_uploads=YES
#chown_username=ftp
chown_upload_mode=0440
file_open_mode=0777
max_clients=30
max_per_ip=10
idle_session_timeout=300
hide_ids=yes
data_connection_timeout=500
dirmessage_enable=YES
tcp_wrappers=YES

Логинюсь с виртуального пользователя admin, для него файл конфигурации:
local_root=/srv/ftp/content
write_enable=YES

Права на каталог /srv/ftp/content - 766, владелец - локальный пользователь virtual, под которым работают все виртуальные пользователи.

Убила полдня на это, гугл ничем особо не помог, перепробовала основные рекомендуемые в таких случаях манипуляциями - все без толку. Помогите, пожалуйста, разобраться, что нужно исправить.

Incher
(25.12.12 11:07:00 MSK)

12 комментариев

Мониторинг ESXi 5.0 c помощью Zabbix

Доброго времени суток!

Необходимо подключить к системе мониторинга сервер виртуальных машин под VMWare ESXi 5.0. Существует ли разновидность Zabbix-агента для таких машин? Или мониторинг подобного рода осуществляется исключительно SNMP и IPMI проверками? В оф. документации об этом ничего нет, да и курение статей и форумов не дало внятного представления о том, как это делается.

Прошу поделиться опытом по мониторингу ESXi c помощью Zabbix.

Incher
(11.12.12 10:08:52 MSK)

22 комментария

Zabbix - доработка веб-интерфейса (мониторинг нетривиальных задач)

Доброго времени суток. Настал момент, когда стандартного функционала Zabbix'a стало мало=) Руководство ставит новую задачу, например, считывать значения с пользовательских БД (это понятное дело, осуществимо, например, с помощью UserParameters) и затем строить графики по запросу на основе полученных данных. Предполагается в веб-интерфейсе прикрутить поля где можно будет задать даты, между которыми нужно получить график, и кнопку, после нажатия которой, этот график будет отображаться. График при этом не должен сохраняться в системе постоянно, как стандартные графики Zabbix'a, а строиться исключительно по запросу (по нажатию кнопки).

Вопрос: кто-нибудь занимался подобными вмешательствами в веб-интерфейс Zabbix'a? Поделитесь, пожалуйста, своими соображениями/опытом модификации веб-интерфейса.

Incher
(30.11.12 06:54:27 MSK)

29 комментариев

Не видно сеть за сервером OpenVPN

Доброго времени суток.
Поставлена задача настроить VPN-сервер для доступа сотрудников к другим серверам, не имеющим белых IP и объединенным в одну локальную сеть с сервером, на котором будет развернут VPN. После настройки VPN удается законнектиться с сервером, но сеть за ним не пингуется с клиента. Решила сделать тестовый стенд на VMWare8. Создала 2 виртуалки - одну под VPN-сервер, другую в качестве сервера, к которому нужен доступ за VPNом (обе под FreeBSD8.2, как и реальный сервер). Настроила между ними локальную изолированную сеть 192.168.100.0/24, на первой настроила VPN с адресом сети 10.13.0.0/24. VPN-клиентом является базовый хост (под Win7), на котором стоят виртуалки. Коннектится к серверу успешно, однако, проблема та же - вторая виртуалка не пингуется. Привожу конфиги клиента и сервера.
Конфиг сервера:

port 2000
proto tcp
dev tun0
mode server
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/server.crt
key /usr/local/etc/openvpn/keys/server.key
dh /usr/local/etc/openvpn/keys/dh1024.pem
server 10.13.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push «route 192.168.100.0 255.255.255.0»
tls-server
tls-auth /usr/local/etc/openvpn/keys/ta.key 0
tls-timeout 120
auth MD5
cipher BF-CBC
comp-lzo
keepalive 10 120
max-clients 5
user nobody
group nobody
tun-mtu 1400
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 5

Конфиг клиента:

client
dev tun
remote 192.168.249.132
port 2000
proto tcp
nobind
tun-mtu 1400
resolv-retry infinite
ca ca.crt
cert client-okami1.crt
key client-okami1.key
tls-client
tls-auth ta.key 1
auth MD5
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
verb 5

В силу малого опыта бьюсь над этим в общей сложности несколько недель, сроки пока не жмут, но тем не менее, мозг уже вынесен основательно, руки потихоньку опускаются. Дошло уже до таких извращений, что пыталась на внутреннем интерфейсе сервера с адресом 192.168.100.1 натить трафик из 192.168.100.0/24 в 10.13.0.0/24 с помощью natd...
Помогите, пожалуйста, разобраться в данной задаче.

Incher
(18.09.12 09:32:42 MSK)

23 комментария

Как создать tap-интерфейс на FreeBSD?

Необходимо создать tap-интерфейс для подключения к серверу по OpenVPN, создаю командой ifconfig tap0 create, клиент коннектится, но после перезапуска сервиса tap-интерфейс удаляется. Подскажите, как можно решить данную проблему. Пробовала прописать строку «perm tap0 0660» в /etc/devfs.conf - не помогло.

Incher
(13.09.12 08:13:02 MSK)

6 комментариев

следующие →

RSS подписка на новые темы