LINUX.ORG.RU

Сообщения autonomous

 

Letsencrypt сертификаты не валидны в Debian8 и Ubuntu 16.04

Форум — Admin

Всем привет! Столкнулся с проблемой при использовании свежих сертификатов LetsEncrypt. На не самых свежих дистрибутивах, но со всеми последними обновлениями, сертификаты не проходят валидацию. При этом на макоси с последними обновлениями все хорошо. Ниже листинг запросов. Openssl относится к сертификату одинаково на всех платформах, а курл отрабатывает только на макоси. Кто-нибудь сталкивался? Куда бежать, что обновлять? Где взять правильные корневые сертификаты?

~$ cat /etc/issue
Ubuntu 16.04.3 LTS \n \l

~$ openssl version
OpenSSL 1.0.2g  1 Mar 2016

~$ dpkg -l|grep ca-certificates
ii  ca-certificates                    20170717~16.04.1 all    Common CA certificates

~$ openssl s_client -servername my.server.ru -connect my.server.ru:443 -showcerts

CONNECTED(00000003)
depth=0 CN = my.server.ru
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = my.server.ru
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/CN=my.server.ru
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----
...

~$ curl -I 'https://my.server.ru'
curl: (60) server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none
...
~$ cat /etc/issue
Debian GNU/Linux 8 \n \l

~$ openssl version
OpenSSL 1.0.1t  3 May 2016

~$ dpkg -l|grep ca-certificates
ii  ca-certificates  20141019+deb8u3 all Common CA certificates

~$ openssl s_client -servername my.server.ru -connect my.server.ru:443 -showcerts

CONNECTED(00000003)
depth=0 CN = my.server.ru
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = my.server.ru
verify error:num=27:certificate not trusted
verify return:1
depth=0 CN = my.server.ru
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/CN=my.server.ru
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----
...

~$ curl -I 'https://my.server.ru'
curl: (60) SSL certificate problem: unable to get local issuer certificate
...
~$ sw_vers
ProductName:	Mac OS X
ProductVersion:	10.13.6
BuildVersion:	17G65

~$ openssl version
OpenSSL 1.0.2o  27 Mar 2018

~$ openssl s_client -servername my.server.ru -connect my.server.ru:443 -showcerts

CONNECTED(00000003)
depth=0 CN = my.server.ru
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = my.server.ru
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/CN=my.server.ru
   i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----
...

~$ curl -I 'https://my.server.ru'
HTTP/2 200
...

 

autonomous
()

php-fpm 7.1: DIGEST-MD5 common mech free

Форум — Admin

Всем, привет! В логах php7.1-fpm получаю такое

php-fpm7.1[26042]: ool www: DIGEST-MD5 common mech free

Что-нибудь внятное относительно этой ошибки в отношении php не гуглится. Может кто чего подскажет?

 ,

autonomous
()

Балансировка выделенных серверов

Форум — Admin

Всем привет! Кто-нибудь занимался балансировкой нагрузки на серверах в каком-нибудь хетцнере? Хочется горизонтально смаштабировать пару сервисов, но балансировать их на днс не хочется. Может кто-то решал подобные задачки для удаленных серверов в интернете? Может у того же хетцнера есть готовые решения? Интересны любые мнения по этому поводу!

ps: интересует в первую очередь http/https балансинг, но и на более низких уровнях тоже

 , ,

autonomous
()

Разрулить зависимости в apt

Форум — Admin

Всем привет! Есть репа для убунты с актуальным php. В репе есть пакеты с php-модулями. Мне нужен php-apcu

~$ apt policy php-apcu
php-apcu:
  Installed: (none)
  Candidate: 5.1.3+4.0.10-1build1
  Version table:
     5.1.8+4.0.11-1+ubuntu16.04.1+deb.sury.org+2 400
        400 http://ppa.launchpad.net/ondrej/php/ubuntu xenial/main amd64 Packages
     5.1.3+4.0.10-1build1 500
        500 http://us.archive.ubuntu.com/ubuntu xenial/universe amd64 Packages

Правильно я понимаю, что у данного пакета зависимости от разных версий php?

apt-cache depends php-apcu=5.1.8+4.0.11-1+ubuntu16.04.1+deb.sury.org+2
php-apcu
  Depends: php-common
 |Depends: <phpapi-20170718>
    libapache2-mod-php7.2
    libphp7.2-embed
    php7.2-cgi
    php7.2-cli
    php7.2-fpm
    php7.2-phpdbg
 |Depends: <phpapi-20160303>
    libapache2-mod-php7.1
    libphp7.1-embed
    php7.1-cgi
    php7.1-cli
    php7.1-fpm
    php7.1-phpdbg
 |Depends: <phpapi-20151012>
    libapache2-mod-php7.0
    libphp7.0-embed
    php7.0-cgi
    php7.0-cli
    php7.0-fpm
    php7.0-phpdbg
  Depends: <phpapi-20131226>
    libapache2-mod-php5.6
    libphp5.6-embed
    php5.6-cgi
    php5.6-cli
    php5.6-fpm
    php5.6-phpdbg
  Depends: libc6
  Conflicts: <php-user-cache>
  Conflicts: php-xcache
  Conflicts: php-yac
  Recommends: php-apcu-bc
  Suggests: php-gd
    php5.6-gd
    php7.0-gd
    php7.1-gd
    php7.2-gd
  Replaces: <php-user-cache>
    php-apcu

У меня стоит php5.6 из репы http://ppa.launchpad.net/ondrej/php. Если я ставлю пакет php-apcu из этой же репы, то он за собой тянет php7.2. После этого я могу удалить php7.2 и php-apcu останется, так как у него удовлетворены зависимости пакетами php5.6.

Вопрос, как сказать apt-у не ставить последний имеющийся php, а радоваться тому что уже есть?

Есть apt pining, но это для приоритета репозиториев, а мне нужны приоритеты для пакетов. Как быть?

 , ,

autonomous
()

Триггер на много алертов

Форум — Admin

Всем привет! Может кто-то подскажет, иногда в заббиксе бывает вылезают не опасные алерты с важностью Warning, бывает и бывает. Но иногда их вылезает сразу много и об этом хочется узнавать с другим приоритетом. Вопрос такой, можно ли в заббиксе сделать отдельный триггер на срабатывание большого количество однотипных триггеров? То есть если сработал один, то горит ворнинг и хорошо. Сработало 10 ворнингов, то зажигаем еще и красный триггер.

 

autonomous
()

Нарисовать зависимости в проекте

Форум — Development

Всем привет! Есть проект в котором много файликов инклюдится друг в друга. Чтобы немного повысить понимание захотелось нарисовать схему кто кого включает в себя. Рисовать руками не хочется, есть же какие-то инструменты для подобного? Хочется сделать автоматизировано, чтобы написать шаблон и картинка обновлялась по вызову тулзы.

 ,

autonomous
()

Поддержка сайта php/joomla

Форум — Job

В госучреждение на полставки требуется специалист.
Работы немного, з/п небольшая, но есть регулярные премии.

Ключевые слова:
PHP/Joomla, JS/JQuery, MySQL, Photoshop, Dreamweaver

Задачи:
В основном, техническая поддержка сайта, общение с хостинговой компанией, разрешение конфликтных ситуаций.

Зарплата и условия:
1/2 ставки, оформление в штат, работа вне офиса.
20 т.р./месяц + премии (ежемесячные, квартальные и годовые).

Никто не требует быть крутым фуллстек-прогером и дизайнером в одном лице. Необходимо выполнять желания работодателя по мере своих сил и возможностей. Появляться в офисе необязательно. Сама организация в Москве. Проживание в Мск необязательно, но для оформления в любом случае нужно будет приехать.

 , ,

autonomous
()

Ubuntu пытается монтировать все lvm-разделы?

Форум — Admin

Всем привет! Столкнулся с одной проблемой и нашел странное, может кто-то подскажет связано это или нужно копать в другую сторону.

Есть хост-система

Ubuntu 16.04.1 LTS
Linux blade6 4.4.0-38-generic #57-Ubuntu SMP Tue Sep 6 15:42:33 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

На хост-системе установлен дефолтный kvm в котором крутятся виртуалки. Диски виртуалок находятся на lvm-разделах

~$ ll /dev/vg/test-03-root
lrwxrwxrwx 1 root root 8 Oct 18 17:44 /dev/vg/test-03-root -> ../dm-11

~$ sudo fdisk -l /dev/dm-11
Disk /dev/dm-11: 200 GiB, 214748364800 bytes, 419430400 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x4b4f3041

Device                                                    Boot     Start       End   Sectors   Size Id Type
/dev/mapper/vg--test--03--root-part1 *         2048 419241983 419239936 199.9G 83 Linux
/dev/mapper/vg--test--03--root-part2      419244030 419428351    184322    90M  5 Extended
/dev/mapper/vg--test--03--root-part5      419244032 419428351    184320    90M 82 Linux swap / Solaris

На данной виртуалке крутится redis. За последние пару недель файловая система в виртуалке несколько раз уходила в read-only с такими словами

[935939.214477] blk_update_request: I/O error, dev vda, sector 100972216
[935939.214884] Aborting journal on device vda1-8.
[935939.215119] blk_update_request: I/O error, dev vda, sector 100927488
[935939.215127] blk_update_request: I/O error, dev vda, sector 100927488
[935939.215185] Buffer I/O error on dev vda1, logical block 12615680, lost sync page write
[935939.215229] JBD2: Error -5 detected when updating journal superblock for vda1-8.
[935939.215291] blk_update_request: I/O error, dev vda, sector 2048
[935939.215308] blk_update_request: I/O error, dev vda, sector 2048
[935939.215313] Buffer I/O error on dev vda1, logical block 0, lost sync page write
[935939.215427] EXT4-fs error (device vda1): ext4_journal_check_start:56: Detected aborted journal
[935939.215433] EXT4-fs (vda1): Remounting filesystem read-only
[935939.215436] EXT4-fs (vda1): previous I/O error to superblock detected
[935939.215575] blk_update_request: I/O error, dev vda, sector 2048
[935939.215581] blk_update_request: I/O error, dev vda, sector 2048
[935939.215585] Buffer I/O error on dev vda1, logical block 0, lost sync page write

Полез смотреть, что вообще происходит на хост-системе и в dmesg нашел такое

[216827.304209] EXT4-fs (dm-11): VFS: Can't find ext4 filesystem
[216827.309245] EXT4-fs (dm-11): VFS: Can't find ext4 filesystem
[216827.313904] EXT4-fs (dm-11): VFS: Can't find ext4 filesystem
[216827.319110] squashfs: SQUASHFS error: Can't find a SQUASHFS superblock on dm-14
[216827.326565] FAT-fs (dm-11): invalid media value (0x00)
[216827.329379] FAT-fs (dm-11): Can't find a valid FAT filesystem
[216827.342910] XFS (dm-11): Invalid superblock magic number
[216827.372362] FAT-fs (dm-11): invalid media value (0x00)
[216827.375770] FAT-fs (dm-11): Can't find a valid FAT filesystem
[216827.384067] VFS: Can't find a Minix filesystem V1 | V2 | V3 on device dm-14.
[216827.392478] hfsplus: unable to find HFS+ superblock
[216827.395534] qnx4: no qnx4 filesystem (no root dir).
[216827.400843] ufs: You didn't specify the type of your ufs filesystem

                mount -t ufs -o ufstype=sun|sunx86|44bsd|ufs2|5xbsd|old|hp|nextstep|nextstep-cd|openstep ...

                >>>WARNING<<< Wrong ufstype may corrupt your filesystem, default is ufstype=old

При чем, в dmesg видно попытки монтирования всех lvm-разделов, где лежат другие виртуалки. Возникло несколько вопросов.

  • Это нормальное поведение в убунте, что она пытается монтировать всё что находит? Раньше не замечал такого.
  • Могут ли эти попытки приводить к read-only в гостевой системе?
  • Как отключить такое автомонтирование?

 , , ,

autonomous
()

Подменить имя базы в Postgresql

Форум — Admin

Всем привет, вопрос довольно простой, но не смог сходу нагуглить. Есть некий код, который ходит в базу по имени, то есть имеет настройки

host:1.2.3.4
port:5432
user:db_user1
database:mydb_1
Я хочу для разных серверов с кодом сделать отдельные базы, но при этом не править в коде настройки. Может ли pgbouncer или что-то другое подменять имя базы. Например, коннекчусь в 127.0.0.1:5432:my_db1, а некая прокся меня направляет на 1.2.3.4:5434:my_db1_test1?

 

autonomous
()

redhat купил ansible

Форум — Talks

Замутите кто-нибудь новость на главной интересно обсудить

http://venturebeat.com/2015/10/15/source-red-hat-is-buying-ansible-for-more-t...

 ,

autonomous
()

smart на ssd

Форум — General

Всем привет, не очень хорошо разбираюсь в показателях smart, кто-нибудь может рассказать про такую портянку

smartctl 6.4 2015-06-04 r4109 [x86_64-apple-darwin14.4.0] (local build)
Copyright (C) 2002-15, Bruce Allen, Christian Franke, www.smartmontools.org

=== START OF INFORMATION SECTION ===
Model Family:     Crucial/Micron RealSSD m4/C400/P400
Device Model:     C400-MTFDDAK128MAM
Serial Number:    000000001304092704E6
LU WWN Device Id: 5 00a075 1092704e6
Firmware Version: 040H
User Capacity:    128 035 676 160 bytes [128 GB]
Sector Size:      512 bytes logical/physical
Rotation Rate:    Solid State Device
Form Factor:      2.5 inches
Device is:        In smartctl database [for details use: -P show]
ATA Version is:   ACS-2, ATA8-ACS T13/1699-D revision 6
SATA Version is:  SATA 3.0, 6.0 Gb/s (current: 6.0 Gb/s)
Local Time is:    Fri Oct  9 12:21:17 2015 MSK
SMART support is: Available - device has SMART capability.
SMART support is: Enabled

=== START OF READ SMART DATA SECTION ===
SMART overall-health self-assessment test result: PASSED

General SMART Values:
Offline data collection status:  (0x80)	Offline data collection activity
					was never started.
					Auto Offline Data Collection: Enabled.
Self-test execution status:      (   0)	The previous self-test routine completed
					without error or no self-test has ever
					been run.
Total time to complete Offline
data collection: 		(  595) seconds.
Offline data collection
capabilities: 			 (0x7b) SMART execute Offline immediate.
					Auto Offline data collection on/off support.
					Suspend Offline collection upon new
					command.
					Offline surface scan supported.
					Self-test supported.
					Conveyance Self-test supported.
					Selective Self-test supported.
SMART capabilities:            (0x0003)	Saves SMART data before entering
					power-saving mode.
					Supports SMART auto save timer.
Error logging capability:        (0x01)	Error logging supported.
					General Purpose Logging supported.
Short self-test routine
recommended polling time: 	 (   2) minutes.
Extended self-test routine
recommended polling time: 	 (   9) minutes.
Conveyance self-test routine
recommended polling time: 	 (   3) minutes.
SCT capabilities: 	       (0x003d)	SCT Status supported.
					SCT Error Recovery Control supported.
					SCT Feature Control supported.
					SCT Data Table supported.

SMART Attributes Data Structure revision number: 16
Vendor Specific SMART Attributes with Thresholds:
ID# ATTRIBUTE_NAME          FLAG     VALUE WORST THRESH TYPE      UPDATED  WHEN_FAILED RAW_VALUE
  1 Raw_Read_Error_Rate     0x002f   100   100   050    Pre-fail  Always       -       0
  5 Reallocated_Sector_Ct   0x0033   100   100   010    Pre-fail  Always       -       26624 (0 1)
  9 Power_On_Hours          0x0032   100   100   001    Old_age   Always       -       3589
 12 Power_Cycle_Count       0x0032   100   100   001    Old_age   Always       -       2191
170 Grown_Failing_Block_Ct  0x0033   100   100   010    Pre-fail  Always       -       45
171 Program_Fail_Count      0x0032   100   100   001    Old_age   Always       -       0
172 Erase_Fail_Count        0x0032   100   100   001    Old_age   Always       -       0
173 Wear_Leveling_Count     0x0033   100   100   010    Pre-fail  Always       -       2
174 Unexpect_Power_Loss_Ct  0x0032   100   100   001    Old_age   Always       -       965
181 Non4k_Aligned_Access    0x0022   100   100   001    Old_age   Always       -       11 0 11
183 SATA_Iface_Downshift    0x0032   100   100   001    Old_age   Always       -       0
184 End-to-End_Error        0x0033   100   100   050    Pre-fail  Always       -       0
187 Reported_Uncorrect      0x0032   100   100   001    Old_age   Always       -       0
188 Command_Timeout         0x0032   100   100   001    Old_age   Always       -       0
189 Factory_Bad_Block_Ct    0x000e   100   100   001    Old_age   Always       -       81
194 Temperature_Celsius     0x0022   100   100   000    Old_age   Always       -       0
195 Hardware_ECC_Recovered  0x003a   100   100   001    Old_age   Always       -       0
196 Reallocated_Event_Count 0x0032   100   100   001    Old_age   Always       -       45
197 Current_Pending_Sector  0x0032   100   100   001    Old_age   Always       -       0
198 Offline_Uncorrectable   0x0030   100   100   001    Old_age   Offline      -       0
199 UDMA_CRC_Error_Count    0x0032   100   100   001    Old_age   Always       -       0
202 Perc_Rated_Life_Used    0x0018   100   100   001    Old_age   Offline      -       0
206 Write_Error_Rate        0x000e   100   100   001    Old_age   Always       -       0

SMART Error Log Version: 1
No Errors Logged

SMART Self-test log structure revision number 1
No self-tests have been logged.  [To run self-tests, use: smartctl -t]

SMART Selective self-test log data structure revision number 1
 SPAN  MIN_LBA  MAX_LBA  CURRENT_TEST_STATUS
    1        0        0  Not_testing
    2        0        0  Not_testing
    3        0        0  Not_testing
    4        0        0  Not_testing
    5        0        0  Not_testing
Selective self-test flags (0x0):
  After scanning selected spans, do NOT read-scan remainder of disk.
If Selective self-test is pending on power-up, resume after 0 minute delay.

С подозрением смотрю на Grown_Failing_Block_Ct. Что оно значит, гугл с первого раза не подсказал.

 ,

autonomous
()

ansible перенести файл на другой сервер

Форум — Admin

Всем привет! Как-то тяжело далось мне реализовать простую по сути задачу. На сервере генерится ключ, этот ключ надо кинуть на другой сервер и результат в виде другого файлика забрать обратно. Это хочется сделать в пределах одного плейбука. Ткните носом, как это сделать легко и правильно. Гуглятся какие-то велосипедные способы, типа этого https://derpops.bike/2014/12/25/ansible-copying-content-from-one-remote-syste...

Неужели нет более простого решения и в тоже время, не юзать простой баш через command?

 , ,

autonomous
()

Централизованная авторизация на серверах

Форум — Admin

Всем привет! Возник вопрос, как-бы организовать централизованную авторизацию для ssh-пользователей. Смысл в том, чтобы на большом количестве серверов можно было удалять/добавлять пользователей и управлять группами. На данный момент используется ansible, но он не так гибок, как хотелось бы. Поднимать LDAP тоже нет времени и желания. Кто-нибудь что-нибудь юзает, кроме Kerberos?

 , ,

autonomous
()

Хостинг для Южной Америки

Форум — Admin

Всем привет, появилась необходимость в хостинге для проекта, направленного на южную и латинскую америки, а по сути на все испаноязычные страны. Посмотрел доступность европейских серваков на https://ping-admin.ru/free_test/ и понял, что в том же Чили все довольно уныло. Кто-нибудь может подсказать где поискать хостинг и какой? Может в США будет достаточно разместится? Есть ли похожие годные чекалки типа ping-admin.ru?

 

autonomous
()

ansible: конфиг из списка

Форум — Admin

Всем привет. Скорее всего глупый вопрос, но нигде не могу найти паттерн как в ansible из списка и шаблона сделать длинный конфиг? То есть, например, есть список доменов, хочу форимровать из него hosts для dnsmasq.

 

autonomous
()

Aptly - удаление пакета через api

Форум — Admin

Всем привет! Кто-нибудь пользуется aptly? Как удалить пакет через rest api? Аналог команды

aptly repo remove <name> <package-query> ...

 

autonomous
()

Чем слать sms?

Форум — Admin

Всем привет! Поставил себе smstools, получаю смс-ки в /var/spool/sms/incoming , для отправки везде упоминается smssend, но его нет в актуальных репозиториях и в пакете smstools, по крайней мере для убунты. Подскажите, чем сейчас модно слать смс-ки из консоли?

 , ,

autonomous
()

bind и nic.ru

Форум — Admin

Всем привет, возникло два вопроса, на которые я никак не могу нагуглить ответы. Есть ли возможность dns-хостинг на nic.ru использовать в качестве слейва для своего бинда? Какие серверы нужно указывать в masters, если bind наоборот работает слейвом от nic.ru?

 ,

autonomous
()

Управление диалоговыми окнами в дебиановском псевдографическом интерфейсе

Форум — Admin

Всем привет. Подскажите, кто знает, можно ли управлять дебиановскими диалоговыми псевдографическими окнами? Например, если я хочу автоматизировать установку того же mysql и он спрашивает пароль или ответить на пару вопросов установщику exim-a? В общем хочу странного, но мне кажется это более универсально, чем разруливать каждый раз все по пунктам. Мне кажется это как-то можно сделать опциями dpkg в apt-get. Но с первого раза не нашел как.

 ,

autonomous
()

Мониторинг для docker

Форум — Admin

Всем привет, кто-нибудь юзает docker? Чем мониторите? Хочу его прикрутить к заббиксу, но максимум, что нашел это плагины 2012 года на основе lxc-info, который в докер не смотрит. Хочется какую-то разбивку по контейнерам, с графиками и триггерами.

 , ,

autonomous
()

RSS подписка на новые темы