LINUX.ORG.RU

Сообщения badil

 

Дико тормозит сервер php+mysql+apache+nginx

Всем привет. Столкнулся с такой проблемой. Стал сильно тормозить сервер. top - 15:15:30 up 1:07, 1 user, load average: 16.73, 17.41, 15.24

При этом ядра практически не загружены, Оперативная память тоже вся свободна.

Mysql переодичестки вылетает с ошибкой Too Many connections.

Mysql:


bind-address		= 127.0.0.1
key_buffer_size		= 16M
thread_stack		= 192K
thread_cache_size       = 16
myisam-recover-options  = BACKUP
max_connections        = 64
wait_timeout = 5
join_buffer_size = 1M
tmp_table_size = 64M
max_heap_table_size = 64M
log_error = /var/log/mysql/error.log
log_queries_not_using_indexes  = 0
slow_query_log		= 1
slow_query_log_file	= /var/log/mysql/mysql-slow.log
long_query_time = 2

innodb_log_file_size = 128M

connect_timeout = 3
wait_timeout = 3
max_connections = 300
thread_cache_size       = 50

При замерах сколько на что тратится времени показывает что запросы выполняются быстро, апач работает немного дольше. Ошибка такая появилась после возросшей посещаемости в 20 раз. php-fpm вместо apache ничего не дал. При этом в slow query часто попадают простенькие запросы. Сталкивался ли кто-нибудь с подобным и куда можно покопать?

 ,

badil
()

Создание своего дистрибутива/сборки

Привет! По заголовку можно подумать что начинается какая-от поповщина) но нет. Суть задачи такая на линукс сделили программу для отображения информации на стендах, путеводитель и тд. Нужно очтобы этот софт устанавливался сразу при установке, вместе с ним настраивался крон и тд. Возможно ли сделать так чтобы все это настраивалось автоматом при установке?

 ,

badil
()

IBM System x3650 M3 Второй процессор

Добрый день Имеется сервер IBM System x3650 M3 с одним процессором, второй слот пустой. Хотел проверить его и переставил процессор в него, но увы сервер не работает если процессор поставить во второй слот. Вопрос такой нужно второй такой же процессор для проверки? или гдето-джемпера переставлять?

 ,

badil
()

netcat(nc) вылетает

Всем привет! Хочу запустить netcat как web-сервер while true; do ( echo «HTTP/1.1 200 OK\nContent-Type: text/html\n»; echo; cat index.html ) | nc -l 80; done

Запускается, работает, но через какое-то время перестает отвечать, скрипт работает в это время. ЧЯДНТ?

 ,

badil
()

centos firewall

Добрый день. Есть centos 7 свежеустановленный. При установке встали правила iptables. правил очень много. Стоит задача открыть только ssh и 80 порт и ЧТОБЫ БЫЛО БЕЗОПАСНОСТЬ НА ВЫСШЕМ УРОВНЕ. 80 порт открыл, стоит ли удалять правила и настраивать как обычно, или оставить по умолчанию?

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
INPUT_direct  all  --  anywhere             anywhere            
INPUT_ZONES_SOURCE  all  --  anywhere             anywhere            
INPUT_ZONES  all  --  anywhere             anywhere            
DROP       all  --  anywhere             anywhere             ctstate INVALID
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
FORWARD_direct  all  --  anywhere             anywhere            
FORWARD_IN_ZONES_SOURCE  all  --  anywhere             anywhere            
FORWARD_IN_ZONES  all  --  anywhere             anywhere            
FORWARD_OUT_ZONES_SOURCE  all  --  anywhere             anywhere            
FORWARD_OUT_ZONES  all  --  anywhere             anywhere            
DROP       all  --  anywhere             anywhere             ctstate INVALID
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
OUTPUT_direct  all  --  anywhere             anywhere            

Chain FORWARD_IN_ZONES (1 references)
target     prot opt source               destination         
FWDI_public  all  --  anywhere             anywhere            [goto] 
FWDI_public  all  --  anywhere             anywhere            [goto] 

Chain FORWARD_IN_ZONES_SOURCE (1 references)
target     prot opt source               destination         

Chain FORWARD_OUT_ZONES (1 references)
target     prot opt source               destination         
FWDO_public  all  --  anywhere             anywhere            [goto] 
FWDO_public  all  --  anywhere             anywhere            [goto] 

Chain FORWARD_OUT_ZONES_SOURCE (1 references)
target     prot opt source               destination         

Chain FORWARD_direct (1 references)
target     prot opt source               destination         

Chain FWDI_public (2 references)
target     prot opt source               destination         
FWDI_public_log  all  --  anywhere             anywhere            
FWDI_public_deny  all  --  anywhere             anywhere            
FWDI_public_allow  all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            

Chain FWDI_public_allow (1 references)
target     prot opt source               destination         

Chain FWDI_public_deny (1 references)
target     prot opt source               destination         

Chain FWDI_public_log (1 references)
target     prot opt source               destination         

Chain FWDO_public (2 references)
target     prot opt source               destination         
FWDO_public_log  all  --  anywhere             anywhere            
FWDO_public_deny  all  --  anywhere             anywhere            
FWDO_public_allow  all  --  anywhere             anywhere            

Chain FWDO_public_allow (1 references)
target     prot opt source               destination         

Chain FWDO_public_deny (1 references)
target     prot opt source               destination         

Chain FWDO_public_log (1 references)
target     prot opt source               destination         

Chain INPUT_ZONES (1 references)
target     prot opt source               destination         
IN_public  all  --  anywhere             anywhere            [goto] 
IN_public  all  --  anywhere             anywhere            [goto] 

Chain INPUT_ZONES_SOURCE (1 references)
target     prot opt source               destination         

Chain INPUT_direct (1 references)
target     prot opt source               destination         

Chain IN_public (2 references)
target     prot opt source               destination         
IN_public_log  all  --  anywhere             anywhere            
IN_public_deny  all  --  anywhere             anywhere            
IN_public_allow  all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            

Chain IN_public_allow (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh ctstate NEW
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http ctstate NEW

Chain IN_public_deny (1 references)
target     prot opt source               destination         

Chain IN_public_log (1 references)
target     prot opt source               destination         

Chain OUTPUT_direct (1 references)
target     prot opt source               destination 

 ,

badil
()

Видимость переменных в tepescript

Есть массив

export class ItemService {
    public items = new Array<Item>();
}

В нем хочу загрузить список элементов из json

http.getString("http://server/content/news/export-json").then(function (r) {
  let json = JSON.parse(r);
  // Вот тут бы мне назначить элементы в свойство класса, но не выходит

  /// Не видит this.items
  this.items.push(...)


  // если так, то ничего не возвращает, хотя объект json сожержит json данные, но возвращаются "__zone_symbol__state": null,JS:     "__zone_symbol__value": []

  return json
}).catch();

Что я делаю не так? Как из .then(function (r) получить данные?

 , ,

badil
()

NativeScript

Сталкивался ли кто с этим чудом? Интересует книги и мануалы nativescript+typescript без angular

 ,

badil
()

ACPI Error

ДД! При загрузке такая ошибка ACPI Error Method parse execution failed \GPE_LbF, AE_NOT_FOUND , но все ничего она потом цикле сыпится в консоль если переключиться та текстовый режим. Дистр федора 27. Ранее тояла убунта теже симптомы но в добавок к этому засирался сислог и переполнялся диск... Биос обновил - не помогло 4 ядра на выбор при загрузке - у всех одно и тоже. Иногда просто ругнется при загрузке и в консоль потом не пишет ничего, а иногда вот так https://youtu.be/_IyQZNML91w

 

badil
()

sasl нужен ли он в системе

ДД Удаляем все лишнее с сервера. Стоит CentOs и шот дошло до sasl и почту не используем. Можно ли его вынести? нужен только ssh и openvpn

 ,

badil
()

Взломан сервер

timestamp	ip	port	asn	geo	region	city	hostname	type	infection	url	agent	cc_ip	cc_port	cc_asn	cc_geo	cc_dns	count	proxy	application	p0f_genre	p0f_detail	machine_name	id	naics	sic	cc_naics	cc_sic	sector	cc_sector	ssl_cipher	family	tag	public_source	asn_name
2017-11-14 19:44:27	185.*.*.*	41896	48716	KZ	ALMATY OBLYSY	ALMATY			locky	/dumper.php	Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36	208.100.26.251	80	32748	US	btcqanoqvtewt.org								0	0	0	0		Communications				SecurityScorecard	

Пришел вот такой вот отчет. Из него видно что инфицирован файл dumper.php но файла подобного на сервере нет вообще. Куда копать подскажите пожалуйста

 ,

badil
()

Апгрейд старого сервера

Есть старенький сервер fujitsu rx100 s3 https://www.cnet.com/products/fujitsu-primergy-rx100-s3-pentium-d-930-3-ghz-m... Там стоит процессор Intel Pentium D 930 / 3 GHz Какой процессор туда можно воткнуть «помощнее»?

 , ,

badil
()

openvas обнаружение cve

ДД Кто-нибудь пользовался openvas. Поставил, но чет не пойму как просканировать на уязвимости? или он для этого не предназнаен?

 ,

badil
()

CentOs версии ПО

Для попробовать поставил CentOs, скачал minimal, поставил все нужное и заметил что на дебиане версии посвежее. С чем это связано? в центе ПО стабильное и без уязвимостей или же нужно подключать «коллекции» и ставить стабильное ПО из них?

Задача стоит такая: ось с минимальным количеством уязвимостей, пусть даже древнее но без дыр

 , ,

badil
()

Сканирование системы на уязвимости

ДД!

Просканировали у нас проверяющие органы систему и нашли уязвимости... ПО обновлено до последнего стабильного из репов debian... Что с этим делом делать? Вот такие уязвимости.

1 ------------------------------------

Product detection result: cpe:/a:proftpd:proftpd:1.3.5 by CVE-2015-3306 (OID: CVE-2015-3306) The mod_copy module in ProFTPD 1.3.5 allows remote attackers to read and write to arbitrary files via the site cpfr and site cpto commands.

2 ------------------------------------

Product detection result: cpe:/a:php:php:5.6.30 by CVE-2017-11142 (OID: CVE-2017-11142) In PHP before 5.6.31, 7.x before 7.0.17, and 7.1.x before 7.1.3, remote attackers could cause a CPU consumption denial of service attack by injecting long form variables, related to main/php_variables.c.

3 ------------------------------------

Product detection result: cpe:/a:php:php:5.6.30 by CVE-2017-12933 (OID: CVE-2017-12933) The finish_nested_data function in ext/standard/var_unserializer.re in PHP before 5.6.31, 7.0.x before 7.0.21, and 7.1.x before 7.1.7 is prone to a buffer over-read while unserializing untrusted data. Exploitation of this issue can have an unspecified impact on the integrity of PHP.

4 ------------------------------------

Product detection result: cpe:/a:gnu:gzip:1.2.4 by CVE-2001-1228 (OID: CVE-2001-1228) Buffer overflows in gzip 1.3x, 1.2.4, and other versions might allow attackers to execute code via a long file name, possibly remotely if gzip is run on an FTP server.

5 ------------------------------------

Product detection result: cpe:/a:gnu:gzip:1.2.4 by CVE-2009-2624 (OID: CVE-2009-2624) The huft_build function in inflate.c in gzip before 1.3.13 creates a hufts (aka huffman) table that is too small, which allows remote attackers to cause a denial of service (application crash or infinite loop) or possibly execute arbitrary code via a crafted archive. NOTE: this issue is caused by a CVE-2006-4334 regression.

6 ------------------------------------

Product detection result: cpe:/a:php:php:5.6.30 by CVE-2017-11628 (OID: CVE-2017-11628) In PHP before 5.6.31, 7.x before 7.0.21, and 7.1.x before 7.1.7, a stack-based buffer overflow in the zend_ini_do_op() function in Zend/zend_ini_parser.c could cause a denial of service or potentially allow executing code. NOTE: this is only relevant for PHP applications that accept untrusted input (instead of the system's php.ini file) for the parse_ini_string or parse_ini_file function, e.g., a web application for syntax validation of php.ini directives.

7 -------------------------------

Product detection result: cpe:/a:php:php:5.6.30 by CVE-2017-11145 (OID: CVE-2017-11145) In PHP before 5.6.31, 7.x before 7.0.21, and 7.1.x before 7.1.7, an error in the date extension's timelib_meridian parsing code could be used by attackers able to supply date strings to leak information from the interpreter, related to ext/date/lib/parse_date.c out-of-bounds reads affecting the php_parse_date function. NOTE: the correct fix is in the e8b7698f5ee757ce2c8bd10a192a491a498f891c commit, not the bd77ac90d3bdf31ce2a5251ad92e9e75 gist.

8 ------------------------------

Product detection result: cpe:/a:php:php:5.6.30 by CVE-2017-11143 (OID: CVE-2017-11143) In PHP before 5.6.31, an invalid free in the WDDX deserialization of boolean parameters could be used by attackers able to inject XML for deserialization to crash the PHP interpreter, related to an invalid free for an empty boolean element in ext/wddx/wddx.c.

9 ------------------------------

Product detection result: cpe:/a:gnu:gzip:1.2.4 by CVE-2005-1228 (OID: CVE-2005-1228) Directory traversal vulnerability in gunzip -N in gzip 1.2.4 through 1.3.5 allows remote attackers to write to arbitrary directories via a .. (dot dot) in the original filename within a compressed file.

10 ------------------------------

Product detection result: cpe:/a:php:php:5.6.30 by CVE-2017-11144 (OID: CVE-2017-11144) In PHP before 5.6.31, 7.x before 7.0.21, and 7.1.x before 7.1.7, the openssl extension PEM sealing code did not check the return value of the OpenSSL sealing function, which could lead to a crash of the PHP interpreter, related to an interpretation conflict for a negative number in ext/openssl/openssl.c, and an OpenSSL documentation omission.

11----------------------------- Product detection result: cpe:/a:openssl:openssl:1.1.0f by CVE-2017-3735 (OID: CVE-2017-3735) While parsing an IPAddressFamily extension in an X.509 certificate, it is possible to do a one-byte overread. This would result in an incorrect text display of the certificate. This bug has been present since 2006 and is present in all versions of OpenSSL since then.

12 ------------------------------

Product detection result: cpe:/a:php:php:5.6.30 by CVE-2017-7890 (OID: CVE-2017-7890) The GIF decoding function gdImageCreateFromGifCtx in gd_gif_in.c in the GD Graphics Library (aka libgd), as used in PHP before 5.6.31 and 7.x before 7.1.7, does not zero colorMap arrays before use. A specially crafted GIF image could use the uninitialized tables to read ~700 bytes from the top of the stack, potentially disclosing sensitive information.

13 ------------------------------

Product detection result: cpe:/a:gnu:gzip:1.2.4 by CVE-2005-0988 (OID: CVE-2005-0988) Race condition in gzip 1.2.4, 1.3.3, and earlier, when decompressing a gzipped file, allows local users to modify permissions of arbitrary files via a hard link attack on a file while it is being decompressed, whose permissions are changed by gzip after the decompression is complete.

Я правильно понимаю?

  • 4,5,9,13 gzip находится здесь: /usr/lib/klibc/bin/gzip и как-то обновить его невозможно?
  • 2. сделать проверку на длинну переменных?
  • 3.php - сериализация, просто не пользоваться этой функцией?
  • 6. - не знаю че делать
  • 7. - не пользуемся функцией
  • 8. - не пользуемся функцией
  • 10. не знаю че делать...
  • 11. тут интересно все - с шестого года знают, но не решают. Это не такая сильная уязвимость?
  • 12. gd_gif_in.c - убрать gd из системы т.к. не пользуемся?

 , ,

badil
()

Антивирус на linux

ДД! На работе идет проверка гос органами - прислали требования и там написано про антивирусную защиту, а именно нужно поставить антивирус на рабочие станции. На рабочих станциях стоит дебиан. У меня как-то и мысли не было ставить антивирус на рабочие станци... Понимаю на сервер почту проверять или на фтп. Как с этим быть? что посоветуете поставить чтобы не влипнуть на проверке?

 

badil
()

План этажей

Всем привет. Для поликлиники требуется создать детальный план этажей. Хотят описание кабинетов и возможность прокладывать маршруты от одного кабинета в другой через поиск. например вбил «я сейчас возле 201 кабинета», нужен 404 кабинет и на карте нарисовался маршрут как пройти. Думаю как это сделать, и возможно ли это сделать вообще. Кто сталкивался с такой задачей посоветуйте, пожалуйста. Если есть киньте ссылку по теме... Думал прикрутить яндекс карты. Поставить свой слой и проставить точки, но как прокладывать потом маршруты не знаю...

 ,

badil
()

Доступ к сайту через сертификат

Всем привет! Потребовалось организовать доступ к разделам сайта с запросом сертификата. Сертификат для домена купил «COMODO CA Limited»

Сгенерировал клиентские сертификаты по инструкции https://www.opennet.ru/base/sec/ssl_cert.txt.html

Ну пропустил только первый шаг где генерируются самоподписанный сертификат. Клиентские сертификаты импортируются, при переходе в нужную директорию сертификат клиента спрашивается и в тот момент когда авторизация прошла firefox пишет Код ошибки: SSL_ERROR_UNKNOWN_CA_ALERT

Настройка apache

    SSLCertificateFile /etc/httpd/conf/site_kz.crt
	SSLCertificateKeyFile /etc/httpd/conf/5288714.key
	SSLCACertificateFile /etc/httpd/conf/site_kz.crt
    SSLCertificateChainFile /etc/httpd/conf/site_kz.ca-bundle


        <Location /admin>
            SSLVerifyClient require
        </Location>
        <Location /adminauth>
        	SSLVerifyClient require
        </Location>
Гугл говорит что проблема может изза самоподписанного сертификата, но сертификат то не самоподписанный, а нормальный. Куда можно покопать?

 ,

badil
()

Поменял процессор, память, матплату

Всем привет. Стоял селерон поставил i5 6тыс какой-то(точно не помню) ддр4 и соответсвущую мат плату. Но как-то прироста производительности особо не наблюдаю, только фф перестал тормозить. систему не переставлял сделал апгрейд. Может стоит переставить? тогда станет работать шустрее?

 ,

badil
()

Продвижение аякс сайта с «#»

Всем привет. Есть сайт megatest.kz Встал вопрос понимает ли гугл и яндекс что там на сайте есть, и индексирует ли текс страниц. Дело в том что весь контент загружается аяксом в виде json и html кода, и на клиенте все «рендерится» и показывается. Сейча столкнулся с сеошниками, которые, будут писать статьи и т.д. все по стандартной схеме. Вот и встал у меня вопрос а есть ли во всем этом смылс если это не попадет в индекс.

 ,

badil
()

Электронная подпись документов

Всем привет. Отправлял документы в институт - не приняли т.к. нужно их подписать своей ЭЦП. Поэтому встали вопросы 1. Как подписывать документы .doc своей эцп? 2. ее нужно где-то получать или можно самому сгенерить, если самому то в какой программе?

попытался погуглить чего только не увидел, а ответов так и не нашел

 

badil
()

RSS подписка на новые темы