Доброго времени суток.

Имеется сервер с Citrix XenServer 6.5.0. Создал ВМ. Попытка установки Debian 10 приводит к ошибке: «Xen Platform: blacklisted by host».

При этом установка на ВМ Debian 9 к такой ошибке не приводит. Однако, после обновления Debian 9 до Debian 10 возникает точно такая же ошибка.

Кто знает как исправить?

Доброго времени суток

Установил на сервер СуперМикро Debian 10. Теперь наблюдаю глюк в наименовании сетевых интерфейсов.

«lspci» выдаёт:

«Ethernet controller: Intel Corporation I350 Gigabit Network Connection (rev 01)»

Таких у меня 4 шт.

А «ip a» выдаёт:

lo: (тут всё ясно)
eno1: (тоже ожидаемо)
rename2: (что это?)
rename4: (опять, что это?, и где «3»?)
rename5: (ну вы поняли)

Что за глюк? И как исправить?

Доброго времени суток.

Возникла задача на работе использовать информационное табло для вывода расписания приема врачей.

Расписание врачей представлено в виде web-странички. Данные о времени и месте приема подгружается из БД.

Специализированные промышленные информационные табло стоят чрезмерно много.

Вижу несколько вариантов:

1. Использовать телевизор большой диагональю, и миниПК с браузером. Данный вариант становится дороже на цену миниПК.

2. Использовать телевизор с функцией SmartTV. Web-страничку открывать встроенным браузером.

Второй вариант предпочтительней. Но есть нюансы.

Ранее в WebOS существовала возможность ставить встроенный браузер как приложение по умолчанию (просмотр телепередач - это обычное приложение, которое было установлено как запускаемое по умолчанию, и его можно было заменить на любое другое). Но после недавнего обновления эта возможность пропала. То есть браузер можно запустить только вручную с пульта, что человек не всегда делает вовремя или забывает вовсе.

В некоторых телевизорах с ОС Android есть возможность установить браузер в автозагрузку. А в некоторых запускает жестко свой собственный лаунчер, и даже запуск браузера - нетривиальная задача.

Перепробовать все телевизоры не представляется возможным.

Может кто нибудь сталкивался со схожей задачей? Какие телевизоры могут подойти, у каких есть возможность настроить автозапуск браузера?

Прошу помощи. Заранее спасибо.

Доброго времени суток.

Вопрос по виртуализации с точки зрения законности в государственных учреждениях.

В организации используем виртуализацию KVM+LXC (Proxmox). Недавно вышел какой то закон, что системы виртуализации должны быть защищены средствами защиты информации.

Нашел статью на хабре. В данной статье в принципе подробно описывается что есть некий ГОСТ описывающий требования к средствам защиты информации систем виртуализации (хотя статья и является жесткой рекламой продуктов компании Cloud4Y).

Из статьи сделали выводы, что система виртуализации должна быть дополнительно защищена средствами защиты информации. Для госудаственных учреждений по идее эти средства должны быть сертифицированы по 152-ФЗ (или что то еще?).

Но подобных сертифицированных средств защиты информации систем виртуализации, в частности для KVM+LXC мы не нашли. Нашли для MS Hyper-V, и для VMware. Что можно использовать для KVM+LXC (в частности для Proxmox)?

Кто еще из госсектора? Что вы используется для закрытия данного вопроса?

Итого вопросы:
- Как правильно трактовать требования к сертифицированным средствам защиты информации для систем виртуализации?
- Что можно использовать для закрытия вопроса по защите информации систем виртуализации?
- Что можно использовать (и возможно ли вообще) для закрытия вопроса по защите информации систем виртуализации KVM+LXC (и в частности для Proxmox)?
- Что вы используется для закрытия данного вопроса?

Заранее спасибо всем ответившим.

Доброго времени суток.

На одном из серверов установлен xmmp (jabber) сервер.
В качестве сервиса используется ejabberd версии 2.1.11
Сервер на основе Ubnutu 14 LTS (так исторически сложилось)
В качестве клиента используется Gajim версии 0.16.9

Сервер отработал несколько лет, и жалоб на него не было. Но недавно стали проявляться некоторые не очень приятные «косяки».

На xmmp-сервисе созданы конференц-комнаты. Комнаты постоянные. В настройках комнат максимальное количество участников 500. Постоянно пользуются не более 10 человек.

Недавно стала возникать ошибка следующего характера:
При подключении к комнате рандомного участника, у пользователя возникает ошибка: «Не получается войти в комнату. Было достигнуто максимальное количество пользователей roomname@conference.domainname.ru».

При этом максимальное количество участников к комнате заведомо больше реально подключенных пользователей.

Как это можно вылечить? В какую сторону смотреть?

Доброго времени суток.

К моему большому сожалению выяснилось, что: «ipsec-tools has security issues, and you should not use it. Please switch to a secure alternative!». А openswan теперь отсутствует в репах Debian 10.

Кто на что пересел? Какие есть альтернативы?

Доброго времени суток.

Подскажите, что можно использовать для организации локального видеохостинга (что то вроде youtube), для организации локального хранилища роликов и организации стриминг-сервиса (например, для получения потока из OBS Studio?

Ранее где то видел здесь в новостях, что есть какой то аналог youtub’a, который можно развернуть локально и пользоваться, но сейчас рою новости, и ничего путного найти не могу.

Заранее спасибо.

Доброго времени суток.

Преамбула:
Когда-то давно я настраивал рабочее место с интернет для посетителей, как справочное место. Дело было лет 8 назад, и разумеется никаких заметок не осталось (предприятия тоже уже не существует). А тот еще и сам GNU/Linux очень сильно изменился за последнее время, и вопрос решить, так сказать, с наскоку - не получается. Вернее получается, но уж как то очень костыльно.

История:
Раньше я делал следующее рабочее место:
Была машина, на ней ставился дистрибутив без графики. Создавался пользователь без пароля с автовходом (тогда еще не было systemd). Ставились иксы. У пользователя прописывался автостарт иксов. В иксах автостарт браузера. При закрытии сессии выход из системы, скриптом очистка истории браузера и автовход… и т.д.

Цель:
Возникла такая же необходимость. Стал искать кто как делал подобное и ужаснулся количеству костылей и способов, и какждый отставивает, что он делает правильно, а другие не правильно.

Пример 1:
Предлагают поставить дисплейный менеджер, например GDM, KDM, LightDM и пр. и настраивать автовход пользователя с автозапуском необходимых программ уже в нем.
Решение самое простое, но как мне кажется очень избыточное. Целый дисплейный менеджер ради запуска одного браузера, учитывая, что он за собой тащит кучу зависимостей.

Пример 2:
Предлагают поставить только Xorg, автовход в учётку в консоли осуществлять с помощью утилиты rungetty, автостарт Иксов осуществлять с помощью ~/.bash_login, браузер запускать с помощью ~/.xinitrc.
Решение минималистичное, но уж очень костыльное.

Пример 3:
Предлагают поставить только Xorg, автовход в учётку в консоли осуществлять с помощью правки /etc/systemd/logind.conf (systemctl enable getty@tty1.service && reboot), автостарт Иксов осуществлять с помощью ~/.bash_login, браузер запускать с помощью ~/.xinitrc.
Решение минималистичное, и на один костыль (rungetty) меньше, чем в примере 2.

Кто нибудь сейчас делал подобное решение? – имеется ввиду сейчас, а не 8-10 лет назад, учитывая современные реалии (systemd, wayland). Может кто-то это делал без использования Иксов, с помощью того же вяленого или другими способами? Какой вариант с Вашей точки зрения самый оптимальный? Что Вы использовали для решения подобной задачи у Вас?

Доброго времени суток.

Имею lxc контейнер в ProxMox версии 6.0-4. Контейнер построен на базе стандартного шаблона debian-10.0-standart_10.0-1_amd64.tar.gz

Сам контейнер прекрасно работает, как ранее установленный, так и вновь развернутый. Но необходимо обновить пакеты в контейнере.

Делаем: apt update && apt uprgade -y, всё - наш контейнер умирает - после этого он неработоспособен. Вернее он не работоспособен до перезагрузки. После перезагрузки он уже не загрузится никакими способами.

Если сначала сделать apt update - он еще работает, и загружается после выключения или перезагрузки, но после apt upgrade уже не включится.

Список предлагаемых пакетов для обновления:

base-files bzip2 cron e2fsprogs file gpgv libbz2-1.0 libcom-err2 libcryptsetup12 libexpat1 libext2fs2 libfreetype6 libldap-2.4-2 libldap-common libmagic-mgc libmagic1 libncurses6 libncursesw6 libnghttp2-14 libnss-systemd libpam-systemd libpython2.7-minimal libpython2.7-stdlib libss2 libssl1.1 libsystemd0 libtinfo6 libudev1 ncurses-base ncurses-bin ncurses-term openssh-client openssh-server openssh-sftp-server openssl postfix python2.7 python2.7-minimal python3-reportbug reportbug ssh systemd systemd-sysv tzdata udev

В процессе обновления светит два предупреждения:

Current default time zone: ‘Etc/UTC’ Local time is now: Fri Nov 22 09:15:30 UTC 2019. Universal Time is now: Fri Nov 22 09:15:30 UTC 2019. Run ‘dpkg-reconfigure tzdata’ if you wish to change it.

и

Postfix (main.cf) configuration was untouched. If you need to make changes, edit /etc/postfix/main.cf (and others) as needed. To view Postfix configuration values, see postconf(1).

After modifying main.cf, be sure to run ‘service postfix reload’.

Однако после обновления команду dpkg-reconfigure tzdata выполнить нельзя:

# dpkg-reconfigure tzdata
bash: dpkg-reconfigure: команда не найдена

Сам PROXMOX при попытке запуска контейнера выводит

Job for pve-container@102.service failed because the control process exited with error code. See «systemctl status pve-container@102.service» and «journalctl -xe» for details. TASK ERROR: command ‘systemctl start pve-container@102’ failed: exit code 1

Доброго времени суток.

Имею следующую инфраструктуру

(dhcp)---([eth0]-ovpn-srv-[eth1])--/internet/--([eth0]-ovpn-cli)

Пытаюсь настроить OpenVPN в режиме tap. Нужно что бы машина ovpn-cli получила ip-адрес от dhcp за ovpn-srv.

Конфиг сервера:

mode server
port 1234
proto udp
dev tap0

ifconfig-pool-persist /etc/openvpn/ccd/ipp.txt
server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
#server-bridge
client-config-dir ccd
client-to-client
keepalive 10 120
persist-key
persist-tun

Конфиг клиента:

client
dev tap0
proto udp

remote XXX.XXX.XXX.XXX 1234
resolv-retry infinite
nobind
persist-key
persist-tun

При такой конфигурации клиент получает ip 10.8.0.50 как и задано в конфиге сервера.

Но мне нужно, что бы он получил ip от dhcp за openvpn-srv. Комментируем строку «server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100», вместо нее раскомментируем строку «server-bridge». В этом случае tap-интерфейс не создается вовсе.

Кроме того, беда со скриптами bridge-start и bridge-stop из sample-scripts. Мало того, что утилиты net-tools уже в Debian 9, так и скрипты сами не отрабатывают. В документации сказано, что их нужно положить в /etc/openvpn, но это не помогает.

Используется Debian 9, openvpn из стандартный реп.

Доброго времени суток.

Есть сервер выполняющий функцию интернет-раздачи. На этом сервере 2 сетевых интерфейса:
- eth0 - смотрит в локальную сеть. 192.168.1.1 - адрес в локальной сети.
- eth1 - смотрит в интернет с «белым» ip адресом провайдера. ${WAN_IP} - ip адрес провайдера.

Подняли сервер в локальной сети с OpenVPN. 192.168.1.2 - адрес в локальной сети. Из локальной сети подключение к OpenVPN (в качестве теста) успешно устанавливается.

Цель: Подключение к серверу с OpenVPN из сети интернет.

На сервере интернет-раздачи составлены правила переадресации порта на сервер с OpenVPN:

iptables -t nat -A PREROUTING -d ${WAN_IP} -i eth1 -p udp --dport 1194 -j DNAT --to-destination 192.168.1.2:1194
iptables -t nat -A POSTROUTING -d 192.168.1.2 -p udp --dport 1194 -j SNAT --to-source 192.168.1.1

Но к сожалению подключиться с интернет к OpenVPN не получается. Подскажите в чем ошибка.

Заранее спасибо всем откликнувшимся.

Доброго времени суток Всем!

Была установлена виртуалочка с Debian 10. Настроен ssh для удаленного входа. И в принципе все бодро и весело. Но возникла одна проблема.

После перезагрузки виртуалочки к ней невозможно подцепиться по ssh, пока не залогинишься на хосте.

Как это выглядит:
Машинка перезагрузилась. Подключаюсь по ssh - нет конекта, хотя машинка пингуется.
Лезу на машинку через KVM, логинюсь. После того как залогинился через KVM, получается залогиниться по ssh.

Какая то магия. В логах ничего нет. Машинка даже не знала, что к ней пытались подключиться. Ssh запускается при старте.

Поможите советом. Позязя, спс.

Доброго времени суток.

Не корректно отрабатывает web-интерфейс PROXMOX. Скриншот по ссылке. К сожалению, из-за показанной ошибки нельзя увидеть статус запуска виртуалки, подключиться к Консоли PROXMOX... Хотя виртуалки работают, к Линуксячим подключиться можно по SSH, к Виндузячным по RDP. Но такая ситуация не правильная.

Как исправить сложившуюся ошибку не перезагружая сервер и виртуальные машины.

Заранее спасибо всем ответившим.

Доброго всем времени суток.

Вопрос мой адресован всем специалистам ИТ, работающим в государственных структурах.

Прошу помощи в разъяснении нашего Российского законокрючкотворства в плане ПО, а именно:

Не так давно вышел ряд постановлений правительства РФ, приказов минкомсвязи, приказов министерств соответствующих структур о замещении ПО иностранного производства.

Речь идет не о запрете закупок ПО иностранного производства, а именно о замещении уже эксплуатируемого ПО иностранного производства - офисного ПО, ОС и т.д.

Собственно вопрос в том, можно ли использовать СПО в качестве ОС, или надо обязательно покупать сертифицированную ФСТЭК ОС?

В текущей редакции 152-ФЗ ФСТЭК речь идет только о средствах криптографии. Есть мнение, что с законодательной точки зрения, использование сертифицированного ФСТЭК дистрибутива в составе которого имеется средства криптографии равнозначно использованию ОС СПО и сертифицированного ФСТЭК средства криптографии (с формуляром, дистрибутивом средства криптографии и т.д.).

То есть, если руководствоваться этой точкой зрения, то достаточно поставить любой дистрибутив GNU/Linux (Ubuntu, Debian, CentOS) и тот же самый КриптоПро (КриптоПро сертифицирован ФСТЭК, имеет формуляр, дистрибутив и пр.).

Но коллега наткнулся на очень интересный документ: «Постановление Правительства РФ от 01.11.2012 N 1119 „Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных“», где в п.6 абзац 4 сказано:

«Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе».

Вот тут и возникает вопрос корректной трактовки. Потому что, если руководствоваться данным документом, то возникает необходимость и в сертификации просмоторщика PDF, браузера, оффисного пакета и др. ПО.

Так вот:

• Подскажите пжл, нужно ли в обязательном порядке использовать сертифицированную ФСТЭК ОС? Или все же возможно использовать СПО+КриптоПро?
• Как Вы в своих организациях решили/решаете этот вопрос?

Заранее спасибо за ответ.

С праздником всех девчонок (а они среди нас есть). С МЕЖДУНАРОДНЫМ ЖЕНСКИМ ДНЁМ 8 МАРТА!

Доброго времени суток всем.

К своему стыду столкнулся с проблемой печати на Debian 9 cinnamon DE.

В «Параметрах системы» просто нет пункта «Печать». В предыдущих используемых дистрибутивах данный пункт был, и проблем не было.

Как этот пункт вернуть?

Доброго Всем времени суток.

Расскажите, у кого какие предпочтения по конкретной программе SIP-клиента?

Предыстория: Потихоньку на работе начинаем миграцию на Свободное/Открытое ПО, в связи с запретом покупки импортного....

Начать решил с себя. Дома пользуюсь GNU/Linux уже продолжительное время, но дома не было необходимости пользоваться SIP-клиентом, а на работе это жизненно важно.

На оффтопике использовался MicroSIP - отличная СПО (GNU GPL), но существует только под оффтопик. Это ПО конечно работает и под wine, но это не комильфо же.

Пробовал Linphone - работает почти идеально, за одним исключением, не корректно работает переадресация вызова (не передается номер вызывающего абонента конечному абоненту).

Пробовал Ekiga - пользоваться можно, но часто некорректно воспринимает номера вызываемого абонента (приходится прописывать NNN@sipname.xx что бы номер воспринимался адекватно).

К сожалению перебирать все возможные реализации времени катастрофически не хватает.

Расскажите о своих предпочтениях, кого что устраивает/не устраивает. Может быть существует идеальный SIP-клиент, но просто я о нем не знаю?

Kaspersky Security Center 10 невозможно установить на MariaDB.

Согласно официальной документации Kaspersky Security Center 10 поддерживает только:

• MySQL 5.5 32-разрядная / 64-разрядная.
• MySQL Enterprise 5.5 32-разрядная / 64-разрядная.
• MySQL 5.6 32-разрядная / 64-разрядная.
• MySQL Enterprise 5.6 32-разрядная / 64-разрядная.
• MySQL 5.7 32-разрядная / 64-разрядная.
• MySQL Enterprise 5.7 32-разрядная / 64-разрядная.

Была попытка установить KSC10 с использованием MariaDB. Потерпели фиаско (попытки были на нескольких различных версиях MariaDB). Интересно, что тест соединения с MariaDB перед установкой проходит на отлично, но сама установка заканчивается ошибкой. Если кому интересно, то вот описание проблемы один-в-один как у нас.

Пришлось поставить на отдельную виртуалку MySQL времен мамонта. Все работает. Просто возник академический интерес, возможно ли, что бы MariaDB каким либо образом представлялась для KSC10, что она MySQL дремучей версии?

Всем доброго времени суток.

Начали переход с зоопарка систем виртуализации на СПО. Был положительный опыт использования KVM на предыдущей работе. Но для удобства управления виртуальными машинами потребовался графический интерфейс. В качестве готового решения взгляд упал на Proxmox VE.

В описании указано что Proxmox распространяется под лицензией GNU AGPL v3. Однако при входе в GUI мы видем сообщение:
«You do not have a valid subscription for this server. Please visit www.proxmox.com to get a list of available options.», -
(рус.: «У вас нет действительной подписки на этот сервер. Посетите сайт www.proxmox.com, чтобы получить список доступных опций.»).

По данной ссылке можно наблюдать описание:
«Исходный код Proxmox Virtual Environment опубликован под лицензией СПО GNU AGPL, v3 и, следовательно, свободно доступен для загрузки, использования и совместного использования. Вы можете загрузить программу установки Proxmox VE ISO или проверить код в репозитории открытого кода (git)».

Но между тем, если открыть справочную информацию уже установленного Proxmox, никаких слов о свободных лицензиях там нет. При этом, по выше приведенной ссылке нам настойчиво предлагают приобрести платную подписку.

Собственно вопрос:
Как использование данного решения согласуется с лицензионной точки зрения?
Данное сообщение кажется возможно убрать. По крайней мере манов по убиранию данного сообщения в инете море, правда я не проверял их на работоспособность.

Есть ли какие либо ограничения на использование Proxmox без подписки? В тех же мануалах по убиранию предупреждения о подписке предлагается прописать другие репы на Proxmox (без объяснения зачем и почему). Или у них стандартная репа доступна только по подписке?

Как Вы решили вопрос использования Proxmox на предприятии с правовой точки зрения? Или просто все «забили»?

Заранее спасибо за ваши ответы.

Доброго времени суток всем.

Пытаюсь подключить SAMBA4 к AD как вторичный контроллер домена. При выполнении

# samba-tool domain join domain.local DC -UАдминистратор@domain.local --realm=domain.local

Finding a writeable DC for domain 'domain.local'
Found DC DOMAIN.domain.local
Password for [Администратор@domain.local]:
workgroup is domain
realm is domain.local
Adding CN=DC01,OU=Domain Controllers,DC=domain,DC=local
Adding CN=DC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=local
Adding CN=NTDS Settings,CN=DC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=local
DsAddEntry failed with status (5, 'WERR_ACCESS_DENIED') info (8567, 'WERR_DS_INCOMPATIBLE_VERSION')
Join failed - cleaning up
Deleted CN=DC01,OU=Domain Controllers,DC=domain,DC=local
Deleted CN=DC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=local
ERROR(runtime): uncaught exception - DsAddEntry failed
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/__init__.py", line 176, in _run
    return self.run(*args, **kwargs)
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/domain.py", line 652, in run
    machinepass=machinepass, use_ntvfs=use_ntvfs, dns_backend=dns_backend)
  File "/usr/lib/python2.7/dist-packages/samba/join.py", line 1253, in join_DC
    ctx.do_join()
  File "/usr/lib/python2.7/dist-packages/samba/join.py", line 1151, in do_join
    ctx.join_add_objects()
  File "/usr/lib/python2.7/dist-packages/samba/join.py", line 601, in join_add_objects
    ctx.join_add_ntdsdsa()
  File "/usr/lib/python2.7/dist-packages/samba/join.py", line 532, in join_add_ntdsdsa
    ctx.DsAddEntry([rec])
  File "/usr/lib/python2.7/dist-packages/samba/join.py", line 483, in DsAddEntry
    raise RuntimeError("DsAddEntry failed")

Прочитал уже кучу мануалов. Неожиданно натолкнулся на статью на сайте samba4.ru, где нашел таблицу совместимости SAMBA4 и Windows Server. Но в данной таблице речь идет о версиях 4.0 и 4.1. У меня же 4.5...

Может кто-нибудь сталкивался с подобной ситуацией, подскажите пути решения.

Заранее спасибо откликнувшимся.