LINUX.ORG.RU

Сообщения kbu

 

Поменять пароль юзера через php script

Уважаемое коммюнити,

прошу подсказать, где может быть затык:

1. есть сервер на OpenSUSE 15.2
2. есть php script:
3. PHP7 и Nginx

<?php
error_reporting(E_ALL);
ini_set('display_errors', TRUE);
ini_set('display_startup_errors', TRUE);
ini_set('display_error', true);

$cmd = 'sudo -u root sh -c \'/usr/bin/echo "username:pass" | sudo /usr/sbin/chpasswd 2>&1\'';

exec($cmd,$output,$return_val);
print_r($output);
echo $return_val;
?>


Скрипт возвращает следующую строку в браузере:

Array ( [0] => chpasswd: (user username) pam_chauthtok() failed, error: [1] => Authentication token lock busy [2] => chpasswd: (line 1, user username) password not changed ) 1

При этом в шелле скрипт отрабатывает без проблем.

права для юзера nginx в sudoers выглядят так:

nginx ALL=(ALL) NOPASSWD: ALL. #(так только для теста)
Defaults:nginx !requiretty

NGinx и php-fpm даже запускались с рутовыми правами, но и это не помогло.

auditd пишет:

type=USER_CHAUTHTOK msg=audit(1627163840.500:550651): pid=21840 uid=0 auid=4294967295 ses=4294967295 subj==unconfined msg='op=PAM:chauthtok grantors=? acct="username" exe="/usr/sbin/chpasswd" hostname=? addr=? terminal=? res=failed



Буду благодарен любой подсказке!

 , ,

kbu ()

Bacula и настройка пулов

Приветствую уважаемое сообщество,

подскажите пожалуйста как правильно настроить пул/ы для клиентов bacula.

У меня есть 21 сервер/клиент, которые я хочу бекапить. Для каждого клиента я хочу делать один полный бекап, раз в неделю и диф бекапы каждый день. Храним, только один полный недельный бекап и дифы за неделю, потом все перезаписываем.

У каждого клиента есть несколько заданий, что бекапить.

Перечитал весь в хабр с его примерами, не могу понять как правильно написать подобную конфигурацию.

Буду очень признателен, если кто натолкнет на правильный ход мысли.

 , ,

kbu ()

Spamassassin - debug output

Уважаемое комюнити,
может кто-нибудь помочь понять дебаг лог spamassassin:

Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: uridnsbl: domain amazonaws.com in skip list, host sns.eu-central-1.amazonaws.com
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: check: tagrun - tag URIHOSTS is now ready, value: libcurl.so
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: check: tagrun - tag URIDOMAINS is now ready, value: libcurl.so
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: uridnsbl: considering host=libcurl.so, domain=libcurl.so
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: async: launching A/libcurl.so.multi.surbl.org for DNSBL:libcurl.so:multi.surbl.org
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: dns: bgsend, DNS servers: [172.31.0.2]:53, [1.1.1.1]:53
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: dns: attempt 1/2, trying connect/sendto to [172.31.0.2]:53
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: dns: connect_sock, resolver: yes
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: dns: 53959 configured local ports for DNS queries
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: dns: LocalAddr: [0.0.0.0]:40933, name server: [172.31.0.2]:53, module IO::Socket::IP
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: dns: resolver socket rx buffer size is 212992 bytes, local port 40933
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: dns: providing a callback for id: 36660/IN/A/libcurl.so.multi.surbl.org
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: async: starting: SURBL_BLOCKED, URI-DNSBL, DNSBL:libcurl.so:multi.surbl.org (timeout 15.0s, min 3.0s)
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: dns: SURBL_BLOCKED lookup start
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: async: launching A/libcurl.so.dob.sibl.support-intelligence.net for DNSBL:libcurl.so:dob.sibl.support-intelligence.net
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: dns: bgsend, DNS servers: [172.31.0.2]:53, [1.1.1.1]:53
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: dns: attempt 1/2, trying connect/sendto to [172.31.0.2]:53
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: dns: providing a callback for id: 6295/IN/A/libcurl.so.dob.sibl.support-intelligence.net
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: async: starting: URIBL_RHS_DOB, URI-DNSBL, DNSBL:libcurl.so:dob.sibl.support-intelligence.net (timeout 15.0s, min 3.0s)
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: dns: URIBL_RHS_DOB lookup start
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: async: query 36660/IN/A/libcurl.so.multi.surbl.org already underway, adding no.2 URIBL_CR_SURBL
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: dns: URIBL_CR_SURBL lookup start
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: async: query 36660/IN/A/libcurl.so.multi.surbl.org already underway, adding no.3 URIBL_PH_SURBL
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: dns: URIBL_PH_SURBL lookup start
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: async: query 36660/IN/A/libcurl.so.multi.surbl.org already underway, adding no.4 URIBL_MW_SURBL
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: dns: URIBL_MW_SURBL lookup start
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: async: launching A/libcurl.so.multi.uribl.com for DNSBL:libcurl.so:multi.uribl.com
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: dns: bgsend, DNS servers: [172.31.0.2]:53, [1.1.1.1]:53
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: dns: attempt 1/2, trying connect/sendto to [172.31.0.2]:53
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: dns: providing a callback for id: 7899/IN/A/libcurl.so.multi.uribl.com
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: async: starting: URIBL_RED, URI-DNSBL, DNSBL:libcurl.so:multi.uribl.com (timeout 15.0s, min 3.0s)
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: dns: URIBL_RED lookup start
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: async: query 7899/IN/A/libcurl.so.multi.uribl.com already underway, adding no.2 URIBL_GREY
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: dns: URIBL_GREY lookup start
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: async: query 7899/IN/A/libcurl.so.multi.uribl.com already underway, adding no.3 URIBL_BLACK
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: dns: URIBL_BLACK lookup start


Мой вопрос собственно, как из строчки
SA dbg: uridnsbl: domain amazonaws.com in skip list, host sns.eu-central-1.amazonaws.com


spamassassin делает вот это:
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: check: tagrun - tag URIHOSTS is now ready, value: libcurl.so
Oct 17 14:00:30 server amavis[29497]: (29497-02) SA dbg: check: tagrun - tag URIDOMAINS is now ready, value: libcurl.so


Меня интересует откуда вылезает libcurl.so?

Спасибо за ранее!

 , , , ,

kbu ()

Firewall(router) + vpn

Приветствую, уважаемое комюнити!

Прошу подсказать, как правильно пробросить vpn подключение в сеть.

Есть сервер с 3 интерфейсами:

1 - внешний интерфейс
2 - dmz
3 - локалка

На сервере уже есть ipsec(своей удаленной площадки) и он проброшен уже в dmz.
Возникла необходимости в обмене документов с клиентом через VPN.
Но клиентский впн мне не очень хочется пробрасывать в dmz где гуляет трафик моей удаленной площадки.

Можно ли как-нибудь организовать через вирт интерфейс (dummy interface) и завернуть трафик на него с впн и трафик из локалки?

Или как лучше сделать? Что говорят best practices.

За ранее благодарен!

 , ,

kbu ()

Possible attack on the ssh server

Приветствую, уважаемое комюнити!

Прошу помочь интерпретировать сообщение из лога auth.log:


Jul 27 09:16:30 aws-ftp sshd[13186]: Bad protocol version identification 'telnet mail.softlution.com 2222' from 194.120.221.212 port 63085


на просторах интернетов нашел похожее
https://scottlinux.com/2012/03/07/troubleshooting-ssh-server-logs-and-error-m...

Example 6

Но меня смущает слово telnet у меня в логе.

Что это может быть?
За ранее спасибо!

 ,

kbu ()

Firewall, Port Forwarding, DMZ

Приветствую уважаемое комюнити,

прошу совета, как лучше организовать проброс портов для офиса.
Сейчас все выглядит примерно так:

http://s33.postimg.org/6cgt5pby7/scheme.png


Т.е. есть сервера как zabbix,bacula,web-service, которые находятся в локальной сети. Есть сервера, которые расположены далеко в интернетах.
Так вот, порты для бакулы, заббикса проброшены прямо в локалку и соединения на эти порты лимитированы ипишниками серверов, которые требуют эти соединения. Есть предположения, что такая схема - это не совсем хорошо и лучше бы эти сервера переместить в зону DMZ.

Но сервера, которые находятся в локальной сети, также требуют мониторинга и бекапов..т.е. надо будет отправлять их соединения с необходимыми сервисами в DMZ...

Спасибо за советы и критику.

 

kbu ()

Iptables и проброс подключений

Приветствую уважаемое комюнити,

не могу найти почему перестала работать связка между двумя фаерволами. Прошу помощи найти ошибку.

Подключение осуществляется следующим образом:

-> ext.fw:6000 -> intern.fw:6000 -> WS:8080

если тестировать соединение из интернета, то все отрабатывает. Но со вчерашнего дня перестали ходить пакеты из локальной сети по этой схеме. Т.е. я обращаюсь к порту 6000 и дом.имени и соответственно должен попадать внутрь, но не идет... Не могу понять в чем дело..

tcpdump идет вот тами образом:


10:35:35.493168 IP INET_IP.60933 > 192.168.5.253.6000: Flags [P.], seq 2284149729:2284149734, ack 3530929122, win 115, options [nop,nop,TS val 711640697 ecr 6628085], length 5
10:35:35.495485 IP 192.168.5.253.6000 > INET_IP.60933: Flags [P.], seq 1:71, ack 5, win 260, options [nop,nop,TS val 6629556 ecr 711640697], length 70
10:35:35.495521 IP 192.168.5.253.6000 > INET_IP.60933: Flags [F.], seq 71, ack 5, win 260, options [nop,nop,TS val 6629556 ecr 711640697], length 0
10:35:35.511010 IP INET_IP.60933 > 192.168.5.253.6000: Flags [.], ack 71, win 115, options [nop,nop,TS val 711640702 ecr 6629556], length 0
10:35:35.511090 IP INET_IP.60933 > 192.168.5.253.6000: Flags [F.], seq 5, ack 72, win 115, options [nop,nop,TS val 711640702 ecr 6629556], length 0
10:35:35.511260 IP 192.168.5.253.6000 > INET_IP.60933: Flags [.], ack 6, win 260, options [nop,nop,TS val 6629558 ecr 711640702], length 0
10:35:36.518661 IP INET_IP.60946 > 192.168.5.253.6000: Flags , seq 4030741612, win 14600, options [mss 1460,sackOK,TS val 711640954 ecr 0,nop,wscale 7], length 0
10:35:36.519040 IP 192.168.5.253.6000 > INET_IP.60946: Flags [S.], seq 2603922870, ack 4030741613, win 8192, options [mss 1460,nop,wscale 8,sackOK,TS val 6629659 ecr 711640954], length 0
10:35:36.534475 IP INET_IP.60946 > 192.168.5.253.6000: Flags [.], ack 1, win 115, options [nop,nop,TS val 711640958 ecr 6629659], length 0



Здесь видно что фаер сразу перекидывает соединение на интерфейс внутр.фаера и все отрабатывает. Но если же пробовать из локалки, то видно, что соединение прыгает от внешнего адреса фаера на адрес вн.фаера и дальше ничего не идет...


10:39:02.671929 IP 192.168.5.82.50501 > EXT_IP.6000: Flags , seq 60673773, win 29200, options [mss 1460,sackOK,TS val 86260466 ecr 0,nop,wscale 7], length 0
10:39:02.672000 IP 192.168.5.82.50501 > 192.168.5.253.6000: Flags , seq 60673773, win 29200, options [mss 1460,sackOK,TS val 86260466 ecr 0,nop,wscale 7], length 0
10:39:03.668353 IP 192.168.5.82.50501 > EXT_IP.6000: Flags , seq 60673773, win 29200, options [mss 1460,sackOK,TS val 86260716 ecr 0,nop,wscale 7], length 0
10:39:03.668414 IP 192.168.5.82.50501 > 192.168.5.253.6000: Flags , seq 60673773, win 29200, options [mss 1460,sackOK,TS val 86260716 ecr 0,nop,wscale 7], length 0
10:39:05.672368 IP 192.168.5.82.50501 > EXT_IP.6000: Flags , seq 60673773, win 29200, options [mss 1460,sackOK,TS val 86261217 ecr 0,nop,wscale 7], length 0
10:39:05.672432 IP 192.168.5.82.50501 > 192.168.5.253.6000: Flags , seq 60673773, win 29200, options [mss 1460,sackOK,TS val 86261217 ecr 0,nop,wscale 7], length 0
10:39:09.684386 IP 192.168.5.82.50501 > EXT_IP.6000: Flags , seq 60673773, win 29200, options [mss 1460,sackOK,TS val 86262220 ecr 0,nop,wscale 7], length 0
10:39:09.684446 IP 192.168.5.82.50501 > 192.168.5.253.6000: Flags , seq 60673773, win 29200, options [mss 1460,sackOK,TS val 86262220 ecr 0,nop,wscale 7], length 0


За ранее спасибо!

 ,

kbu ()

Dovecot and SharedFolders

Приветствую уважаемое комюнити!

Третий день воюю с общими папками для dovecot. Не могу найти ошибку.
Вроде бы все по инструкции, но не работает.

На комманду:


doveadm acl debug -u spamtrap shared.SHARED


выдает, что


doveadm(spamtrap): Info: Mailbox 'INBOX' is in namespace 'shared.SHARED.'
doveadm(spamtrap): Info: Mailbox path: /usr/local/office/mail/vmail/domain.tld/spamtrap
doveadm(spamtrap): Info: Per-user private flags in mailbox: \Seen
doveadm(spamtrap): Info: User spamtrap@domain.tld has no rights for mailbox
doveadm(spamtrap): Error: User spamtrap@domain.tld is missing 'lookup' right
doveadm(spamtrap): Info: Mailbox shared.SHARED is NOT visible in LIST


Пытаюсь расшарить папку SHARED юзера test. В папке SHARED лежит файлик dovecot-acl:


user=spamtrap lrs


вот конфиги dovecot:

10-mail.conf



mail_location = maildir:/usr/local/office/mail/vmail/%d/%n

namespace {
type = shared
separator = .
prefix = shared.%%u.
inbox = no
hidden = no
location = maildir:/usr/local/office/mail/vmail/%d/%n:INDEXPVT=/usr/local/office/mail/vmail/%d/%n/shared.%%u
subscriptions = yes
list = yes

}


Есть подозрения что накосячил где-то с location..


90-acl.conf


plugin {
acl = vfile
}
plugin {
acl_shared_dict = file:/usr/local/office/mail/vmail/%d/%n/shared-mailboxes.db # Файл создался автоматом в папке юзера test
acl_anyone = allow
}


20-imap.conf


protocol imap {
mail_plugins = $mail_plugins imap_acl
}



Прошу подсказать, что где пропустил...

Спасибо!

 ,

kbu ()

Отказоустойчивость на Amazon EC2

Приветствую, уважаемое комюнити!

Прошу подсказать, как лучше организвать отказоустойчивый кластер при помощи EC2 сервисов.

Необходимо построить отказоустойчивые кластера для почты(Postfix+Dovecot) и для FTP.

Для постфикса читал, что необходимо делать с помощью днс приоритета серверов, но для меня важно чтобы мои пользователи в настройках почтовиков, в случае падения первого сервера, ничего не меняли. Как это лучше сделать?

Относительно Dovecot - читал что можно использовать dsync. Но опять таки - пользователи.

Для FTP думаю использовать или drbd или GlusterFS.

Какие сервисы Амазона лучше использовать, чтобы минимизировать работу для пользователей.

У кого есть опыт построения подобных кластеров, буду признателен совету.

 , , , ,

kbu ()

Samba and gigabit LAN

Приветствую, уважаемое комюнити!

Прошу подсказать в чем может быть проблема:

есть сервер на Debian Jessie, на нем три гигабитные карточки:


Marvell Technology Group Ltd. 88E8050 PCI-E ASF Gigabit Ethernet Controller
D-Link System Inc DGE-528T Gigabit Ethernet Adapter
Intel Corporation 82541GI Gigabit Ethernet Controller


Кабель 6 категории и свитч гигабитный.

При попытке что-то скопировать на сервер, скорость разгоняется до 300-500Mb и падает до 100. И не важно как копировать: через scp или samba - результат один и тот же (Тест проводился на всех трех карточках).

iperf показывает почти гигабит:


Client connecting to 192.168.5.6, TCP port 5001
TCP window size: 85.0 KByte (default)
------------------------------------------------------------
[ 3] local 192.168.5.82 port 44067 connected with 192.168.5.6 port 5001
[ ID] Interval Transfer Bandwidth
[ 3] 0.0-10.0 sec 1.10 GBytes 942 Mbits/sec


free -m


free -m
total used free shared buffers cached
Mem: 3956 1114 2842 21 52 438
-/+ buffers/cache: 623 3333
Swap: 7811 0 7811


уже обновил ядро из бекпортов:

4.1.0-0.bpo.2-amd64

но проблема все не уходит. Что это может быть? За ранее спасибо!

 , , ,

kbu ()

Server Troubleshooting

Приветствую, уважаемое комюнити!

Прошу подсказать, разобраться в проблеме:

на днях перестал отвечать мой dedicated server у провайдера. Провайдер посоветовал сделать harware test, тест был успешно пройден, железо якобы в порядке. После чего провайдер поднял ручки и сказал, что дальше не мои проблемы.

Я загрузился в recovery console, подмапил raid раздел и стал изучать логи. Обнаружилось, что


/var/log/syslog


был оборван на полустрочке. Тоже самое и сдругим логом


/var/log/auth.log


отмонтировав раздел, был сделан fsck - ничего страшного небыло найдено.
В остальных логах все вроде выглядит обыденно.

Отсюда вопрос, что могло послужить причной отказа? Что могло оборвать запись в лог на полуслове? Внезапное отсутствие электроэнергии? Возможен ли сбой файловой системы с такими последствиями? (ext4)

За ранее оч благодарен!

 ,

kbu ()

Bacula + TLS

Приветствую уважаемое комюнити!
Прошу помочь разобраться где проблема..
Пытаюсь заставить Bacula работать через TLS.

ключи генерил так:


openssl req -new -newkey rsa:4096 -nodes -out pdc.csr -keyout pdc.key -subj «/C=DE/ST=NRW/L=City/O=firma/OU=BaculaPDC/CN=dus-pdc-01.nmedia.local-fd»

подписывал:

openssl ca -in pdc.csr -config /etc/ssl/openssl.cnf


Конфиг на серверной стороне:

bacula-dir:


Director { # define myself
16 Name = dus-backup-01-dir
17 DIRport = 9101 # where we listen for UA connections
18 QueryFile = «/etc/bacula/scripts/query.sql»
19 WorkingDirectory = «/var/lib/bacula»
20 PidDirectory = «/var/run/bacula»
21 Maximum Concurrent Jobs = 20
22 Password = «pass» # Console password
23 Messages = Daemon
24 #DirAddress = 192.168.5.6
25 DirAddress = dus-backup-01-dir
26 TLS Certificate = /etc/bacula/certs/bacula.backup.crt
27 TLS Key = /etc/bacula/certs/backup.key
28 TLS CA Certificate File = /etc/ssl/certs/cacert.pem
29 TLS Enable = yes
30 TLS Require = no
31 TLS Verify Peer = yes
32 TLS Allowed CN = «dus-pdc-01.nmedia.local-fd»
33 TLS Allowed CN = «dus-pdc-01.nmedia.local»
34 TLS Allowed CN = «dus-pdc-01»
35 TLS Allowed CN = «dus-backup-01-dir»
36 }

Client {
565 Name = dus-pdc-01.nmedia.local-fd
566 Address = dus-pdc-01.nmedia.local-fd
567 FDPort = 9102
568 Catalog = MyCatalog
569 Password = «pass»
570 File Retention = 1 month
571 Job Retention = 1 month
572 AutoPrune = yes
573 Maximum Concurrent Jobs = 20
574 TLS Certificate = /etc/bacula/certs/bacula.pdc.crt
575 TLS Key = /etc/bacula/certs/pdc.key
576 TLS CA Certificate File = /etc/ssl/certs/cacert.pem
577 TLS Enable = yes
578 TLS Require = yes
579 }

Storage {
583 Name = File
584 #Address = DUS-BACKUP-01 # N.B. Use a fully qualified name here
585 Address = dus-backup-01-dir # N.B. Use a fully qualified name here
586 SDPort = 9103
587 Password = «pass»
588 Device = localRaid
589 Media Type = File
590 Maximum Concurrent Jobs = 20
591 TLS Enable = yes
592 TLS Require = yes
593 TLS Certificate = /etc/bacula/certs/bacula.backup.crt
594 TLS Key = /etc/bacula/certs/backup.key
595 TLS CA Certificate File = /etc/ssl/certs/cacert.pem
596 }


bacula-sd:


Storage { # definition of myself
14 Name = dus-backup-01-sd
15 SDPort = 9103 # Director's port
16 WorkingDirectory = «/var/lib/bacula»
17 Pid Directory = «/var/run/bacula»
18 Maximum Concurrent Jobs = 20
19 #SDAddress = 192.168.5.6
20 SDAddress = dus-backup-01-dir
21 TLS Certificate = /etc/bacula/certs/bacula.backup.crt
22 TLS Key = /etc/bacula/certs/backup.key
23 TLS CA Certificate File = /etc/ssl/certs/cacert.pem
24 TLS Enable = yes
25 TLS Require = yes
26 #TLS Verify Peer = no
27 }
28
29 #
30 # List Directors who are permitted to contact Storage daemon
31 #
32 Director {
33 Name = dus-backup-01-dir
34 Password = «pass»
35 TLS Certificate = /etc/bacula/certs/bacula.backup.crt
36 TLS Key = /etc/bacula/certs/backup.key
37 TLS CA Certificate File = /etc/ssl/certs/cacert.pem
38 TLS Enable = yes
39 TLS Require = yes
40 }



bacula-fd:


Director {
14 Name = dus-backup-01-dir
15 Password = «pass»
16 TLS Certificate = /etc/bacula/certs/bacula.backup.crt
17 TLS Key = /etc/bacula/certs/backup.key
18 TLS CA Certificate File = /etc/ssl/certs/cacert.pem
19 TLS Enable = yes
20 TLS Require = yes
21 }
22
23
FileDaemon { # this is me
42 Name = dus-backup-01-fd
43 FDport = 9102 # where we listen for the director
44 WorkingDirectory = /var/lib/bacula
45 Pid Directory = /var/run/bacula
46 Maximum Concurrent Jobs = 20
47 #FDAddress = 192.168.5.6
48 FDAddress = dus-backup-01-dir
49 TLS Certificate = /etc/bacula/certs/bacula.backup.crt
50 TLS Key = /etc/bacula/certs/backup.key
51 TLS CA Certificate File = /etc/ssl/certs/cacert.pem
52 TLS Enable = yes
53 TLS Require = yes
54 }



Клиентская сторона

bacula-fd:


Director {
14 Name = dus-backup-01-dir
15 Password = «pass»
16 TLS Certificate = /etc/bacula/certs/bacula.backup.crt
17 TLS Key = /etc/bacula/certs/backup.key
18 TLS CA Certificate File = /etc/ssl/certs/cacert.pem
19 TLS Enable = yes
20 TLS Require = yes
21 TLS Allowed CN = «dus-pdc-01.nmedia.local-fd»
22 TLS Allowed CN = «dus-pdc-01.nmedia.local»
23 TLS Allowed CN = «dus-pdc-01»
24 TLS Allowed CN = «dus-backup-01-dir»
25 }
26
27
40 FileDaemon { # this is me
41 Name = dus-pdc-01.nmedia.local-fd
42 FDport = 9102 # where we listen for the director
43 WorkingDirectory = /var/lib/bacula
44 Pid Directory = /var/run/bacula
45 Maximum Concurrent Jobs = 20
46 FDAddress = dus-pdc-01.nmedia.local-fd
47 TLS Certificate = /etc/bacula/certs/bacula.pdc.crt
48 TLS Key = /etc/bacula/certs/pdc.key
49 TLS CA Certificate File = /etc/ssl/certs/cacert.pem
50 TLS Enable = yes
51 TLS Require = yes
52 }




При попытке запросить статус или выполнить задание получаю следующее:

27-Aug 16:43 dus-backup-01-dir JobId 0: Fatal error: bnet.c:343 TLS host certificate verification failed. Host name «dus-pdc-01.nmedia.local-fd» did not match presented certificate
27-Aug 16:43 dus-backup-01-dir JobId 0: Fatal error: TLS negotiation failed with FD at «dus-pdc-01.nmedia.local-fd:9102».


Пробовал генерить ключи с разными CN и при этом править конфиг под CN, ничего не помагает. Без tls все работает замечательно.
И еще одна странность tls для локального клиента работает.

Подскажите пожалуйста, что не так?

 ,

kbu ()

Corosync+Pacemaker

Всем привет!

Настраиваю связку Corosync+Pacemaker по ману

http://ninjix.blogspot.de/2011/01/highly-available-zabbix-monitoring.html


Ноды запускаются и работают:


Online: [ dus-zabbixdb-1 dus-zabbixdb-2 ]

Resource Group: zabbix_group
fs_mysql (ocf::heartbeat:Filesystem): Started dus-zabbixdb-1
ip_mysql (ocf::heartbeat:IPaddr2): Started dus-zabbixdb-1
mysqld (lsb:mysql): Started dus-zabbixdb-1
Master/Slave Set: ms_drbd_mysql [drbd_mysql]
Masters: [ dus-zabbixdb-1 ]
Slaves: [ dus-zabbixdb-2 ]
apache (lsb:apache2): Started dus-zabbixdb-2
zabbix (lsb:zabbix-server): Started dus-zabbixdb-2



Меня смущает то, что mysql запускается на первой ноде, а apache и zabbix запускаются на второй ноде. Если остановить вторую ноду, то все берет на себя первая нода, но как только включаешь вторую, apache и zabbix убегают туда. Почему так происходит. Да всех сервисов выделен один адрес 192.168.5.250, таким образом только mysql бывает доступен. Если же выключить вторую ноду, тогда подхватывается apache и zabbix.
Подскажите пожалуйста как поправить.

За ранее спасибо!

 , , , ,

kbu ()

High Availability setup for Zabbix

Приветствую, уважаемое комюнити!

Прошу помощи разобраться в чем проблема с построением отказоустойчивого Zabbix'a.
Делаю вот по этому мануалу:


https://www.zabbix.org/wiki/Docs/howto/high_availability#High_Availability_se...


crm configure show


node $id=«1» dus-zabbix-1.nmedia.local
node $id=«2» dus-zabbix-2.nmedia.local
primitive failover-ip ocf:heartbeat:IPaddr \
params ip=«192.168.5.235» \
op monitor interval=«2s»
primitive failover-zabbix_server lsb:zabbix-server \
op monitor interval=«5s»
group zabbix_server-cluster failover-ip failover-zabbix_server
property $id=«cib-bootstrap-options» \
dc-version=«1.1.10-42f2063» \
cluster-infrastructure=«corosync» \
stonith-enabled=«false» \
default-resource-stickiness=«100» \
expected-quorum-votes=«2»


Дошел до пункта Setting up actual failover, делаю настройку, но при попытке запуска теста:

crm_mon --one-shot


Last updated: Thu Apr 23 16:19:35 2015
Last change: Thu Apr 23 16:11:13 2015 via cibadmin on dus-zabbix-2.nmedia.local
Stack: corosync
Current DC: dus-zabbix-2.nmedia.local (2) - partition with quorum
Version: 1.1.10-42f2063
2 Nodes configured
2 Resources configured


Online: [ dus-zabbix-1.nmedia.local dus-zabbix-2.nmedia.local ]

Resource Group: zabbix_server-cluster
failover-ip (ocf::heartbeat:IPaddr): Started dus-zabbix-2.nmedia.local
failover-zabbix_server (lsb:zabbix-server): Started dus-zabbix-2.nmedia.local FAILED

Failed actions:
failover-ip_start_0 (node=dus-zabbix-1.nmedia.local, call=13, rc=1, status=complete, last-rc-change=Thu Apr 23 16:16:22 2015
, queued=48ms, exec=0ms
): unknown error
failover-zabbix_server_monitor_5000 (node=dus-zabbix-2.nmedia.local, call=118, rc=7, status=complete, last-rc-change=Thu Apr 23 16:19:34 2015
, queued=2ms, exec=1ms
): not running




конфиг corosync:


# Please read the openais.conf.5 manual page
totem {
version: 2
# How long before declaring a token lost (ms)
token: 3000
# How many token retransmits before forming a new configuration
token_retransmits_before_loss_const: 10
# How long to wait for join messages in the membership protocol (ms)
join: 60
# How long to wait for consensus to be achieved before starting a new round of membership configuration (ms)
consensus: 3600
# Turn off the virtual synchrony filter
vsftype: none
# Number of messages that may be sent by one processor on receipt of the token
max_messages: 20
# Limit generated nodeids to 31-bits (positive signed integers)
clear_node_high_bit: yes
# Disable encryption
secauth: off
# How many threads to use for encryption/decryption
threads: 0
# Optionally assign a fixed node id (integer)
nodeid: 1
# This specifies the mode of redundant ring, which may be none, active, or passive.
rrp_mode: none
interface {
# The following values need to be set based on your environment
ringnumber: 0
bindnetaddr: 192.168.5.0
mcastaddr: 239.255.1.1
mcastport: 5405
}
}
amf {
mode: disabled
}


Прошу подсказать, что я делаю не так?

Спасибо!

 , ,

kbu ()

IPFire и роутинг

Прошу помощи, уважаемое комюнити:

есть проблема, на фаерволе 3 интерфейса - red0, orange0, green0.
Был построен ipsec с удаленной машиной, туннель поднят могу пингать с red0 и orange0, но нет доступа с green0...



ping -I green0 192.168.80.98
PING 192.168.80.98 (192.168.80.98) from 192.168.5.254 green0: 56(84) bytes of data.
From 192.168.5.254 icmp_seq=1 Destination Host Unreachable




ping -I red0 192.168.80.98
PING 192.168.80.98 (192.168.80.98) from 172.16.10.254 red0: 56(84) bytes of data.
64 bytes from 192.168.80.98: icmp_seq=1 ttl=128 time=58.6 ms



ip ro sh
default via 217.110.240.185 dev red0
10.250.156.0/24 via 10.250.156.2 dev tun0
10.250.156.2 dev tun0 proto kernel scope link src 10.250.156.1
172.16.0.0/16 dev orange0 proto kernel scope link src 172.16.10.254
192.168.5.0/24 dev green0 proto kernel scope link src 192.168.5.254
EXTERN IP/29 dev red0 proto kernel scope link src EXTERN IP



ip route get 192.168.80.98
192.168.80.98 via EXTERN IP dev red0 src 172.16.10.254
cache



Как мне пробросить пакеты с green0 в сеть ipsec?

За ранее оч благодарен!

 ,

kbu ()

Синхронизация файлов с помощью lsyncd

Приветствую, уважаемое комюнити!

Прошу подсказать, что я делаю не так, пытаюсь синхронизировать два каталога между двумя серверами.

конфиг lsyncd такой:


settings {
logfile = «/var/log/lsyncd/lsyncd.log»,
statusFile = «/var/log/lsyncd/lsyncd.status»,
statusInterval = 5, --<== чтобы видеть что происходит без включения подробного лога
}

sync {
default.rsyncssh,
source = «/var/log/»,
host = «administrator@192.168.5.12»,
targetdir = «/tmp/tmp/»,
rsync = {
binary = «/usr/bin/rsync»,
acls = true,
archive = false,
compress = false,
temp_dir = «/tmp»,
perms = true,
owner = true,
_extra = { "-P", "-ausS", "--temp-dir=/tmp", "-e", «/usr/bin/ssh -i /root/.ssh/id_rsa_backup -o StrictHostKeyChecking=no» },
verbose = true,
},
ssh = {
port = 65422,
},
}




запускаю так:


lsyncd -nodaemon /etc/lsyncd/lsyncd.conf.lua


В ответ получаю:


12:29:09 Normal: recursive startup rsync: /var/log/ -> administrator@192.168.5.12:/tmp/tmp/
rsync: getcwd(): No such file or directory (2)
rsync error: errors selecting input/output files, dirs (code 3) at util.c(992) [Receiver=3.0.7]
12:29:09 Error: Temporary or permanent failure on startup of «/var/log/». Terminating since «insist» is not set.




уже создал .ssh/config и указывал host = «alias_from_config»

но ничего не помагает..

авторизация по ключам настроена...

 

kbu ()

Bind9 и Windows DC

Уважаемое комюнити, прошу помощи в настройке связки Bind и Windows DC.

Bind настроен и работает как ДНС без нареканий. Пытался подружить обоих с помощью этой статьи:

http://www.theadmin.ru/linux/kak-podruzhit-dns-bind9-i-kontroller-domena-wind...

Создал все доп.зоны, но при попытке ввести комп. в домен, получаю вот что:


Замечание: эта информация предназначена для сетевого администратора. Пожалуйста, сообщите эту информацию вашему сетевому администратору. Для удобства, она уже сохранена в файле «C:\WINDOWS\debug\dcdiag.txt».

При запросе DNS записи ресурса размещения службы (SRV), используемой для выяснения размещения контроллера домена для домена «nmedia.local» произошла ошибка:

Произошла ошибка: «DNS-имя не существует.»
(код ошибки: 0x0000232B RCODE_NAME_ERROR)

Опрос проводился для SRV-записи для _ldap._tcp.dc._msdcs.nmedia.local

К возможным причинам ошибки относятся:

1. SRV-запись DNS не зарегистрирована в DNS

2. Одна или несколько зон из указанных ниже не включает делегирования своей дочерней зоне

nmedia.local
local
. (корневая зона)

Для получения сведений об исправлении этой ошибки щелкните кнопку «Справка».


Вот файлы зон:


db.192
db.nmedia.local

/*Доп.зоны приведены в соответствие с зонами из инструкции выше*/
DomainDNSZones.nmedia.local
ForestDNSZones.nmedia.local
_msdcs.nmedia.local
_sites.nmedia.local
_tcp.nmedia.local
_udp.nmedia.local


вот SRV записи из главной зоны


_ldap._tcp.nmedia.local. SRV 0 100 389 dus-pdc-02.nmedia.local.
_ldap._udp.nmedia.local. SRV 0 100 389 dus-pdc-02.nmedia.local.
_kerberos._tcp.nmedia.local. SRV 0 100 88 dus-pdc-02.nmedia.local.
_kerberos._udp.nmedia.local. SRV 0 100 88 dus-pdc-02.nmedia.local.
_ldap._tcp.dc._msdcs.nmedia.local. SRV 0 100 389 dus-pdc-02.nmedia.local.
_kerberos._tcp.dc._msdcs.nmedia.local. SRV 0 100 88 dus-pdc-02.nmedia.local.
_autodiscover._tcp.nmedia.local. SRV 0 100 443 dus-pdc-02.nmedia.local.
_gc._tcp.nmedia.local. SRV 0 100 3268 dus-pdc-02.nmedia.local.



Если в сетевых настройках вендовых машин изменить днс на вендовый, то машины входят в домен без проблем.

Что я делаю не так?

 

kbu ()

Samba 3 - проблемы

Приветствую уважаемое комюнити!



Прошу подсказать где ошибки в конфиге самбы. Шары самбы открываются по имени, но не по ИП.


smbclient:

smbclient -L 192.168.5.14 -U dsh
Enter dsh's password:
session setup failed: NT_STATUS_ACCESS_DENIED




syslog

Mar 2 18:08:10 dus-ws-21 kernel: [ 1277.019887] Status code returned 0xc0000022 NT_STATUS_ACCESS_DENIED
Mar 2 18:08:10 dus-ws-21 kernel: [ 1277.019891] CIFS VFS: Send error in SessSetup = -13
Mar 2 18:08:10 dus-ws-21 kernel: [ 1277.020005] CIFS VFS: cifs_mount failed w/return code = -13




smbclient на самом сервере



smbclient -L localhost -U%
Domain=[NMEDIA] OS=[Unix] Server=[Samba 3.4.7]

Sharename Type Comment
--------- ---- -------
system Disk
fileserver Disk Fileserver
projekte Disk Fileserver
archive Disk Fileserver
ar3 Disk
ar4 Disk
ar5 Disk
ar6 Disk
san Disk Fileserver SAN-Backup
backup Disk
ar Disk
IPC$ IPC IPC Service (dus-file-03 Server)
Domain=[NMEDIA] OS=[Unix] Server=[Samba 3.4.7]

Server Comment
--------- -------
DUS-FILE-03 dus-file-03 Server
DUS-PDC-02

Workgroup Master
--------- -------
NMEDIA DUS-PDC-02




конфиг самбы

Load smb config files from /etc/samba/smb.conf
rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)
Processing section "[system]"
Processing section "[fileserver]"
Processing section "[projekte]"
Processing section "[archive]"
Processing section «[ar3]»
Processing section «[ar4]»
Processing section «[ar5]»
Processing section «[ar6]»
Processing section "[san]"
Processing section "[backup]"
Processing section "[ar]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

[global]
unix charset = utf8
display charset = utf8
workgroup = NMEDIA
realm = NMEDIA.LOCAL
server string = %h Server
interfaces = 192.168.5.14/255.255.255.0
security = ADS
map to guest = Bad Password
password server = 192.168.5.201
guest account = www-data
lanman auth = Yes
client NTLMv2 auth = Yes
map untrusted to domain = Yes
log file = /var/log/samba/smb.log.%m
smb ports = 139
name resolve order = bcast wins lmhosts hosts
unix extensions = No
keepalive = 60
load printers = No
printcap name = /dev/null
disable spoolss = Yes
machine password timeout = 0
os level = 66
local master = No
domain master = No
wins server = 192.168.5.8 # bind server
default service = projekte
time offset = 1
idmap backend = tdb2
idmap cache time = 1209600
idmap uid = 20000-29999
idmap gid = 20000-29999
winbind separator = /
winbind cache time = 600
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
winbind trusted domains only = Yes
winbind nested groups = No
winbind refresh tickets = Yes
read only = No
printing = bsd
print command = lpr -r -P'%p' %s
lpq command = lpq -P'%p'
lprm command = lprm -P'%p' %j
set directory = Yes
wide links = Yes
delete readonly = Yes
dos filetime resolution = Yes

[system]
path = /home/data
guest ok = Yes

[fileserver]
comment = Fileserver
path = /home/raid/haupt
create mask = 0777
force create mode = 0777
force security mode = 0777
directory mask = 0777
force directory mode = 0777
inherit permissions = Yes
guest ok = Yes

[projekte]
comment = Fileserver
path = /home/raid/haupt/Projekte
create mask = 0777
force create mode = 0777
force security mode = 0777
directory mask = 0777
force directory mode = 0777
inherit permissions = Yes
guest ok = Yes
copy = fileserver
dos filemode = Yes

[archive]
comment = Fileserver
path = /home/raid/haupt/Archive
create mask = 0777
force create mode = 0777
force security mode = 0777
directory mask = 0777
force directory mode = 0777
inherit permissions = Yes
guest ok = Yes
copy = fileserver

[ar3]
path = /home/raid/haupt/Archive/dus-conv-03/archive
create mask = 0777
force create mode = 0777
force security mode = 0777
directory mask = 0777
force directory mode = 0777
guest ok = Yes

[ar4]
path = /home/raid/haupt/Archive/dus-conv-04/archive
create mask = 0777
force create mode = 0777
force security mode = 0777
directory mask = 0777
force directory mode = 0777
guest ok = Yes

[ar5]
path = /home/raid/haupt/Archive/dus-conv-05/archive
create mask = 0777
force create mode = 0777
force security mode = 0777
directory mask = 0777
force directory mode = 0777
guest ok = Yes

[ar6]
path = /home/raid/haupt/Archive/dus-conv-06/archive
create mask = 0777
force create mode = 0777
force security mode = 0777
directory mask = 0777
force directory mode = 0777
guest ok = Yes

[san]
comment = Fileserver SAN-Backup
path = /home/san
create mask = 0777
force create mode = 0777
force security mode = 0777
directory mask = 0777
force directory mode = 0777
inherit permissions = Yes
guest ok = Yes
copy = fileserver

[backup]
path = /home/raid/haupt/Backup

[ar]
path = /home/raid/haupt/Archive/dus-conv/archive
create mask = 0777
force create mode = 0777
directory mask = 0777
force directory mode = 0777
guest ok = Yes



при попытке маунта


sudo mount.cifs //192.168.5.14/projekte /mnt -o username=dsh
Password for dsh@//192.168.5.14/projekte:
mount error(13): Permission denied
Refer to the mount.cifs(8) manual page (e.g. man mount.cifs)



За ранее большое спасибо!!!

 

kbu ()

Какой лучше монитор выбрать?

Есть два претендента на покупку:

DELL U2414H
DELL U2415

Какой лучше выбрать?

Спасибо!

 

kbu ()

Прошу покритиковать мое приложение

Приветствую уважаемое комюнити!

Прошу покритиковать мое приложение «Склерозник» :) для похода в магазин.

Однажды понадобилось похожее приложение, просмотрел парочку, но ни одно не подошло, решил написать свое и вот что получилось:

https://play.google.com/store/apps/details?id=com.shvedchenko.skleroshop


Большое спасибо!

kbu ()

RSS подписка на новые темы