Сообщения manik207

Распознать через tesseract, но исключить спецсимволы из распознанного.

Форум — Admin

Есть несколько картинок в директории. На картинках - текст и картинка. Их нужно распознать утилитой tesseract, присвоить каждой из них имя, которое распозналось с этой картинки.

Т.е. каждый файл нужно распознать и назвать в соответствии с текстом в нем. А потом перекинуть на винду, чтобы винда при этом не ругалась на нечитабельные символы.

Для этого написан скрипт (взяла отсюда, тему изучила на предмет соответствия моим нуждам):

#!/bin/sh
for filename in *.jpg; do
newfilename=$(tesseract "$filename" stdout -l rus)
mv "$filename" "$newfilename".jpg
done

Скрипт работает, распознает, переводит на русский и присваивает русские названия. Но после выполнения скрипта вывод такой:

Слишком длинное имя файла (для одного из файлов - текст действительно большой в картинке, а распозналось всё)
Detected 9 diacritics

При распознавании, насколько я поняла, распознаются спецсимволы, которых нет в картинке, а чаще - спецсимволы из разных кодировок. Пример:

—®—   нвдгтигд-еп. jpg

При этом после пробелов тож есть какие-то неотображаемые символы

Вопрос 1. Как указать в скрипте, чтобы при распознавании распознавать только русские буквы в кодировке UTF8? Или исключать все остальные, кроме русских/английских?

Вопрос 2. Можно как-то указать, чтобы сильно длинные имена файлов обрезались до 150 символов, например? Если можно, то как?

bash, tesseract

manik207
(19.03.19 10:18:37 MSK)

14 комментариев

Скорость обмена данными между клиентами внутри OpenVPN через SVN

Форум — Admin

Есть VPS с OpenVPN на Centos 7. Скорость на VPS - 100Mbit

Есть два виндовых клиента, оба на вин7, пока на одном IP, но будут и другие на других IP. Канал - 100Mbit, тариф - до 40Mbit.

Цель VPN - объединение компов в сеть для обмена файлами. Нужна высокая скорость копирования между клиентами внутри VPN. Сейчас скорость копирования файлов между компами в локалке - 6МБ, а между клиентами OpenVPN - 500КБ/с.

Настроила скорость между сервером и клиентами путем увеличения максимального размера буфера (в sysctl.conf).

Замеры скорости через iperf.

От клиентов на вин7 до сервера - ~40 Mbit (как по VPN, так и без него).

От сервера до клиентов вин7 ~ 20 Mbit (опять же, как по VPN, так и без него,

Между клиентами:

Без VPN (в локалке) ~40 Мбит,
В VPN - 7-10Мбит.

Т.е. iperf измеряет на своём стандартном порту 5201 и скорость между клиентами внутри VPN ~ 10Мбит, а реальная при копировании - 500КБ, иногда с повышениями до 1МБ/с (прямое копирование между клиентскими виндами - 6МБ/с).

Еще интересней ситуация обстоит с SVN-Сервером, который тоже должен работать по VPN.

Собственно, ради SVN всё и затевалось с OpenVPN

На одной винде стоит сервер VisualSVN, на другой винде - клиент Tortoise (клиенты - те же, сеть - та же). Тестирую через импорт большого файла с клиента на сервер.

Без VPN - скорость отправки 3,5 МБ
В VPN - 150-200 КБ.

Конфиг сервера OpenVPN и клиента (конфиги обоих клиентов идентичны):

cat /etc/openvpn/server.conf
port 4545
proto udp
dev tun
tls-auth ta.key 0
tls-server
tls-timeout 120
cipher AES-256-CBC
server 10.0.0.0 255.255.255.0
route 192.168.1.1 255.255.255.255
push "dhcp-option DNS 10.0.0.1"
ifconfig-pool-persist ipp.txt
client-to-client
client-config-dir /usr/local/etc/ccd
keepalive 10 120
comp-lzo
tun-mtu 1500
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3
user nobody
group nobody
sndbuf 524288
rcvbuf 524288
push "sndbuf 524288"
push "rcvbuf 524288"
#далее идут сертификаты и ключи

Конфиг клиента:

client
proto udp
remote-cert-tls server
tls-auth ta.key 1
dev tun
remote XX.XX.XX.XX 4545
cipher AES-256-CBC
auth-nocache
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind

Вопрос: куда в конфиг сервера или клиентов что прописать, чтобы при копировании файлов между клиентами (через SVN и по сети) приблизилось с скорости, определяемой iperf?

openvpn, svn

manik207
(25.12.18 20:23:52 MSK)

6 комментариев

Как проверить работу TRIM на SSD

Форум — Admin

Добрый вечер, ставлю на SSD 256гБ Centos 7. Разделы задала по дефолту.

Отключила swap через fstab.

Хочу проверить, что TRIM запущен и работает, по всем мануалам - в fstab'е разделы должны быть примонтированы с discard

У меня в fstab всё по дефолту:

# cat /etc/fstab

/dev/mapper/centos01-root /                       xfs     defaults        0 0
UUID=e8b8512f-6d63-4dbb-a352-d54c5ad04c3a /boot                   xfs     defaults        0 0
/dev/mapper/centos01-home /home                   xfs     defaults        0 0
#/dev/mapper/centos01-swap swap                    swap    defaults        0 0
tmpfs   /var/cache/yum tmpfs   defaults # добавила из мануала - весь кэш перенести в ОЗУ

Нашла, что можно проверить TRIM, выполнив команду:

# fstrim / -v
/: 48,9 GiB (52531802112 bytes) trimmed
# fstrim /home -v
/home: 171,8 GiB (184425562112 bytes) trimmed

Это означает, что TRIM работает или может работать?

ssd, trim

manik207
(28.11.18 21:02:31 MSK)

41 комментарий

VPN-сервер не присваивает статичный IP виндовому клиенту. Линуксовому - присваивает

Форум — Admin

Есть openvpn-сервер на Centos 7. Его конфиг:

cat /etc/openvpn/server.conf
port 11000
proto udp
dev tun
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/VPN-October.crt
key /etc/openvpn/server/VPN-October.key
dh /etc/openvpn/server/dh2048.pem
tls-auth /etc/openvpn/server/ta.key 0
tls-server
tls-timeout 120
cipher AES-256-CBC
server 10.0.0.0 255.255.255.0
route 192.168.1.1 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
client-config-dir /usr/local/etc/ccd
keepalive 10 120
comp-lzo
tun-mtu 1500
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3
user nobody
group nobody

В директорию с клиентскими настройками лежит файл с адресом для конкретного клиента:

cat /usr/local/etc/ccd/client
ifconfig-push 10.0.0.10 10.0.0.09

Сертификаты и ключи из конфига лежат в указанных местах.

Есть клиент на винде, его конфиг:

client
proto udp
remote-cert-tls server
tls-auth ta.key 1
dev tun
remote XX.XX.XX.XXX
port 11000
cipher AES-256-CBC
auth-nocache
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind

Клиент замечательно подключается к серверу. Но IP-адрес - только ближайший 10.0.0.6. Лог при этом такой:

Tue Oct 23 20:41:56 2018 OpenVPN 2.4.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Sep 26 2017
Tue Oct 23 20:41:56 2018 Windows version 6.1 (Windows 7) 64bit
Tue Oct 23 20:41:56 2018 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Enter Management Password:
Tue Oct 23 20:41:57 2018 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Oct 23 20:41:57 2018 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Oct 23 20:41:57 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]XX.XX.XX.XXX:11000
Tue Oct 23 20:41:57 2018 UDP link local: (not bound)
Tue Oct 23 20:41:57 2018 UDP link remote: [AF_INET]XX.XX.XX.XXX:11000
Tue Oct 23 20:41:57 2018 VERIFY OK: depth=1, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=Fort-Funston CA, name=EasyRSA, emailAddress=me@myhost.mydomain
Tue Oct 23 20:41:57 2018 VERIFY KU OK
Tue Oct 23 20:41:57 2018 Validating certificate extended key usage
Tue Oct 23 20:41:57 2018 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Tue Oct 23 20:41:57 2018 VERIFY EKU OK
Tue Oct 23 20:41:57 2018 VERIFY OK: depth=0, C=US, ST=CA, L=SanFrancisco, O=Fort-Funston, OU=MyOrganizationalUnit, CN=VPN-October, name=EasyRSA, emailAddress=me@myhost.mydomain
Tue Oct 23 20:41:57 2018 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Tue Oct 23 20:41:57 2018 [VPN-October] Peer Connection Initiated with [AF_INET]XX.XX.XX.XXX:11000
Tue Oct 23 20:41:58 2018 Data Channel: using negotiated cipher 'AES-256-GCM'
Tue Oct 23 20:41:58 2018 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Tue Oct 23 20:41:58 2018 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Tue Oct 23 20:41:58 2018 open_tun
Tue Oct 23 20:41:58 2018 TAP-WIN32 device [Подключение по локальной сети 2] opened: \\.\Global\{7C109FB5-CF23-4F63-B80A-F75CD14A6BAB}.tap
Tue Oct 23 20:41:58 2018 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.0.0.6/255.255.255.252 on interface {7C109FB5-CF23-4F63-B80A-F75CD14A6BAB} [DHCP-serv: 10.0.0.5, lease-time: 31536000]
Tue Oct 23 20:41:58 2018 Successful ARP Flush on interface [20] {7C109FB5-CF23-4F63-B80A-F75CD14A6BAB}
Tue Oct 23 20:41:58 2018 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Tue Oct 23 20:42:03 2018 Initialization Sequence Completed

На точно таком же сервере до этого работало присвоение статичного IP на виндовом клиенте (этом же), сейчас - нет. Конфиги делаю одинаковыми, результат - разный.

Пробовала сделать еще один сертификат для линуксовского клиента, создаем сертификат, добавляем в /usr/local/etc/ccd/client2018092107 запись, замечательно подключается с указанным IP. Логи подключения:

окт 23 21:03:50 client-centos openvpn[10700]: Tue Oct 23 21:03:50 2018 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
окт 23 21:03:50 client-centos openvpn[10700]: Tue Oct 23 21:03:50 2018 [VPN-October] Peer Connection Initiated with [AF_INET]XX.XX.XX.XXX:11000
окт 23 21:03:51 client-centos openvpn[10700]: Tue Oct 23 21:03:51 2018 Data Channel: using negotiated cipher 'AES-256-GCM'
окт 23 21:03:51 client-centos openvpn[10700]: Tue Oct 23 21:03:51 2018 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
окт 23 21:03:51 client-centos openvpn[10700]: Tue Oct 23 21:03:51 2018 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
окт 23 21:03:51 client-centos openvpn[10700]: Tue Oct 23 21:03:51 2018 TUN/TAP device tun0 opened
окт 23 21:03:51 client-centos openvpn[10700]: Tue Oct 23 21:03:51 2018 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
окт 23 21:03:51 client-centos openvpn[10700]: Tue Oct 23 21:03:51 2018 /sbin/ip link set dev tun0 up mtu 1500
окт 23 21:03:51 client-centos openvpn[10700]: Tue Oct 23 21:03:51 2018 /sbin/ip addr add dev tun0 local 10.0.0.14 peer 10.0.0.13
окт 23 21:03:51 client-centos openvpn[10700]: Tue Oct 23 21:03:51 2018 Initialization Sequence Completed

Конфиг сентосного клиента:

# cat /etc/openvpn/client-centos.conf
client
proto udp
remote-cert-tls server
tls-auth ta.key 1
dev tun
remote XX.XX.XX.XXX 11000
cipher AES-256-CBC
auth-nocache
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind

Куда посмотреть, чтобы найти косяк?

centos, ip, openvpn, windows

manik207
(23.10.18 21:13:59 MSK)

20 комментариев

Проверка правильности выполнения команды в bash

Форум — General

Есть выходные данные с UPS - подключён ли он к сети или нет. Нужен скрипт, который будет ежеминутно проверять вывод статуса UPS. Если статус ONLINE, то всё в порядке. Если статус OFFLINE - через 10 минут необходимо выполнить команду shutdown

Какие варианты пока пришли мне:

1. Засунуть скрипт в cron, и выполнять раз в минуту. Если статус плохой, отправить команду запуска другого скрипта, который со sleep'ом 10 минут ещё раз проверит статус, и если всё также плохо, от'shutdown'ит машину.

2. Скрипт проводит ежеминутную проверку и при обнаружении проблемы выводит единичку. Через минуту - следующую единичку суммирует к первой. При накоплении десяти единичек, выводит машину в shutdown.

Это на уровне логики. Какими командами это реализовать:

1. Проверяем статус UPS (upsc ups@localhost ups.status), если вывод равен OL CHRG - UPS подключен, вывод 0, если вывод равен OB DISCHRG LB - UPS без питания - вывод 1.

#!/bin/bash
stat=$(upsc ups@localhost ups.status) # 1. Вывести статус подключения UPS к сети, присвоить переменную stat
if [[ $stat = OB DISCHRG LB]] # 2. Если значение переменной равно  OB DISCHRG LB
then 
    echo (i=1) # Вывести единицу
fi

Проверила, не пойму как вывести 1 с присвоением переменной i

2. Ставим счетчик на выведенные единицы, и когда счетчик насчитает 10 единиц, т.е. питание не восстановится за 10 минут, выполнить команду отключения компа:

for ((i=1; i < 10; i++))
do
echo $i
sleep 60
done
shutdown now

Если питание восстановилось за это время и вместо единицы получен ноль, то обнулить счетчик.

Как это скрестить?

bash

manik207
(15.10.18 20:33:50 MSK)

22 комментария

Проброс 6ТБ винта целиком на виртуалку Windows XP в KVM

Форум — Admin

Есть физический комп с CentOS 7, на нем поднят KVM, в нем - несколько виртуалок (CentOS и WinXP).

К физическому компу подключен жесткий диск, на 6ТБ, его нужно целиком пробросить на WinXP. Пробрасываю по этой инструкции.

 # lsblk
NAME              MAJ:MIN RM   SIZE RO TYPE MOUNTPOINT
sda                 8:0    0   5,5T  0 disk
└─sda1              8:1    0   5,5T  0 part

# virsh attach-disk virtual_mashine /dev/sda vdb
Диск подключен успешно

Если на виртуалку с Centos 7 пробрасывать, диск видится сразу.

На ВинХР - не видит. Эта же винда стоит на физической машине, винт появляется сразу в Диспетчере устройств, дальше - отработанная процедура подцепляния именно диска большого объема.

Т.е. на физической винду винт обнаруживается в диспетчере устройств, на виртуальной - нет.

Посмотрела, ничего дополнительного на виртуалку с Centos'ом не проброшено.

Винт на виртуальной виндеХР очень желателен. Есть варианты?

hdd, kvm, windows

manik207
(08.10.18 19:55:58 MSK)

37 комментариев

Помогите разобраться с отключением UPS Powercom через nut

Форум — Admin

Задачи две:

1. Сигнал от беспребойника при определенном уровне заряда батареи

2. Завершение работы компа при достижении определенного уровня заряда батареи.

#/etc/ups/ups.conf
[ups]
        driver = usbhid-ups
        port = auto
        desc = "Powercom wow_1000_u"
default.battery.voltage.high = 13.60
default.battery.voltage.low = 10.60
default.battery.voltage.nominal = 12.00
ignorelb
override.battery.charge.low = 67
override.battery.runtime.low = 10
override.battery.charge.warning = 66

upsc ups@localhost
battery.charge: 63 - текущий заряд батареи в %
battery.charge.low: 67 - критический заряд батареи в %
battery.charge.warning: 66 - опасный заряд батареи в % (д.б больше низкого)
battery.date: 2010/01/01
battery.runtime: 1152
battery.runtime.low: 10 - время в секундах, через которое отключается комп после низкого заряда батареи
battery.type: PbAc
battery.voltage.high: 13.60 - напряжение в батарее, влияющее на расчет уровня заряда батареи
battery.voltage.low: 10.60
battery.voltage.nominal: 12.00
device.mfr: POWERCOM Co.,LTD
device.model:   UPS  WOW-1000U FW3.A4
device.serial: 3A4-0000-0001
device.type: ups
driver.flag.ignorelb: enabled
driver.name: usbhid-ups
driver.parameter.pollfreq: 30
driver.parameter.pollinterval: 2
driver.parameter.port: auto
driver.version: 2.7.2
driver.version.data: PowerCOM HID 0.4
driver.version.internal: 0.38
input.frequency: 0.0
input.voltage: 0.0
input.voltage.nominal: 220
output.frequency: 50.0
output.voltage: 226.0
output.voltage.nominal: 220
ups.beeper.status: enabled
ups.date: 2010/01/01
ups.delay.shutdown: 20
ups.load: 34
ups.mfr: POWERCOM Co.,LTD
ups.model:   UPS  WOW-1000U FW3.A4
ups.productid: 00a4
ups.serial: 3A4-0000-0001
ups.status: OB DISCHRG LB
ups.test.result: Done and passed
ups.timer.shutdown: 0
ups.vendorid: 0d9f

# /etc/ups/upsmon.conf
MONITOR ups@localhost 1 user pass master
MINSUPPLIES 1
SHUTDOWNCMD "/sbin/shutdown -H +0"
POLLFREQ 5
POLLFREQALERT 5
HOSTSYNC 15
DEADTIME 15
POWERDOWNFLAG /etc/killpower
NOTIFYFLAG ONLINE SYSLOG+WALL
NOTIFYFLAG ONBATT SYSLOG+WALL
NOTIFYFLAG LOWBATT SYSLOG+WALL
NOTIFYFLAG SHUTDOWN SYSLOG+WALL
RBWARNTIME 43200
NOCOMMWARNTIME 300
FINALDELAY 0

При снижении текущего уровня батареи ниже критического (battery.charge.low = 66) комп не выключается. И не подает сигнал. Ниже уровень батареи не хочу опускать, на нее еще один комп запитан.

Команду /sbin/shutdown -H +0 отдельно проверила, комп после нее отключается.

nut, ups

manik207
(25.09.18 18:14:32 MSK)

21 комментарий

Переменная даты в комментарии к ревизии в SVN

Форум — Admin

Есть клиент SVN на Centos 7.

Настроена отправка ревизий по крону каждые ** минут. В крон запихнут скрипт из набора команд:

cd /opt/redmine1/files
svn add * --force --username user --password password
svn commit --username user --password password --force-log -m 'Комментарий'
svn up --force

Вместо Комментарий хочу поставить переменную даты, (без -m и параметра, команда выдает ошибку).

Пробовала в комментарий вставлять date, $date `date "+%Y-%m-%d %H:%M:%S"` - последний вариант нарушал синтаксисов выполнение команды.

Как можно вставить переменную даты в комментарий SVN-ревизии?

svn

manik207
(20.09.18 22:17:53 MSK)

7 комментариев

DNS в Openvpn: как указать для всех клиентов принудительно?

Форум — Admin

Архитектура сети: - openvpn-сервер на Centos7 (10.0.0.1) - Клиент на Centos 7 (10.0.0.122 - Клиент на Centos 7 (10.0.0.106 - Клиент на Windows 7 (10.0.0.150) - DNS-сервер на bind (10.0.0.122) + зона и домен.

Клиент с Вин7 успешно пингует domen.zona, заходит на сервисы на нем, клиенты Centos'ные - не пингуют, ping: domen.zona: Имя или служба не известны.

Настройки клиентов на Винде и на Centos'ах - одинаковые, конфиги - ниже

Как сделать так, чтобы Сентосные клиенты принудительно получали настройки DNS при подключении к VPN, если в настройках сервера OpenVPN уже есть строка push "dhcp-option DNS 10.0.0.122" # мастер

Конфиги:

 10.0.0.1# cat /etc/openvpn/server.conf
port 13888
proto udp
dev tun
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/VPN.crt
key /etc/openvpn/server/VPN.key
dh /etc/openvpn/server/dh2048.pem
tls-auth /etc/openvpn/server/ta.key 0
tls-server
tls-timeout 120
cipher AES-256-CBC
server 10.0.0.0 255.255.255.0
route 10.0.0.1 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
client-config-dir /usr/local/etc/ccd
keepalive 10 120
comp-lzo
tun-mtu 1500
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
verb 3
duplicate-cn
push "dhcp-option DNS 10.0.0.122"# мастер

10.0.0.106 (10.0.0.122 - такой же конфиг) # cat /etc/openvpn/client106.conf

client
proto udp
remote-cert-tls server
tls-auth ta.key 1
dev tun
remote My_IP 13888
cipher AES-256-CBC
auth-nocache
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind
<tls-auth>
...
</tls-auth>
<ca>
...
</ca>
<key>
...
</key>
<cert>
..
</cert>

10.0.0.150: \client150.ovpn

client
proto udp
remote-cert-tls server
tls-auth ta.key 1
dev tun
remote My_IP 13888
cipher AES-256-CBC
auth-nocache
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind

<tls-auth>
...
</tls-auth>
<ca>
..
</ca>
<key>
...
</key>
<cert>
...
</cert>

Да, на OpenVPN-сервере для каждого клиента прописываются индивидуальные настройки. Тут они тоже одинаковы для всех клиентов:

 10.0.0.1# cat /usr/local/etc/ccd/client150
ifconfig-push 10.0.0.150 10.0.0.149

10.0.0.1# cat /usr/local/etc/ccd/client106
ifconfig-push 10.0.0.106 10.0.0.105

10.0.0.1# cat /usr/local/etc/ccd/client122
ifconfig-push 10.0.0.122 10.0.0.121

bind, dns, openvpn

manik207
(02.09.18 20:43:40 MSK)

10 комментариев

Как удалить все разделы на 6ТБ винте и создать один новый? (parted, fdisk и cfdisk)

Форум — Admin

Доброго дня. Есть 500ГБ винт (с него и работаю) и есть 6ТБ винт (на нем раньше стоял Centos с разделами root, swap и home). Задача озвучена в теме: снести с него всё и один новый раздел сделать - на 6ТБ (если есть ограничения - подскажите). Винт этот будет монтироваться к текущему Centos 7.

Логические диски удаляла с 6ТБ винта так:

# lsblk
NAME                     MAJ:MIN RM   SIZE RO TYPE MOUNTPOINT
sda                        8:32   0 465,8G  0 disk
├─sda1                     8:33   0     1G  0 part /boot
└─sda2                     8:34   0 464,8G  0 part
  ├─centos00-root        253:0    0    50G  0 lvm  /
  ├─centos00-swap        253:1    0  15,6G  0 lvm  [SWAP]
  └─centos00-home        253:8    0 399,1G  0 lvm  /home
sdb                        8:16   0   5,5T  0 disk
├─sdb1                     8:17   0     1M  0 part
├─sdb2                     8:18   0     1G  0 part
└─sdb3                     8:19   0   5,5T  0 part
  ├─centos-root 253:2    0   2,5T  0 lvm
  ├─centos-home 253:3    0     3T  0 lvm
  └─centos-swap 253:4    0  15,6G  0 lvm

# parted /dev/sdb
GNU Parted 3.1
Используется /dev/sdb
Добро пожаловать в GNU Parted! Наберите 'help' для просмотра списка команд.
(parted)  mklabel
Новый тип метки диска? msdos
Предупреждение: Существующая метка диска на  /dev/sdb будет уничтожена и все данные на этом диске будут утеряны. Вы хотите продолжить?
Да/Yes/Нет/No? yes
Ошибка: Partition(s) 3 on /dev/sdb have been written, but we have been unable to inform the kernel of the change, probably because it/they are in use.  As a result, the
old partition(s) will remain in use.  You should reboot now before making further changes.
Игнорировать/Ignore/Отменить/Cancel? Cancel
(parted) q

# lsblk
NAME                     MAJ:MIN RM   SIZE RO TYPE MOUNTPOINT
sdc                        8:32   0 465,8G  0 disk
├─sda1                     8:33   0     1G  0 part /boot
└─sda2                     8:34   0 464,8G  0 part
  ├─centos00-root        253:0    0    50G  0 lvm  /
  ├─centos00-swap        253:1    0  15,6G  0 lvm  [SWAP]
  └─centos00-home        253:8    0 399,1G  0 lvm  /home
sdb                        8:16   0   5,5T  0 disk
└─sdb3                     8:19   0   5,5T  0 part
  ├─centos-root 253:2    0   2,5T  0 lvm
  ├─centos-home 253:3    0     3T  0 lvm
  └─centos-swap 253:4    0  15,6G  0 lvm

Ни разделы, ни сам диск примонтированы не были. После перезагрузки картина была такой:

sda                 8:32   0 465,8G  0 disk
├─sda1              8:33   0     1G  0 part /boot
└─sda2              8:34   0 464,8G  0 part
  ├─centos00-root 253:0    0    50G  0 lvm  /
  ├─centos00-swap 253:1    0  15,6G  0 lvm  [SWAP]
  └─centos00-home 253:2    0 399,1G  0 lvm  /home
sdb                 8:16   0   5,5T  0 disk

Т.е. вроде, всё ок. Но при создании нового логического диска через cfdisk /dev/vdb при отображении [Вывести] - что уже есть на диске - картина такая:

         ---Starting----      ----Ending-----    Start     Number of
 # Flags Head Sect  Cyl   ID  Head Sect  Cyl     Sector    Sectors
-- ----- ---- ---- ----- ---- ---- ---- ----- ----------- -----------
 1  0x00    0    0     0 0x00    0    0     0           0           0
 2  0x00    0    0     0 0x00    0    0     0           0           0
 3  0x00    0    0     0 0x00    0    0     0           0           0
 4  0x00    0    0     0 0x00    0    0     0           0           0

И новый логический диск создается под именем sdb5, с максимальным размером 1,5ТБ.

Если создавать Основной раздел - то размер при создании и в таблице - 6ТБ, но по факту - тоже 1,5ТБ:

Таблица разделов для /dev/vdb

         ---Starting----      ----Ending-----    Start     Number of
 # Flags Head Sect  Cyl   ID  Head Sect  Cyl     Sector    Sectors
-- ----- ---- ---- ----- ---- ---- ---- ----- ----------- -----------
 1  0x00    1    1     0 0x8E   15   63 11628020          63 11721045105
 2  0x00    0    0     0 0x00    0    0     0           0           0
 3  0x00    0    0     0 0x00    0    0     0           0           0
 4  0x00    0    0     0 0x00    0    0     0           0           0

# lsblk
...
sdb             252:16   0  5,5T  0 disk
└─sdb1          252:17   0  1,5T  0 part

Через fdisk тоже создается максимум на 1,5ТБ. Новые разделы создаются 400кб и не отображаются.

Вопросы:

1. Как проверить удалились ли мои данные с 6ТБ винта? Как удалить все разделы, если не удалились?

2. В [cfdisk] отображаются доступные разделы диска (как слоты) или неудаленные данные?

3. Как в моей ситуации создать один логический диск размером 5,5 ТБ на весь винт с фс LVM?

fdisk, parted

manik207
(13.08.18 15:46:14 MSK)

22 комментария

Icecast на Centos 7 работает, а ices - никак не запускается.

Форум — Admin

Добрый вечер. Установила icecast через yum install, запускается работает - забирает потоки с других радиостанций, и выдает за мои (конфиги ниже). ices скачала архивом, собрала, конфиги поправила (разбираюсь не очень, взяла из примера). К нему собрала кодек lame-3.100.

Конфиг ices:

# cat /etc/ices/ices.xml
<?xml version="1.0"?>
<ices:Configuration xmlns:ices="http://www.icecast.org/projects/ices">
<Playlist>
 <File>/etc/ices/playlist.rock.txt</File>
 <Randomize>1</Randomize>
 <Type>builtin</Type>
 <Module>ices</Module>
</Playlist>
<Execution>
 <Background>1</Background>
 <Verbose>0</Verbose>
 <BaseDirectory>/etc/ices</BaseDirectory>
</Execution>
<paths>
    <logdir>/etc/ices</logdir>
</paths>
<logging>
    <accesslog>access.log</accesslog>
    <errorlog>error.log</errorlog>
    <loglevel>3</loglevel>
    <logsize>10000</logsize>
</logging>
<Stream>
 <Server>
       <Hostname>localhost</Hostname>
       <Port>8000</Port>
       <Password>blabla</Password>
       <Protocol>http</Protocol>
 </Server>

    <Mountpoint>/test</Mountpoint>
    <Name>Default stream</Name>
    <Genre>Default genre</Genre>
    <Description>Default description</Description>
    <URL>http://localhost:8000</URL>
    <Public>0</Public>
 <Bitrate>128</Bitrate>
 <Reencode>0</Reencode>
 <Channels>2</Channels>
</Stream>
</ices:Configuration>

  <Bitrate>128</Bitrate>
  <Reencode>0</Reencode>
  <Channels>2</Channels>
</Stream>
</ices:Configuration>


В /etc/ices/playlist.rock.txt перечислены списком файлы из директории /music/rock - файлы лефат и mp3, и ogg, и wav.

При запуске ices отображается:

# ices -c /etc/ices/ices.xml

Into the land of the dreaded daemons we go... (pid: 16476)

При этом ни в процессах ничего не появляется, ни в панели icecast.

Создаю файл сервиса:

# nano /etc/systemd/system/ices.service

[Unit]
Description=Ices Service
After=network.target
Requires=icecast.service

[Service]
Type=forking
PIDFile=/etc/ices/ices.pid
ExecStart=-/usr/local/bin/ices -c /etc/ices/ices.xml
ExecReload=/bin/kill -HUP $MAINPID
Restart=always

[Install]
WantedBy=multi-user.target

Перезапускаю systemctl daemon-reload

При запуске - ошибка:

# systemctl status ices.service -l
● ices.service - Ices Service
   Loaded: loaded (/etc/systemd/system/ices.service; enabled; vendor preset: disabled)
   Active: failed (Result: start-limit) since Пн 2018-07-30 20:35:19 MSK; 5s ago
  Process: 16535 ExecStart=/usr/local/bin/ices -c /etc/ices/ices.xml (code=exited, status=1/FAILURE)
 Main PID: 12302 (code=exited, status=127)

ices.service never wrote its PID file. Failing.
Failed to start Ices Service.
Unit ices.service entered failed state.
ices.service failed.
ices.service holdoff time over, scheduling restart.
start request repeated too quickly for ices.service
Failed to start Ices Service.
Unit ices.service entered failed state.
ices.service failed.

В логах ices.log:

...
Error opening 112.ogg: Error opening: 
Error opening 112.ogg: Error opening: 
Error opening 112.ogg: Error opening: 
Exiting after 10 consecutive errors.
Ices Exiting...
Logfile opened
...
Error opening 112.ogg: Error opening:
Error opening 112.ogg: Error opening: 
Error opening 112.ogg: Error opening: 
Exiting after 10 consecutive errors.
Ices Exiting...

Права на директорию с файлами - 755. Владелец - root. На сами аудиофайлы права такие:

# ls -la /music/rock
итого 10640
drwxr-xr-x 2 root root      51 июл 30 20:42 .
drwxr-xr-x 3 root root      18 июл 30 12:29 ..
-rwxrwxrwx 1 root root 1416376 июл 30 15:46 112.ogg
-rw-r--r-- 1 root root 1762501 июл 30 15:48 133.wav
-rw-r--r-- 1 root root 7709620 июл 30 20:25 244.mp3

Pid-файл создавала вручную (вычитала как предположительное решение), но и это не помогло.

Конфиг icecast'а - Насколько я поняла, специальную точку монтирования создавать не нужно, источник (ices) сам создаст, когда подключится по паролю:

# cat /etc/icecast.xml
<icecast>
   <limits>
       <clients>1000</clients>
       <sources>3</sources>
       <threadpool>5</threadpool>
       <queue-size>524288</queue-size>
       <client-timeout>30</client-timeout>
       <header-timeout>15</header-timeout>
       <source-timeout>10</source-timeout>
       <burst-on-connect>1</burst-on-connect>
       <burst-size>65535</burst-size>
   </limits>

   <authentication>
        <admin-user>admin</admin-user>
        <admin-password>bla</admin-password>
        <relay-password>blablabla</relay-password>
        <source-password>blabla</source-password>
   </authentication>

   <hostname>localhost</hostname>

   <listen-socket>
       <port>8000</port>
       <bind-address>192.168.1.165</bind-address>
        <shoutcast-mount>/test</shoutcast-mount>.
   </listen-socket>

<mount>
    <mount-name>/live</mount-name>
    <fallback-mount>/non-stop</fallback-mount>
    <fallback-override>1</fallback-override>
</mount>
   <fileserve>1</fileserve>
   <paths>
       <basedir>/usr/share/icecast</basedir>

       <logdir>/var/log/icecast</logdir>
       <webroot>/usr/share/icecast/web</webroot>
       <adminroot>/usr/share/icecast/admin</adminroot>
       <pidfile>/var/run/icecast/icecast.pid</pidfile>

       <alias source="/" dest="/status.xsl"/>
   </paths>

   <logging>
       <accesslog>access.log</accesslog>
       <errorlog>error.log</errorlog>
       <loglevel>3</loglevel>
       <logsize>10000</logsize>
   </logging>

   <security>
       <chroot>0</chroot>
       <changeowner>
           <user>icecast</user>
           <group>icecast</group>
       </changeowner>
   </security>
</icecast>

Помогите запустить ices.

ices

manik207
(30.07.18 21:12:57 MSK)

1 комментарий

Помогите подключить NUT с Powercom WOW 1000U

Форум — Admin

Есть UPS Powercom WOW-1000U

# lsusb
...
Bus 004 Device 002: ID 0d9f:00a4 Powercom Co., Ltd WOW Uninterruptible Power Supply (HID PDC)

Nut версии 2.7.2 под Centos 7.

# dmesg | tail
[99924.596286] usb 4-2: new low-speed USB device number 2 using ohci-pci
[99924.990367] usb 4-2: New USB device found, idVendor=0d9f, idProduct=00a4
[99924.990377] usb 4-2: New USB device strings: Mfr=3, Product=1, SerialNumber=2
[99924.990383] usb 4-2: Product:   UPS  WOW-1000U FW3.A4
[99924.990388] usb 4-2: Manufacturer: POWERCOM Co.,LTD
[99924.990393] usb 4-2: SerialNumber: 3A4-0000-0001
[99925.024491] hid-generic 0003:0D9F:00A4.0001: hiddev0,hidraw0: USB HID v1.00 Device [POWERCOM Co.,LTD    UPS  WOW-1000U FW3.A4 ] on usb-0000:00:12.1-2/input0

# cat /etc/ups/ups.conf
 [ups]
#driver = powercom
 driver = usbhid-ups
 port = auto
#port = /dev/usb/hiddev0

При запуске утилиты получаю ошибку:

# sudo upsdrvctl start
Network UPS Tools - UPS driver controller 2.7.2
Network UPS Tools - Generic HID driver 0.38 (2.7.2)
USB communication driver 0.32
No matching HID UPS found
Driver failed to start (exit status=1)

Нашла вариант запуска команды от рута:

# upsdrvctl -u root start ups
Network UPS Tools - UPS driver controller 2.7.2
Network UPS Tools - Generic HID driver 0.38 (2.7.2)
USB communication driver 0.32

На сколько поняла из форумов, дальше нужно запустить сервер:

# sudo service nut-server start
Redirecting to /bin/systemctl start nut-server.service
A dependency job for nut-server.service failed. See 'journalctl -xe' for details.

Мануалов толком не нашла, настраиваю по темам форумов, в т.ч. этого.

]# journalctl -xe
июл 16 19:17:57 apollo16 systemd[1]: Dependency failed for Network UPS Tools - power devices information
-- Subject: Ошибка юнита nut-server.service
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
--
-- Произошел сбой юнита nut-server.service.
--
-- Результат: dependency.
июл 16 19:17:57 apollo16 systemd[1]: Job nut-server.service/start failed with result 'dependency'.
июл 16 19:17:57 apollo16 systemd[1]: Unit nut-driver.service entered failed state.
июл 16 19:17:57 apollo16 systemd[1]: nut-driver.service failed.
июл 16 19:17:57 apollo16 polkitd[813]: Unregistered Authentication Agent for unix-process:18179:20416609

Это сам ups:

# lsusb -v -d 0d9f:00a4

Bus 004 Device 002: ID 0d9f:00a4 Powercom Co., Ltd WOW Uninterruptible Power Supply (HID PDC)
Device Descriptor:
  bLength                18
  bDescriptorType         1
  bcdUSB               1.10
  bDeviceClass            0 (Defined at Interface level)
  bDeviceSubClass         0
  bDeviceProtocol         0
  bMaxPacketSize0         8
  idVendor           0x0d9f Powercom Co., Ltd
  idProduct          0x00a4 WOW Uninterruptible Power Supply (HID PDC)
  bcdDevice            0.01
  iManufacturer           3 POWERCOM Co.,LTD
  iProduct                1   UPS  WOW-1000U FW3.A4
  iSerial                 2 3A4-0000-0001
  bNumConfigurations      1
  Configuration Descriptor:
    bLength                 9
    bDescriptorType         2
    wTotalLength           34
    bNumInterfaces          1
    bConfigurationValue     1
    iConfiguration          0
    bmAttributes         0xa0
      (Bus Powered)
      Remote Wakeup
    MaxPower              100mA
    Interface Descriptor:
      bLength                 9
      bDescriptorType         4
      bInterfaceNumber        0
      bAlternateSetting       0
      bNumEndpoints           1
      bInterfaceClass         3 Human Interface Device
      bInterfaceSubClass      0 No Subclass
      bInterfaceProtocol      0 None
      iInterface              0
        HID Device Descriptor:
          bLength                 9
          bDescriptorType        33
          bcdHID               1.00
          bCountryCode            0 Not supported
          bNumDescriptors         1
          bDescriptorType        34 Report
          wDescriptorLength     747
         Report Descriptors:
           ** UNAVAILABLE **
      Endpoint Descriptor:
        bLength                 7
        bDescriptorType         5
        bEndpointAddress     0x81  EP 1 IN
        bmAttributes            3
          Transfer Type            Interrupt
          Synch Type               None
          Usage Type               Data
        wMaxPacketSize     0x0008  1x 8 bytes
        bInterval             100
Device Status:     0x0002
  (Bus Powered)
  Remote Wakeup Enabled

Пробовала в настройка использовать другой порт и другой драйвер, но всегда были ошибки.

Теперь при повторном выполнение команды, появляется ошибка:

# sudo upsdrvctl -u root start ups
Network UPS Tools - UPS driver controller 2.7.2
Network UPS Tools - Generic HID driver 0.38 (2.7.2)
USB communication driver 0.32
Can't claim USB device [0d9f:00a4]: No such file or directory
Driver failed to start (exit status=1)

При изменении драйвера - ошибка другая:

# cat /etc/ups/ups.conf

[ups]
driver = powercom
port = auto

# upsdrvctl -u root start ups
Network UPS Tools - UPS driver controller 2.7.2
Network UPS Tools - PowerCom protocol UPS driver 0.14 (2.7.2)

Unable to open auto: No such file or directory

Things to try:

 - Check 'port=' in ups.conf

 - Check owner/permissions of all parts of path

Fatal error: unusable configuration
Driver failed to start (exit status=1)

Если порт поменять на определяемое устройство, выдает такое:

# cat /etc/ups/ups.conf

[ups]
driver = powercom
port = /dev/usb/hiddev0

# upsdrvctl -u root start ups
Network UPS Tools - UPS driver controller 2.7.2
Network UPS Tools - PowerCom protocol UPS driver 0.14 (2.7.2)

Unable to open /dev/usb/hiddev0: No such file or directory

Things to try:

 - Check 'port=' in ups.conf

 - Check owner/permissions of all parts of path

Fatal error: unusable configuration
Driver failed to start (exit status=1)

Для Powercom драйверов всего два. Подскажите, как подключить UPS?

centos, powercom, ups

manik207
(16.07.18 19:34:16 MSK)

19 комментариев

Исправление битых секторов badblocks+e2fsck: Устройство занято, хотя не примонтировано

Форум — Admin

Доброго дня! К физической машине подключено три диска: - 6ТБ (sdb) - 2ТБ (sda) - 500Гб (sdc)

На 6ТБ стоит Centos 7, с которого происходит загрузка.

Задача: проверить диск (500Гб) на битые сектора.

Примонтирован только sdb, остальных в mount нет, в /etc/fstab тоже

fdisk -l /dev/sdc

Disk /dev/sdc: 500.1 GB, 500107862016 bytes, 976773168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk label type: dos
Disk identifier: 0x000bbb59

Устр-во Загр     Начало       Конец       Блоки   Id  Система
/dev/sdc1   *        2048     1026047      512000   83  Linux
/dev/sdc2         1026048   976773119   487873536   8e  Linux LVM

blkid /dev/sdc*
/dev/sdc: PTTYPE="dos"
/dev/sdc1: UUID="14bb1978-293f-4de7-a620-36eb08ab605d" TYPE="xfs"
/dev/sdc2: UUID="Od1wHP-fiH6-V9sO-po68-4klA-g5VV-mGch9J" TYPE="LVM2_member"

# /etc/fstab
# Created by anaconda on Thu Jun 21 10:03:59 2018
#
# Accessible filesystems, by reference, are maintained under '/dev/disk'
# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info
#
/dev/mapper/centos_apollo16-root /                       xfs     defaults        0 0
UUID=d023ac6b-a3fd-453e-bb86-c0232e60b028 /boot                   xfs     defaults        0 0
/dev/mapper/centos_apollo16-home /home                   xfs     defaults        0 0
/dev/mapper/centos_apollo16-swap swap                    swap    defaults        0 0

Проверяю на битые сектора с записью в файлы, сначала диск целиком, потом только раздел:

 e2fsck -l /tmp/badblock.sdc /dev/sdc
badblocks /dev/sdc2 > /tmp/badblock.sdc2

После этого запускаю исправление диска с указанием битых секторов:

 e2fsck -l /tmp/badblock.sdc /dev/sdc
e2fsck 1.42.9 (28-Dec-2013)
/dev/sdc is in use.
e2fsck: Cannot continue, aborting.

Для раздела диска - аналогичная ошибка:

e2fsck -l /tmp/badblock.sdc2 /dev/sdc2
e2fsck 1.42.9 (28-Dec-2013)
/dev/sdc2 is in use.
e2fsck: Cannot continue, aborting.

При попытке проверить:

lsof |grep sdc
cat /proc/mounts | grep sdc

... выдаёт пустой результат.

Вопрос - как всё таки заблочить найденные бад-блоки?

badblocks, e2fsck, fdisk

manik207
(14.07.18 15:45:40 MSK)

10 комментариев

Пользователь OpenLDAP с минимальными правами

Форум — Admin

Есть стенд с OpenLDAP на Centos 7. Подключаю сервисы через phpldapadmin. Но пользователей создаю через ldif-файлы в консоли, привычней.

Сейчас подключаю стенд к zabbix для мониторинга. Нужен пользователь OpenLDAP, при помощи которого можно авторизовываться в веб-интерфейсе. при этом из-под пользователя не видно никаких объектов, т.е. прав кроме авторизации вообще не нужно. Что-то вроде вот такого набора:

dn: uid=Zabbix,ou=People,dc=domen,dc=ru
objectClass: (класс(ы), который позволяет корректно логиниться, но не дает доступа к другим объектам)
uid: zabbix
userPassword: {SSHA}R2q5b7HTB8tuTTPPEB78wlGWmZIRWz8C

Пробовала варианты posixAccount, top, account...

additional info: attribute 'userPassword' not allowed

или

additional info: no structural object class provided

Подскажите, какой вариант подойдет?

openldap, zabbix

manik207
(02.05.18 15:21:26 MSK)

6 комментариев

Триггер с Zabbix-сервера не срабатывает при неудачных попытках авторизации на Windows

Форум — Admin

Есть Zabbix-сервер 3.2 на Centos 7, настроена отбивка на почту при срабатываниях триггера, письма успешно приходят.

Настраиваю мониторинг логов входов и неуспешных попыток.

В элементах данных создала элемент

 Zabbix агент (активный)
Ключ: eventlog[Security,,,,4624|4625|4720|4725|4726|4738|4740|4781]
Тип информации: Журнал (лог)

В «Мониторинге - Последние данные», элемент отображается, логи с виндовского клиента подтягивает, есть событие, например, «Неудачный вход в систему» код 4625.

А триггеры не срабатывают. Триггер сделала один на всех, выражение вот такое:

{Comp:eventlog[Security,,,,4624|4625|4720|4725|4726|4738|4740|4781].logeventid(4624|4625|4720|4725|4726|4738|4740|4781)}=1

Экспериментирую, меняю параметры, стучусь по RDP. Один раз письмо пришло, больше не приходит.

Как подправить выражение триггера, чтобы отбивка по всем перечисленным событиям приходила?

trigger, zabbix

manik207
(26.04.18 13:14:52 MSK)

1 комментарий

Получение сертификата letsencrypt за haproxy

Форум — Admin

Есть два стенда за натом, оба на сентос 7:

1. стенд (1) с хапрокси и бекендом в виде nginx (на нем только лежат страницы ошибок, он же является дефолтным бекендом). Тут же стоит certbot (клиент lets’encrypt), в хапрокси настроено получение сертификатов на любой сайт. После расшифровки сертификата, отправляет запрос на второй стенд. Для получения сертификата использую специальный бекенд ( в конфиге ниже).

2. Стенд (2) со связкой nginx+apache. Инжинкс принимает на 80 порту, обрабатывает статику, и отправляет на апачевский 8080.

Задача – соединить два стенда на одной машине. Порты распределила так: хапрокси – 80, инджиниксу – 8070, апачу – 8080. Всё работает, но сертификат получить не могу. Ошибки – ниже.

Конфиги:

 cat /etc/haproxy/haproxy.cfg

[root@conf126 nginx]# cat /etc/haproxy/haproxy.cfg
#-------------------------
# Глобальные настройки
#-------------------------
global
  log         127.0.0.1 local2     # Лог конфигурации
  chroot      /var/lib/haproxy     # Запирает службы в её дериктории
  pidfile     /var/run/haproxy.pid
  maxconn     10000
  user        haproxy               # Haproxy запускается под пользователем и группой "haproxy"
  group       haproxy
  daemon                            # Запускается демоном
  stats socket /var/lib/haproxy/stats
  tune.ssl.default-dh-param 2048
  ssl-default-bind-ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
   ssl-default-bind-options no-sslv3 no-tls-tickets
   ssl-default-server-ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
   ssl-default-server-options no-sslv3 no-tls-tickets
defaults
  mode     
  log      global  
  option forwardfor
  option http-server-close
  option   httplog  
  option   dontlognull
  option   redispatch  
  retries   3 
  timeout http-request    10s
  timeout queue           1m
  timeout connect         
  timeout client          1m
  timeout server          1m
  timeout http-keep-alive 10s
  timeout check           10s
  maxconn                 3000
frontend http
bind :80
reqadd X-Forwarded-Proto:\ http
default_backend localhost
#----------------------------------
# certbot
acl letsencrypt-acl path_beg /.well-known/acme-challenge/
use_backend letsencrypt-backend if letsencrypt-acl

# test.domen.ru
use_backend test.domen.ru if { hdr_end(host) -i test.domen.ru }     { dst_port 80 }
#----------------------------------
frontend https
 bind :443
 http-request set-header X-SSL %[ssl_fc]
 http-request add-header X-Forwarded-Proto https if { ssl_fc }
 reqadd X-Forwarded-Proto:\ https
 default_backend localhost
#----------------------------------
backend localhost
server server1 127.0.0.1:8070
# test.domen.ru
backend test.domen.ru
server test.domen.ru 127.0.0.1:8070
# certbot
backend letsencrypt-backend
server letsencrypt 127.0.0.1:54321

 cat /etc/nginx/nginx.conf
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log crit;
include /usr/share/nginx/modules/*.conf;
###################################################
events {
   worker_connections 1024;
}
###################################################
http {
   log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                     '$status $body_bytes_sent  "$http_referer" '
                     '"$http_user_agent"  "$http_x_forwarded_for"';
   access_log  /var/log/nginx/access.log  main;
   server_names_hash_max_size 2048;
   server_names_hash_bucket_size 512;
##################################################
  server_tokens off;
  sendfile            on;
   tcp_nopush          on;
   tcp_nodelay         on;
   keepalive_timeout   65;
   types_hash_max_size 2048;
##################################################
   include             /etc/nginx/mime.types;
   default_type        application/octet-stream;
##################################################
gzip on;
gzip_min_length  1100;
gzip_buffers  4 32k;
gzip_types    text/plain application/x-javascript     text/xml text/css;
ignore_invalid_headers on;
client_header_timeout  3m;
client_body_timeout 3m;
client_header_buffer_size 4k;
client_max_body_size 1024m;
send_timeout     3m;
connection_pool_size  256;
client_body_buffer_size 4096k;
charset UTF-8;
#############################################
proxy_connect_timeout 3600s;
proxy_send_timeout 3600s;
proxy_read_timeout 3600s;
proxy_buffer_size 512k;
proxy_buffers 512 4096k;
proxy_busy_buffers_size 4096k;
proxy_temp_file_write_size 4096k;
##############################################
 large_client_header_buffers 4 64k;
 request_pool_size  4k;
 output_buffers   4 32k;
 postpone_output  1460;
include /etc/nginx/conf.d/*.conf;
}

cat /etc/nginx/conf.d/test.domen.ru.conf
server {
       listen       8070;
       server_name  test.domen.ru www.test.domen.ru;
       root /web/site/test.domen.ru;
       location / {
       }
}

ls -la /web/site
drwxr-xr-x 2 nginx nginx  24 апр 20 13:03 test.domen.ru

В логах инджиникса – чисто. При получении сертификата выдает ошибки:

 The following errors were reported by the server:

   Domain: test.domen.ru
   Type:   connection
   Detail: Fetching
   http://test.domen.ru/.well-known/acme-challenge/J2WyfEgZBH6C7qYcURdZG5yOB1mNe8b8F--Q36j4UBA:
   Timeout after connect (your server may be slow or overloaded)

   Domain: www.test.domen.ru
   Type:   connection
   Detail: Fetching
   http://www.test.domen.ru/.well-known/acme-challenge/0PuIG74SFcZ1pOvWq661XWgTBJnwBbGAKto4q_ByGfo:
   Timeout after connect (your server may be slow or overloaded)

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A/AAAA record(s) for that domain
   contain(s) the right IP address. Additionally, please check that
   your computer has a publicly routable IP address and that no
   firewalls are preventing the server from communicating with the
   client. If you're using the webroot plugin, you should also verify
   that you are serving files from the webroot path you provided.

Подскажите куда смотреть, чтобы сертификат получить? Домен доступен, в браузере отображается.

haproxy, letsencrypt, nginx

manik207
(20.04.18 16:21:46 MSK)

2 комментария

Не подключает php70 к связке apache+nginx

Форум — Admin

Добрый день.

На Centos7 установлена связка apache(2.4.6) + nginx(1.12.2) + php(5.5.38) - работает стабильно, при новых установках php нигде не прописываю дополнительно, ни в модулях, ни в настройках апача, подцепляется сам.

Устанавливаю ту же связку с php 7.0.27. PHPinfo при проверке в браузере выводит текст в виде кода. В error-логах апача:

 AH00557: httpd: apr_sockaddr_info_get() failed for conf143
AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1. Set the 'ServerName' directive globally to suppress this message
[Thu Mar 22 12:41:09.604916 2018] [auth_digest:notice] [pid 3071] AH01757: generating secret for digest authentication ...
[Thu Mar 22 12:41:09.605642 2018] [lbmethod_heartbeat:notice] [pid 3071] AH02282: No slotmem from mod_heartmonitor
[Thu Mar 22 12:41:09.608504 2018] [mpm_prefork:notice] [pid 3071] AH00163: Apache/2.4.6 (CentOS) configured -- resuming normal operations
[Thu Mar 22 12:41:09.608546 2018] [core:notice] [pid 3071] AH00094: Command line: '/usr/sbin/httpd -D FOREGROUND'
[Thu Mar 22 12:42:35.950740 2018] [mpm_prefork:notice] [pid 3071] AH00170: caught SIGWINCH, shutting down gracefully
[Thu Mar 22 12:42:37.029986 2018] [suexec:notice] [pid 3200] AH01232: suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
AH00557: httpd: apr_sockaddr_info_get() failed for conf143
AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1. Set the 'ServerName' directive globally to suppress this message
[Thu Mar 22 12:42:37.054423 2018] [auth_digest:notice] [pid 3200] AH01757: generating secret for digest authentication ...
[Thu Mar 22 12:42:37.055538 2018] [lbmethod_heartbeat:notice] [pid 3200] AH02282: No slotmem from mod_heartmonitor
[Thu Mar 22 12:42:37.059535 2018] [mpm_prefork:notice] [pid 3200] AH00163: Apache/2.4.6 (CentOS) configured -- resuming normal operations
[Thu Mar 22 12:42:37.059601 2018] [core:notice] [pid 3200] AH00094: Command line: '/usr/sbin/httpd -D FOREGROUND'
[Thu Mar 22 12:45:27.887675 2018] [mpm_prefork:notice] [pid 3200] AH00170: caught SIGWINCH, shutting down gracefully
[Thu Mar 22 12:45:28.987291 2018] [suexec:notice] [pid 3248] AH01232: suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
AH00557: httpd: apr_sockaddr_info_get() failed for conf143
AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1. Set the 'ServerName' directive globally to suppress this message
[Thu Mar 22 12:45:29.011737 2018] [auth_digest:notice] [pid 3248] AH01757: generating secret for digest authentication ...
[Thu Mar 22 12:45:29.012840 2018] [lbmethod_heartbeat:notice] [pid 3248] AH02282: No slotmem from mod_heartmonitor
[Thu Mar 22 12:45:29.016987 2018] [mpm_prefork:notice] [pid 3248] AH00163: Apache/2.4.6 (CentOS) configured -- resuming normal operations
[Thu Mar 22 12:45:29.017057 2018] [core:notice] [pid 3248] AH00094: Command line: '/usr/sbin/httpd -D FOREGROUND'
[Thu Mar 22 13:00:53.436382 2018] [mpm_prefork:notice] [pid 3248] AH00170: caught SIGWINCH, shutting down gracefully
[Thu Mar 22 13:00:54.538927 2018] [suexec:notice] [pid 3369] AH01232: suEXEC mechanism enabled (wrapper: /usr/sbin/suexec)
AH00557: httpd: apr_sockaddr_info_get() failed for conf143
AH00558: httpd: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1. Set the 'ServerName' directive globally to suppress this message
[Thu Mar 22 13:00:54.566613 2018] [auth_digest:notice] [pid 3369] AH01757: generating secret for digest authentication ...
[Thu Mar 22 13:00:54.568013 2018] [lbmethod_heartbeat:notice] [pid 3369] AH02282: No slotmem from mod_heartmonitor
[Thu Mar 22 13:00:54.573311 2018] [mpm_prefork:notice] [pid 3369] AH00163: Apache/2.4.6 (CentOS) configured -- resuming normal operations
[Thu Mar 22 13:00:54.573395 2018] [core:notice] [pid 3369] AH00094: Command line: '/usr/sbin/httpd -D FOREGROUND'

В php.ini заменила значения нескольких параметров в сторону увеличения: upload_max_filesize, max_input_time, post_max_size, memory_limit, max_execution_time

Критичных ошибок нет, оба сервера работают штатно.

Код для проверки PHPinfo:

<?php
 phpinfo(); 
 ?>

Php70 установила из репозиториев webstatic, проверила - установлен:

php -v
PHP 7.0.27 (cli) (built: Jan 14 2018 09:00:22) ( NTS )
Copyright (c) 1997-2017 The PHP Group
Zend Engine v3.0.0, Copyright (c) 1998-2017 Zend Technologies
    with Zend OPcache v7.0.27, Copyright (c) 1999-2017, by Zend Technologies

Веб-серверы оба перезагружены.

Есть особенность: апач работает от нестандартного пользователя, при изначальной установке для php 5.5 выдавала пользователю права на директорию /var/lib/php, в версии php7 - эта директория пуста. Директорий, принадлежащих по умолчанию пользователю apache нет, поменяла владельца на своего пользователя.

Подскажите, что еще проверить?

apache+nginx, php

manik207
(22.03.18 13:23:16 MSK)

1 комментарий

Отправка письма из командной строки с html-разметкой в сообщении и прикреплением файла

Форум — General

Добрый вечер.

Стенд: Centos 7. Установлен postfix, привязан аккаунт gmail'а. Письма отправляются и доходят до адресата.

Нужно отправить емайл из командной строки, чтобы тема была текстовая, тело сообщения - с html-разметкой (находится в файле 1.html), и прикреплено два файла (2.conf и 3.conf)

Прикрепляю два файла к обычному сообщению, приходит сообщение с файлами:

date|mail -s "Моя тема" -a 2.conf -a 3.conf mail@gmail.com

Помещаю содержимое файла 1.html в ТЕМУ сообщения (хотя нужно в тело сообщения), письмо приходит красивое, но без сообщения:

 mail -s "$(echo -e "Моя тема\nContent-Type: text/html")" mail@gmail.com  <  1.html

Если просто содержимое файла 1.html через cat вывести в сообщение, то html-разметка не развернется при получении письма...

cat '1.html'|mail -s "Моя тема" -a 2.conf -a 3.conf mail@gmail.com

А вот как скрестить два работающих решения...?

html, почта

manik207
(15.03.18 20:09:30 MSK)

21 комментарий

Easy-RSA версия 3.0 - где находятся pkitools и другие оболочки?

Форум — General

Подскажите, при установке на Centos 7, раньше устанавливалась версия easy-rsa 2.0. Из /usr/share/easy-rsa/2.0 копировала все утилиты, всё работало. Сейчас на новой машине ставлю - версия 3.0 и утилит нет. Прочитала документацию - выполните ./easyrsa init-pki... Команды нет... Вышла на уровень выше, выполнила, тоже команды нет.

Всё выполняю из директории /usr/share/easy-rsa/3.0, прописала vars

export EASY_RSA="`pwd`"
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`
export KEY_DIR="$EASY_RSA/keys"
echo NOTE: If you run ./clean-all, I will be doing a  rm -rf on $KEY_DIR
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"
export KEY_SIZE=2048
export CA_EXPIRE=3650
export KEY_EXPIRE=3650
export KEY_COUNTRY="US"
export KEY_PROVINCE="CA"
export KEY_CITY="SanFrancisco"
export KEY_ORG="Fort-Funston"
export KEY_EMAIL="me@myhost.mydomain"
export KEY_OU="MyOrganizationalUnit"
export KEY_NAME="EasyRSA"

Выполнила

source ./vars

По имеющимся ранее инструкциям всё работало.. Теперь нужно быстро поднять, начинаю тупить..

Подскажите, как это теперь работает?

easy-rsa

manik207
(03.03.18 16:33:55 MSK)

3 комментария

Настройка https для wordpress на haproxy/nginx

Форум — Admin

Добрый день.

Есть стенд, из балансера (haproxy) и веб-серверной связки nginx+apache.

Прикручиваю сертификаты letsencrypt'а к доменам. Сертификаты располагаю на haproxy, дальше расшифрованный запрос приходит на Nginx, далее пересылается apache. Т.е. связка nginx+apache работает с расшифрованным запросом.

Теперь нужно сайт на вордпрессе перевести на https. В настройках админки «Общие» меняю http на https - выбивает из админки, зайти в нее нельзя - страница не найдена, адрес заменен на https, сам сайт становится недоверенным...

Убираю хапрокси из цепочки, перекидываю сертификаты на nginx, прописываю из в конфиге nginx - Так же меняю в настройках http на https - опять всё ломается...

Другие сайты на других движках при такой схеме работают. Проблема (насколько мне видно) в объяснении вордпрессу, что ходить надо по https, что-то недопрописано для админки и для самого. Сайт новый, чистый, тема стандартная.

1. Пробовала и с настройкой на хапрокси редиректа с 80 порта на 443, и без;

2. Проверила правильность установки сертификата через сайт ssllabs.com/ssltest/ - сертификат установлен правильно.

Конфиги при полной цепочке (хапрокси с сертификатом --> nginx --> apache):

/etc/haproxy/haproxy.cfg

global
   log         127.0.0.1 local2
   chroot      /var/lib/haproxy
   pidfile     /var/run/haproxy.pid
   maxconn     10000
   user        haproxy
   group       haproxy   daemon
   tune.ssl.default-dh-param 2048
   stats socket /var/lib/haproxy/stats
ssl-default-bind-ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
   ssl-default-bind-options no-sslv3 no-tls-tickets
   ssl-default-server-ciphers ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
   ssl-default-server-options no-sslv3 no-tls-tickets
...

frontend http
 bind :80
 reqadd X-Forwarded-Proto:\ http
 default_backend localhost

use_backend name.domen.ru if { hdr_dom(host) -i name.domen.ru }     { dst_port 80 }

frontend https
 bind :443 ssl crt-list /etc/haproxy/certs/crt.txt
  http-request set-header X-SSL %[ssl_fc]
  http-request add-header X-Forwarded-Proto https if { ssl_fc }
  reqadd X-Forwarded-Proto:\ https
default_backend localhost
  http-response set-header Strict-Transport-Security max-age=15768000

use_backend name.domen.ru if { hdr_dom(host) -i name.domen.ru }     { dst_port 443 }


backend name.domen.ru
redirect scheme https if { hdr(Host) -i name.domen.ru } !{ ssl_fc }
server name.domen.ru 192.168.1.101:80

 /etc/nginx/conf.d/name.domen.ru


upstream name.domen.ru.80 {
   server 192.168.1.101:8080;
   }

server {
   listen 192.168.1.101:80;
   server_name name.domen.ru;
   error_log /var/log/name.domen.ru80-error.log;
   access_log /var/log/name.domen.ru80-access.log;
   location / {
      proxy_pass http://name.domen.ru.80;
      proxy_redirect off;
      proxy_set_header Host $host;
   }
}

/etc/httpd/conf.d/httpd-vhost.conf

VirtualHost *:8080>
    ServerName www.name.domen.ru
    ServerAlias name.domen.ru
    ServerAdmin name@domen.ru
    DocumentRoot /var/www/name.domen.ru
    ErrorLog "/var/www/name.domen.ru/log/apache_error.log"
    CustomLog "logs/name.domen.ru-access.log" common
 </VirtualHost>

Пробовала напрямую принимать запрос https на nginx, тогда конфиг апача не трогаю, конфиг nginx такой:

/etc/nginx/conf.d/name.domen.ru.conf

upstream name.domen.ru.443 {
  server 192.168.1.101:8080;
  }

server {
  listen 192.168.1.101:443;
  server_name name.domen.ru;
  error_log /var/log/name.domen.ru443-error.log;
  access_log /var/log/name.domen.ru443-access.log;
 listen 443 ssl;
    ssl on;
    ssl_certificate /etc/letsencrypt/live/name.domen.ru/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/name.domen.ru/privkey.pem;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers "ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS:!AES256";
    ssl_prefer_server_ciphers on;
    ssl_dhparam /etc/nginx/ssl/name.domen.ru/dhp-2048.pem;
 
location / {
     proxy_pass http://name.domen.ru.443;
     proxy_redirect off;
     proxy_set_header Host $host;
 }
}

Во всех мануалах замена c http на https происходит в админке. Подскажите, что не так делаю?

haproxy, https, nginx+apache

manik207
(20.02.18 11:41:56 MSK)

8 комментариев

следующие →

RSS подписка на новые темы