При указание пользователя --user=root демон запускается нормально, а при --user=mysql strace показывает, что он лезет к сокету демона nscd которого нет в lxc.Первый раз через systemctl запуск мускуля проходит нормально, но со второго раза он ругается на доступ и рекомендует мускуль запустить от рута. При чем в kvm остановка и запуск мускуля проходит нормально. Я поставил nscd и все заработало. Mysql ставил из пакетов с оф. сайта. Кто-нибудь может объяснить дураку, почему мускуль так себя ведет, и где искать ответы?

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/false
nscd:x:28:28:NSCD Daemon:/:/sbin/nologin

Доброго времени суток. Может кто-то посоветовать книги,видио и т.д. для компетентного администрирования веб-серверов? С линуксом довольно неплохо знаком.Собственноручно собирал кучу всего от кластера на proxmox до AD на самбе :) Нет желания тыкаться как слепой котенок, а потом с круглыми глазами открывать для себя элементарные вещи или более подходящие и актуальные. Заранее благодарен за понимание :)

Собрал 2.5.27 по статье на хабре. Можно ли создать группы пользователей и регулировать скорость трафика, разрешать или запрещать разным группам доступ к сайтам? Хотелось бы посмотреть наглядные примеры.

acl localnet src 192.168.16.0/24 # Ваша локалка

acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT acl SSL method CONNECT

#Укажем DNS для Squid. Крайне рекомендую использовать одинаковые DNS тут и у клиентов dns_nameservers 192.168.16.4

# Список доменов, которые нужно пустить через Tor acl rkn url_regex "/etc/squid/tor_url" http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost manager http_access deny manager http_access allow localnet http_access allow localhost http_access deny all icp_access deny all htcp_access deny all

#прозрачный порт указывается опцией intercept http_port 192.168.16.10:3128 intercept options=NO_SSLv3:NO_SSLv2

#также нужно указать непрозрачный порт, ибо если захотите вручную указать адрес #прокси в браузере, указав прозрачный порт, вы получите ошибку доступа, поэтому нужно #указывать непрозрачный порт в браузере, если конечно такое желание будет, к тому же в логах #сыпятся ошибки о том, что непрохрачный порт не указан=) http_port 192.168.16.10:3130 options=NO_SSLv3:NO_SSLv2

#и наконец, указываем HTTPS порт с нужными опциями https_port 192.168.16.10:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem

sslproxy_cert_error allow all sslproxy_flags DONT_VERIFY_PEER #укажем правило со списком блокируемых ресурсов (в файле домены вида .domain.com) acl blocked ssl::server_name "/etc/squid/blocked_https.txt" acl step1 at_step SslBump1 ssl_bump peek step1

#терминируем соединение, если клиент заходит на запрещенный ресурс ssl_bump terminate blocked ssl_bump splice all

# Никогда не пускать напрямую домены, указанные в списке РКН never_direct allow rkn

# Указываем прокси, куда отправлять домены из списка, в нашем случае - Privoxy cache_peer 127.0.0.1 parent 8118 0 no-query no-digest default

cache_peer_access 127.0.0.1 allow rkn cache_peer_access 127.0.0.1 deny all

sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB

coredump_dir /var/spool/squid refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 logfile_rotate 4 pid_filename /var/run/squid.pid

И так... сеть с маской 24 почти вся забита. Везде статические ip(куча ip-камер и виндовс-пк).В качестве шлюза древненький dir-130. Я знаю только 2 варианта решения: 1)Менять маску, а значит либо перебивать все адреса ручками либо ставить dhcp,но тоже придется побегать, ибо есть AD samba4, но не все клиенты в домене, да и те же ип-камеры с фай-ваями( их много). Короче этот вариант мне очень не нравится. 2)Ставить подсеть. Тут для меня все посложнее.Свободного железа нет, но есть кластер на проксмоксе. Можно поставить lxc или kvm сервер. Тут либо городить nat-сеть в обе стороны либо настраивать маршрутизацию.Если использовать маршрутизацию, то ,насколько я понял, надо прописывать маршруты на каждом узле, что бы из подсетей узлы видели друг друга.На хабре нашел https://habr.com/post/231175/ , но dir такого не умеет.В нем только можно добавить Interface Destination Address Subnet Mask Gateway. Закавыка в том что в Interface можно выбрать только wan, а не внутренний. Ну а нат в обе стороны да на lxc как-то дико.

Может кто-то что-нибудь посоветоветует кроме уе**** об стену?)

Решил перевести сервер.После непродолжительного издевательства над гуглом, решил не заморачиваться и поглядеть результат:

rsync -e ssh -avx root@192.168.16.8:/ /

Самое интересное, что сервер в контейнере вроде работает :)

Система ругается на 2 ошибки:

1)При загрузке системы ip address выдает такую пакость

1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 41: eth0@if42: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000 link/ether 56:7a:3f:64:b1:c6 brd ff:ff:ff:ff:ff:ff

После /etc/init.d/networking restart stop: Unknown instance: networking start/running

Все хошрошо

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 41: eth0@if42: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000 link/ether 56:7a:3f:64:b1:c6 brd ff:ff:ff:ff:ff:ff inet 192.168.16.8/24 brd 192.168.16.255 scope global eth0 valid_lft forever preferred_lft forever inet6 fe80::547a:3fff:fe64:b1c6/64 scope link valid_lft forever preferred_lft forever

Где копать?

2)И при запуске самого сервера

/etc/init.d/mydlp start

* Starting MyDLP Log Database... sysctl: setting key «vm.max_map_count»: Read-only file system

Значение max_map_count=262144 установил

Прошу помощи знатоков! :)

Пробую ldapsearch -Y NTLM -b dc=epf,dc=lc -h sambaad.epf.lc -D «Administrator@epf.lc»

ldap_sasl_interactive_bind_s: Invalid credentials (49) additional info: 8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 52e, v1db1

Ругается на полномочия, через tls c этой же учетки аутентификация проходит нормально.

Пытаюсь подключиться ldapsearch -H ldap://sambaad -D «CN=Administrator,CN=Users,DC=epf,DC=lc» -W

Enter LDAP Password:

ldap_bind: Strong(er) authentication required (8) additional info: BindSimple: Transport encryption required.

После истязания гугла пришел к выводу, что проблема в сертификатах. Добавил в smb.conf:

tls enabled = yes

tls keyfile = tls / key.pem

tls certfile = tls / cert.pem

tls cafile = tls / ca.pem

Теперь ldapsearch -b dc=epf,dc=lc -H ldap://samba.epf.lc -D «SMBEPF\Administrator» -W

Enter LDAP Password: ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1) На этом фантазия закончилась

п.с. Перебрал кучу вариантов с синтаксисом ldapsearch