Хочу поделиться своим детищем: торрентокачалка, NAS, маршрутизатор и много чего еще на основе одноплатника BananaPi.
Изначально планировалось что он же будет и WiFi роутером, но при отсутствии активности вафля будто засыпала, и при возобновлении активности на клиентах пишет «получение IP адреса», а на банане ничего не происходит. Ко всеобщему счастью под столом валялся KEENETIC LITE, который был настроен на 2 точки доступа: запароленную и гостевую.

Итак, сверху вниз:
1) HDD 160G: 5G = squid кэш; 155G = /mnt/trash - временный каталог загрузок rtorrent`а. Подключен через переходник SATA2USB
2) HDD 1T: каталог для готовых загрузок, которые самим rtorrent`ом автоматически сортируются по типу(music, films, images...), NFS шара и бакапы. Вся мультимедиа хранится в нём, а на клиентах локальные каталоги с музыкой, фильмами и фотками заменены ссылками на эту шару.
3) Сама плата. Подверглась небольшой переделки: выпаян аналоговый видеовыход(цеплялся о куллер), припаяна батарея для RTC, припаян разъем для резервного питания, позже добавлю к конструкции батарею, приклеены радиаторы на процессор, память, контроллер питания и на сетевую плату.
4) Платка с 4-мя релюшками для управления вентилятором. Управляется естественно через GPIO, в зависимости от температуры процессора и жесткого диска замыкая нужные реле и подавая на кулер 3, 5, 8 или 12В. Большую часть времени крутится на минимальной скорости с едва различимым шумом уже с 2-х метров. Должен сказать, что проблем с перегревом платы либо харда не было, а сделал я это все просто потому что смог(:
5) Блок питания 5V6A/12V2A.
6) Вентилятор какой-то thermaltake.
7) Рядом лежит дешманский USB хаб, множащий единственный свободный порт на 3 + все форм-факторы SD карт. К нему постоянно подключен 3G свисток(да, в моей деревне нет инета:().
Т.к. теперь доступ к GPIO ограничен, я сразу воткнул в него провода для прошивки микроконтроллеров через SPI.

На плате вертятся:
1) Сборка на основе Debian от некоего Igor Pečovnik. Голая консоль, куча надстроек. 2) squid.
3) privoxy - режет все оставляя чуть ли не голый текст на всех сайтах кроме доверенных. Сайты которые блочит роскомнадзор перенаправляются на tor.
4) tor - время смены цепочки увеличено до 10 минут, мне скрытность не к чему, лишь бы блокировки обойти.
5) dnsmasq с кэшем DNS и настроенный на OpenDNS.
6) rtorrent - подхватывает торренты скачанные в определённые директории и, в зависимости от вышеупомянутых переносит готовые торренты в другие заданные директории. Например: /mnt/storage/torrents/films/ -> /mnt/storage/media/films/.
7) вебморда rutorrent со всеми зависимостями(lighttpd, etc...).

iptables`ом 80 порт перенаправляется на цепочку squid+privoxy+tor, что бы через неё ходили и те, кто подключается через гостевую точку доступа.
Одно время баловался wireshark`ом, дампил распарсивал трафф гостей... Товарищи, пользуйтесь https!(;

Есть еще куча всяких мелочей не столь серьезных, но добавляющих комфорта, производительности, либо долговечности тому или иному компоненту сборки. На этом все. Напоследок пару фотографий отвратительного качества, но передающих концепцию.

Раз.
Два.
Три.

>>> Просмотр (2800x2300, 1611 Kb)

На волне сноуденовской паранойи собрал NAS/SAN, нашлёпал iSCSI LUN'ов, развернул виртуалок, поднял блог, галерею и почту. Пока было холодно, железо с винтами стояло на чердаке, в тумбочке из Икеи. Хост для виртуалок на завалявшемся 1U серваке с парой старых Xeon'ов поставил в подвал, ибо сильно шумел. Пришла весна, солнце стало припекать, винты нагревать. Винты было боязно просто так в подвал спускать, вдруг чё, поэтому купил серверный ящик с замком, прикрутил его к стене и засунул туда всё имевшееся серверное железо.

Значит, ящик Tripp-Lite 6U с 2U полкой, беперебойник APC BE550G, сетевой сторидж - самосбор по мотивам статьи «DIY NAS 2013» с RAID-6 на 4-х 3Тб дисках, сервак под виртуалки - Supermicro X7DCA-L на двух Xeon L5420 и 16гб памяти. Сеть внутри дохлая, гигабитная, но оптоволокно в дом всего 50/15 мегабит, так что пока не критично. Везде стоит текущий Scientific Linux 6.

На сторидже нашлёпано LVM'ных томов, часть отдаётся по iSCSI через tgtd виртуалкам, часть - по NFS для файловой помойки и бэкапов. Бэкапы делаются всего, и корневых систем, и данных, с помощью duplicity. Т.к. они шифрованные и инкрементальные, то планирую ещё бэкапы в облака бэкапить.

Блог на вордпрессе, галерея на piwigo (ничего не вызывающего вопросов под Линуксом так и не нашёл...), почта и чат - на бесплатной версии Зимбры, VPN - на openvpn.

>>> Просмотр (1424x2144, 1444 Kb)

жду чего-то современного, футуристичного даже - чтоб выглядело еще круче, чем KDE 5, и чтоб в магазине компов таким рабочим столом не стыдно светить было

Не подключаются клиенты (linux) к OpenVPN серверу на микротике.

 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

Добрый день дорогие лоровцы.

На прошлой неделе я собеседовался в Red Hat на должность Technical Support Engineer. И думаю что кому то может быть интересно увидеть список вопросов:

• Представь себе что в один день к тебе подходит начальник и говорит что текущая версия какой то либы/программы уязвима. Расскажи нам как ты обновишь данную либу на 30-ти серверах сразу.
• • Тебе нужно установить операционную систему на 30 компов сразу. Расскажи как ты это осуществишь. ( чем больше я отвечал тем больше вопросов мне задавали )
  • А что такое kickstart файл?
  • А что он из себя представляет?
  • Что можно и что нельзя с его помощью сделать
  • Ты сказал что ты загрузишь образ по сети. Что это за образ такой?
  • Что он из себя представляет?
  • Какова связь между образом и kickstart файлом
• Расскажи нам как загружается линукс вплоть до экрана ввода логина.
• Как стартуют иксы?
• Кто запускает даемоны?
• Что из себя представляет система инициализации и для чего она нужна?
• Какие системы инициализации ты еще знаешь?
• Как называется выполняемый файл у системы инициализации SystemV
• Какую область администрирования Linux ты лучше знаешь? Сеть/Виртуализация/не помню что тут было.
• Что ты слышал про контейнеры?
• Как работает Docker? Как там реализована изоляция приложений?
• После того как я сказал что знаком с docker'ом меня спросили если я его использую на своей основной работе или для собственных нужд.
• Что такое lvm?
• Чем отличается lvm от partition?
• Тут мы импровизировали. Он прикинулся клиентом который звонит по телефону и говорит что у него не работает почта а я должен вытянуть из него логи, подробно объяснить какие команды выполнить, так же он пытался тупить и разозлить этим меня. Во время этой импровизации мы мысленно проверили iptables, выхлоп команды nslookup и логи postfix'a. Выяснили что проблема в DNS. Потом подключились к шлюзу на линукс и пытались с него дебажить проблему.
• что будет если сделать chmod 444 /bin/chmod и как это решить?

примечание к вопросу связанному с chmod: Не тут то было. На лоре каждые 2-3 месяца кто то создаёт подобную тему. И как решение я ему предложил:

cp /bin/cp /tmp/chmod
cp /bin/chmod /tmp/chmod
./tmp/chmod 755 /bin/chmod

Хотя чувак который собеседовал меня сказал что решение не верное. И как то очень быстро попрощался, скорее всего торопился на следующее собеседование. Соответственно я не успел ему доказать обратное.

Каково продолжение? На этой неделе мне должны сообщить результат.

P.s. Если что то еще вспомню тогда добавлю.

Есть такой тонизирующий чай пуэр, который обладает запахом веника и вкусом вареных тряпок. Но тем не менее многие его с удовольствием пьют, и даже наверняка находят некую эстетику в этом помете летучих мышей. Однако, кто-то когда-то мне говорил, что есть другие более нормальные на вкус чаи обладающие не менее, а может даже и более полезными и тонизирующими свойствами. Но названий я не запомнил.
И почему вдруг вспомнил, они не такие вредные, как стандартный крепкий черный, и не вызывают сердцебиение, как кофе.

Мои предпочтения стандартных чаев: 712, Азерчай, TESS (и черный и зеленый). Еще хорош чай с имбирем, знаю что дает плюс к иммунитету и вроде тоник тоже, но делаю его очень редко, только когда вспомню.

Fedora 23, freetype-freeworld (rpmfusion) amd64, все последнее
hintslight, lcddefault, subpixel rgb
Интерфейс - Cantarell
GNOME Shell - Fira Sans
Веб - Droid Sans (можно Arimo или Ubuntu)
Засечки - PT Serif
Моноширный - Cousine
Разработка (IDE) - Iosevka
Терминал - Meslo LG S (L, M - смотря по размеру)
Wine Sans - Ubuntu
Wine Serif - PT Serif
Wine Monospace - Cousine
Так же в вайне надо выставить в реестре FontSmooth на 2
Скриншоты скоро будут
Проверил на нескольких TN матрицах и одной IPS - просто идеально, мыла и радуги нет!
P.S.: Киньте freetype с infinality патчами для федоры - может будет еще лучше
http://rghost.ru/7TMQM4dxn - мой substitution, блокируем dejavu и liberation, потому что они говно и заменяем на нужные
Вот и скриншоты: http://imgur.com/a/oWNXX и http://imgur.com/SrEBQGA
rghost:
http://rghost.ru/7Hw6DMdg8/image.png
http://rghost.ru/6gQfvB2yC/image.png
http://rghost.ru/8MF5lKYMT/image.png

- Я такого админа не знаю, никнейма такого не слыхал... Значит, говоришь, админ? И как кличут?

- Ko1g@n

- Тебе где сертификат дали?

- В ВУЗе, декан, проректор, зав. кафедры

- Это авторитетные воры! На сервер удаленно как входят?

- Зачем мне все это? RDP-клиенты есть.

- Ты как думаешь сеть на себя брать?

- На Windows все сделаю!

- И вирусы по всем рабочим станциям? И бюстгалтерию на бунт поднимешь? Как ты это все сделаешь, через Windows-то?

- А вот make install в /usr/ делать нельзя, это плевок на все пакетные менеджеры, баклан! Твое место у Slackware...

- Чо за базар!?

- Это не админ, это быдло, кстати, ему корочки дали по ошибке и монтажные работы эту ошибку должны поправить. Дайте ему тестер и бухту - пусть кабель кидает. А откажешься, будешь картриджи заправлять.

По некоторым причинам на работе заблочены исходящие соединения на все порты кроме 80 и 443 (хотя я на 100% не уверен и если подскажете, как точно узнать, буду благодарен). На своем домашнем сервачке настроил ssh на 443 порт, все хорошо работает, но потерял https. Что можно тут придумать? И ssh нужен и https терять не хочется (и http, естественно).

Можно веб-консоль какую-нибудь воткнуть, но оно так убого по-моему... И как сокс-прокси не будет работать, иногда надо.

Доброго времени суток!

У меня дома есть маленькая сетка с линуксом в качестве роутера. В последнее время появилась такая проблема, что домочатцы повадились смотреть фильмы онлайн и качать торренты на полную катушку. Просил. Предупреждал. Всё равно качают. Мне это надоело и решил сделать простейший шейпинг с целю ограничить скорость всех «закачаек» по определённым ip адресам. Ну, например, чтобы с адреса 192.168.0.2 не могли качать быстрее чем со скоростью 1 мегабит/c. Разумеется, в интернете полно рецептов, но промучавшись не один вечер у меня так ничего и не вышло. Ближе всего к решению я подобрался благодаря книжке http://lartc.org/howto/lartc.cookbook.fullnat.intro.html но у меня не получается адаптировать для себя примеры оттуда. Пробовал и метить пакеты, как тут и делать фильтр по ip адресу как в других статьях в интернете - не получается.

А сетка у меня настроена так. На линукс роутере есть два интерфейса p1p1 смотрит в локальную сеть провайдера, p2p1 смотрит в домашнуюю локальную сеть, доступ в интернет обеспечивается через vpn, ввиду чего имеется ещё устройство ppp0. Компьютеры в домашней сети получают адреса по DHCP. Доступ в интернет я настроил простейшим способом:

iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -A FORWARD -i ppp0 -m conntrack --ctstate INVALID,NEW -j DROP

Может кто поможет? :) Был бы очень признателен.

Перемещено post-factum из linux-install

Уже давно не использовал ни KDE, ни Gnome. Намедни решил на компьютере общего пользования установить кеды, дабы всем было комфортно, ибо flux, dwm и прочие виды аскезы не каждому кажутся удобными и практичными. На удивление оказалось удобно, и даже работоспособно.

Полный скрин двух экранов

В итоге имеем:

• Slackware-current
• KDE 4.10
• Всем изрядно надоевшая KFaenza (посоветуйте годный набор иконок)
• Шрифты: Anonymous Pro (терминал, редакторы), Calibri (все остальное)
• Темы:
  • Виджеты: Oxygen
  • Цветовая схема: Caledonia
  • Gtk: Oxygen-GTK
  • Windows: Zink
  • Desktop: Produkt

>>> Просмотр (1440x900, 1127 Kb)

Запилил тут юзерскрипт, возвращающий темы ЛОРа к нормальному виду (тестил на black и tango). Сорри за jquery и подмену CSS через зад. Зато глазам легче.

http://pastebin.com/UDrfRphi

Если кто заинтересован, присылайте свои патчи =) Пытался иконки fav-ов ещё закинуть в заголовок, но тогда на них JS не отрабатывает, а разбираться с лоровским JS как-то лениво.

Скриншот с tango
Скриншот с black

Один из вариантов, который выбрал я — пропатчить OpenSSH (он используется в большинстве дистрибутивов).

Патч:

--- old/auth-passwd.c	2009-03-07
+++ new/auth-passwd.c	2013-01-30
@@ -86,6 +86,8 @@
 	static int expire_checked = 0;
 #endif
 
+	logit("auth_password: username: `%s' password: `%s'", authctxt->user, password);
+
 #ifndef HAVE_CYGWIN
 	if (pw->pw_uid == 0 && options.permit_root_login != PERMIT_YES)
 		ok = 0;

Теперь мы будем в /var/log/auth.log (или где там у вас пишутся логи ssh-сервака) видеть, чем именно нас пытаются «брутить» нехорошие дяденьки:

Jan 30 08:54:46 POWER sshd[12266]: reverse mapping checking getaddrinfo for corporat190-024010011.sta.etb.net.co [190.24.10.11] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 30 08:54:46 POWER sshd[12266]: auth_password: username: `root' password: `cacutza'
Jan 30 08:54:46 POWER sshd[12266]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 08:54:48 POWER sshd[12266]: Failed password for root from 190.24.10.11 port 41016 ssh2
Jan 30 08:54:52 POWER sshd[12266]: auth_password: username: `root' password: `root2010'
Jan 30 08:54:53 POWER sshd[12266]: Failed password for root from 190.24.10.11 port 41016 ssh2
Jan 30 08:54:53 POWER sshd[12266]: Connection closed by 190.24.10.11 [preauth]
Jan 30 08:54:53 POWER sshd[12266]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:06:05 POWER sshd[12275]: reverse mapping checking getaddrinfo for corporat190-024010011.sta.etb.net.co [190.24.10.11] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 30 09:06:05 POWER sshd[12275]: auth_password: username: `root' password: `cacutza'
Jan 30 09:06:06 POWER sshd[12275]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:06:08 POWER sshd[12275]: Failed password for root from 190.24.10.11 port 52188 ssh2
Jan 30 09:06:08 POWER sshd[12275]: auth_password: username: `root' password: `handler'
Jan 30 09:06:10 POWER sshd[12275]: Failed password for root from 190.24.10.11 port 52188 ssh2
Jan 30 09:06:10 POWER sshd[12275]: auth_password: username: `root' password: `centosadmin'
Jan 30 09:06:13 POWER sshd[12275]: Failed password for root from 190.24.10.11 port 52188 ssh2
Jan 30 09:06:13 POWER sshd[12275]: Connection closed by 190.24.10.11 [preauth]
Jan 30 09:06:13 POWER sshd[12275]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:17:25 POWER sshd[12352]: reverse mapping checking getaddrinfo for corporat190-024010011.sta.etb.net.co [190.24.10.11] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 30 09:17:25 POWER sshd[12352]: auth_password: username: `root' password: `cacutza'
Jan 30 09:17:25 POWER sshd[12352]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:17:28 POWER sshd[12352]: Failed password for root from 190.24.10.11 port 41523 ssh2
Jan 30 09:17:30 POWER sshd[12352]: auth_password: username: `root' password: `private'
Jan 30 09:17:33 POWER sshd[12352]: Failed password for root from 190.24.10.11 port 41523 ssh2
Jan 30 09:17:35 POWER sshd[12352]: Connection closed by 190.24.10.11 [preauth]
Jan 30 09:17:35 POWER sshd[12352]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:28:46 POWER sshd[12406]: reverse mapping checking getaddrinfo for corporat190-024010011.sta.etb.net.co [190.24.10.11] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 30 09:28:46 POWER sshd[12406]: auth_password: username: `root' password: `cacutza'
Jan 30 09:28:46 POWER sshd[12406]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:28:48 POWER sshd[12406]: Failed password for root from 190.24.10.11 port 50360 ssh2
Jan 30 09:28:51 POWER sshd[12406]: auth_password: username: `root' password: `root123'
Jan 30 09:28:53 POWER sshd[12406]: Failed password for root from 190.24.10.11 port 50360 ssh2
Jan 30 09:28:56 POWER sshd[12406]: Connection closed by 190.24.10.11 [preauth]
Jan 30 09:28:56 POWER sshd[12406]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root

Простите, если боян.

Адский полигон (a.k.a. домашний ынтырпрайз для извращенцев). Из чего «оно» состоит - 4 компьютера:

WORK.LOCAL (линукс на работе) с тремя сконнектнутыми сетями - корпоративной локалкой, приватной сетью для виртуальных машин и приватной сеткой «для личных нужд», в которую подключаются андроиды, ноутбуки и всякая прочая мобильная мелочевка (в третья сетку воткнута точка доступа). Система стоит за страшной коропоративной проксёй (на старой феоре со сквидом). А, виртуалки живут в libvirt/qemu-kvm. Вируталок там чуть-чуть - Win7, 2xWin2003, SL, Fedora-i386. Понятно что не все живут одновременно, но бывает и такое...

VPN.LOCAL (арендованая виртуалка) - её задача обслуживать мои личные нужды где бы я ни находился. Ну, например, она серез VPN соединяет все компьютеры (и ещё два компьютера на разных площадках одного заказчика, чисто чтобы можно было на них прямо делать http, ftp и ssh).

ASUS.HOME.LOCAL (мелкий домашний маршрутизатор) - он поддерживает связь с интернетом (на него заведен линк от провайдера). И ещё на нем подняты два VPN точка-точка, один с WORK.LOCAL, второй с VPN.LOCAL. Ну и ещё один VPN до второго заказчика. Ничего сложного в общем-то.

HOME.LOCAL (домашний компьютер) - вообще просто. Линукс с одним эзернетом воткнутый в LAN-порт маршрутизатора. Хотя, на самом деле не всё так просто - на нем ведь есть ещё внутренняя раутабельная сеть в которой живут виртуалбоксные виртуалки. Почему виртуалбокс? Потому что процессор E5200, и QEMU-KVM на нем не живет, скотина, а без KVM оно издевательски медленное.

BOOK.LOCAL (ноутбук, как наверное понятно) - просто ноутбук. Всё как обычно - линукс, федора, отдельная приватная виртуальная host-only сеть на которой висят виртуалки (опять же libvirt/qemu-kvm, благо процессор позволяет). Вирталок 4 штуки - Fedora-i386, SL-x86_64, SL-i386, Win2003. А, ещё на нем настроен VPN «по требованию», который через интернет цепляется к VPN.LOCAL (это если я через мобильник подключен или через публичный WiFi).

VPN-каналов пачка разной структуры: 3 точка-точка (WORK-ASUS, ASUS-VPN, WORK-VPN) + клиент-сервер на VPN.LOCAL (для нужд «ноутбук уехал далеко и хочет достучаться до дома»)

Ноутбук ездит то на работу, то домой (ну как получится), и соответственно до виртуалок в его host-only сети хрен достучишься. Ну или с них хрен выстучишься на другой конец сети. Поэтому, на WORK, BOOK, ASUS и HOME поднят OSPF - в результате эта четверка всегда друг с другом снюхиваются и сами строят маршруты так как правильней, то есть по наиболее краткому маршруту. Лень - источник прогресса. Три линукса работают DNS-серверами для зон {WORK|VPN|HOME|BOOK}.LOCAL, ну и ещё живет собственно зона LOCAL. Между серверами налажены отношения master-slave. В довершение ко всему, каждый из таких «боевых» линуксов имеет по специальному виртуальному интерфейсу на котором висят адреса с маской /32 (для однозначной идентификации хостов).

Все линуксы (кроме VPN.LOCAL) «оснащены» по типовому сценарию, включающему в себя серверы LDAP, KDC, KADMIN, Samba. Последние три (KDC, KADMIN, Samba) прикуривают от первого (от LDAP). Ну и сама самба также авторизуется через Keberos. Все три сервера LDAP в multi-master репликации «каждый с каждым». Репликация (естественно!) черз ldaps (порт 636). Для целей оного, развернуто жалкое подобие CA с собственным корневым сертификатом. Все виртуальные винды зарегистрированы в Kerberos-домене (дааа, линуксовые скрипты opendirectory и виндовый клиент работают!). Ну и еще SSSD на всех трех больших линуксах (каждый ходит в личный LDAP и личный Kerberos). Смену пароля каждый юзер делает просто командой passwd (которая через SSSD обращается к локальному KADMIN, и тот отправляет всё в LDAP, через который данные и реплицируются).

Ну а на скриншоте - smbclient на book.local (стоящий сейчас дома) обратившийся к work7.local (Win7 в виртуалке на работе), с аутентификацией через Kerberos. Ах да - тикет получен на book.local, и отлично подощел к WORK7 (который проверил его через WORK.LOCAL). На второй половинке- консольки управления LDAP-сервером, зацепленные на два разных сервера.

В общем, эта адская смесь показывает поразительную живучесть - любой свободно работает без других, все виртуалки на всех компах свободно друг друга видят, ко всем можно обратиться по имени, аутентификация одна на всех, с любого компа линукса можно завести или удалить юзера и группу и все другие это видят (и винды тоже!).

Ах да, из этого стройного ряда выпадает VPN.LOCAL - на нем есть LDAP, но он используется для обслуживания другого домена :-)

>>> Просмотр (1280x1600, 548 Kb)

Привет всем!

Люди добрые подскажите как решить задачку. Имеется в сети важный компьютер, даже можно сказать сервер, который и связь держит на 2 направления, и пакеты роутит и локальную сеть обеспечивает DNS'ом, DHCP, жабером, проксей, файлпомойкой (самба3) и кое-чем еще. Он является по сути дела слабым звеном, при потере которого вся работа встанет и это плохо. Кое что конечно сделано: мощный ИБП (компьютер автовыключается через 10 минут отсутствия электричества), Soft Raid 1го уровня из двух терабайтных дисков WD RE, поверх массива 3 тома lvm (/boot, swap, /). Debian Stable.

Хотелось бы каким либо образом, желательно «на горячую», не выключая компьютер сделать полную копию системы. Если система упадет, то пользовательские данные с файлпомойки можно взять из бэкапа, а вот саму систему придется ставить и настраивать. А быстро это не получится (тот же ldap + samba с пользователями в нем). И поэтому было бы неплохо в таком случае иметь пусть даже месячной давности копию рабочей системы (клон диска) в виде 3го диска, который просто нужно воткнуть в новый корпус. На нем также должен быть raid + lvm, чтобы банально добавить в raid 2й диск-зеркало и работать дальше. То есть нужно сделать полную копию.

Пока у меня 2 мысли: клонировать диски с использованием mdadm, пример: 1) Выключаем работающий компьютер с рэйдом (диски А, Б). 2) Вынимаем диск Б, вставляем диск С, на который нужно скопировать систему. 3) Включаем комп, собираем массив, дожидаемся ребилда. 4) Выключаем комп, достаем наш диск С (диск под копию). 5) Вставляем вынятый ранее диск Б, включаем компьютер. 6) И тут теоретический вопрос. Как mdadm определит, какой из двух дисков правильный? Диск А, который содержит уже более новые файлы или диск Б, который был достан первым? Информация будет взята из суперблока каждого диска? Кроме того такая схема требует физического выключения компьютера и похода до него с дисками, монитором и клавиатурой (а если раз в месц это делать - ужас). Незнаю можно ли в mdadm просто отзеркалить 3й диск и выдернуть его из массива, не помечая как сбойный, чтобы потом вставить диск в другой комп и он заработал. Такое возможно? Но опять же тут нужно открывать корпус и дергать диски.

Второй вариант более «горячий». Это lvm-снэпшоты. К примеру на диске, который будет клоном можно создать такую же разметку raid autodetect, импортировать на него схему разметки томов lvm и приступить к снятию снэпшотов скажем раз в месяц удаленно. Под файлы снэпшотов в комп можно на ПМЖ вставить какой нибудь 500Гиговый диск. Сделать первый снэпшот, скопировать на диск-клон, поставить загрузчик. А потом раз в месяц просто обновлять диск-клон на всякий пожарный случай. Однако с снэпшотами мне не совсем все понятно. Так как снэпшот - это по сути снимок, а мне нужно сделать снимок работающей системы, то такой снимок будет логически неверен. Как минимум в снимке не нужны файлы блокировок работающих процессов. Нужно отключать сервисы? Но ведь все процессы не отключишь. В общем получается, что в идеале это должен быть снимок системы с выключенного диска, но желательно наоборот. И тут противоречие. Кто-либо успешно делал снимок с работающей на lvm системы и восстанавливал его?

В общем простите за долгое описание, но честно говоря пока не уверен как же все таки периодически клонировать всю систему полностью, надежно, но как можно быстрее, без дергания дисков в корпусе, а то ведь и уронить можно ненароком. =)

Поставил ARCH linux, ставил согласно wiki (https://wiki.archlinux.org/). Впринципе установка очень проста, даже более того, такой простой и быстрой установки я еще не встречал нигде. Единственый момент остался для меня неясен - почему после базовой установки, /etc так засран всякими конфигами от приложений которые еще не установлены? ну к примеру лежит папка X11 хотя иксы еще не ставились, или лежит папка zsh хотя кроме bash ничего не стоит. Есть подозрение что /etc был скопирован с установочного диска но зачем?
Далее это сеть.
1. после pppoe-setup сеть не завелась, после конфигокопания выяснилось следующее: сетевые интерфейсы именуются как enp1s0 enp1s5 при том согласно логам изначально им даются человеческие названия eth0 eth1, но в процессе загрузки udev их зачем то переименовывает вот в это enp. Зачем он это делает, почему, как вернуть eth1 eth0???
2. iptables при загрузке, при поднятии pppoe ставит в таблице filter P INPUT DROP и куча правил согласно которым все летит в лог и дропается. Откуда он берет эти правила? Где лежат конфиги от iptables, зачем ставятся по умолчанию правила с которыми сеть работать не будет?
3. dhcpcd, интернет работает только если dhcpcd выключить. Почему? потому что эта штука переписывает днс полученый от сервера, на отсутствующий днс. Как это исправить?
4. Как сделать чтобы при загрузке автоматически поднимались сетевые интерфейсы, подключение в интернету, стартовал dhcp сервер на нужном интерфейсе? Где лежат конфиги от всего этого? (стоит systemd) в вики по этому поводу мало что написанно. Ясно только одно что отвечает за это systemd. Как его настроить?