Zl0

Tips & Triks

Jabber + GSSAPI + LDAP

Auto.fs + Ldap Map

Свои deb-пакеты

Zabbix

Создание LVM больше 2 ТБ

Новая locale

Зависимости параметров в OpenVZ

Редирект почты в Postfix

L2TPD VPN + Radius MS IAS

MTU на VPN

MySQL bin logs

OpenVPN + MS IAS

шпаргалка по MySQL

MPPE

Затыки в репликации mysql

Очередной парсер

Zl0

Tags

Recent visitors

port 1194
proto udp
dev tun

dh                /etc/openvpn/keys/dh1024.pem
ca                /etc/openvpn/keys/ca.crt
cert              /etc/openvpn/keys/server.ru.crt
key               /etc/openvpn/keys/server.ru.key

tls-server
tls-timeout 120
tls-auth          /etc/openvpn/keys/ta.key 0
auth MD5

ifconfig 172.250.0.1 172.250.0.2
route 192.168.37.0 255.255.255.0

comp-lzo
tun-mtu           1500
cipher BF-CBC

user nobody
group nogroup

keepalive 10 120

persist-key
persist-tun

status openvpn-status.log

log         /var/log/openvpn.log
log-append  /var/log/openvpn.log

verb 3

Client.conf

dev tun
remote 188.134.x.x

ifconfig 172.250.0.2 172.250.0.1
route 192.168.38.0 255.255.255.0


tls-client
tls-auth ta.key 1
auth MD5
tls-timeout 30

client

ca ca.crt
cert client.ru.crt
key client.ru.key
dh dh1024.pem
ns-cert-type server

port 1194

user nobody
group nogroup

comp-lzo
cipher BF-CBC


keepalive 10 120

persist-tun
persist-key

verb 3

log         /var/log/openvpn.log
log-append  /var/log/openvpn.log

Дебильный простой туннель, сделан как замена ipsec, ибо провайдер его не поддерживает видители, они реальные адреса через nat раздают. Вот тут и выручает OpenVPN.

No comments

Tuesday, 9. June 2009, 13:52:00

jabberd, ldap, krb5

Появилось нормальное желание сделать прозрачную авторизацию на стороне сервера для входа в корпоративный jabber. В сети уже работал kerberos5 и пользователи хранились в open-ldap, все было хорошо... Начались поиски быстрого способа воплотить задумку в жизнь... быстрого найти не удалось, но появились варианты

Openfire
Ejabberd
Jabberd

Оговорюсь сразу, пока удалось настроить только связку Ejabberd + Pidgin, о ней и пойдет речь...

No comments

Thursday, 23. April 2009, 12:45:11

autofs, ldap, krb5

Если все данные о пользователе хранятся в Ldap, почему же там не хранить и иноформацию о том что нужно мониторировать, когда пользователь логинится??

No comments

Monday, 2. March 2009, 12:38:59

debian

Для более правильной установки и контроля версий, лучше всего на debian like системы ставить программы не из исходников, а собирать исходники в пакеты, а потом уже ставить.

No comments

Friday, 27. February 2009, 05:58:35

zabbix

Конфиг и скрипты для zabbix

No comments

Thursday, 19. February 2009, 04:33:45

lvm, shell

Памятка как создать LVM раздел больше 2Тб.

No comments

Tuesday, 10. February 2009, 08:58:03

shell

Установка новой локали в системе:
Устанавливаем необходимые пакеты
apt-get install belocs-locales-bin locales util-linux-locales

Описываем поддерживаемые локали
touch /var/lib/locales/supported.d/local
echo ru_RU.UTF-8 UTF-8 \
en_US.UTF-8 UTF-8 >> /var/lib/locales/supported.d/local

Генерируем локали
dpkg-reconfigure locales
После этого в папке /usr/lib/locale должны появится папки с новыми локалями.

Применяем новую локаль
touch /etc/profile.d/lang.sh
chmod +x /etc/profile.d/lang.sh
echo export LANG="ru_RU.UTF-8" >> /etc/profile.d/lang.sh

No comments

Wednesday, 28. January 2009, 04:41:44

openvz

Картинка-схема параметров OpenVZ и их зависимостей друг от друга.

No comments

Wednesday, 28. January 2009, 04:35:53

postfix

Задача: все письма которые не соответствую/соответствуют маске, заворачивать на служебный адрес

apt-get install postfix-pcre
/etc/postfix/main.cf

header_checks = pcre:/etc/postfix/headers_check

/etc/postfix/headers_check

/To:.*@(?!mail.domain.ru)/ REDIRECT mailbox@mail.other.domain.ru

No comments

Saturday, 27. December 2008, 09:05:36

l2tp

Еще одна статья из цикла VPN. На этот раз возьмет L2TP, у него есть ряд преимуществ, он нативно поддерживается в windows и не нужно ничего устанавливать в отличии от OpenVPN, а второе он работает по UDP, что дает ему преимущество перед PPTP.[почему?]
И опять решил я это сделать все в связки с MS IAS, ибо заморачиваться на отдельных паролях для каждого пользователя и каждого сервиса не совсем верно (хотя безопаснее), в случае с офисом всегда удобно иметь централизованное управление пользователями, т.е логин/пароль будет опять из MS AD.

No comments

Wednesday, 24. December 2008, 06:51:00

iptables, pptp

После установки и отладки VPN (PPTP+MPPE) сервера выяснилось что не работает MSN.

Проверки tcpdump показали что клиент и сервер msn пакетами обмениваются, и соединения как бы устаналивают, но нифига не работает. Встроенная в MSN проверка соединения честно отвечала, что "Успешно. Можно устанавливать соединение со службой MSN"

No comments

Thursday, 18. December 2008, 11:22:24

mysql, shell

Замечено, что в версиях mysql 5.1* бинлоги, даже есть их время жизни проходит, они не удаляются, даже при наличии в конфигах директивы expire_logs_days = 10.

Допустим хотим держать логи только за последнии 10 дней.

Лечим скиптом, добавляя его в крон.

#!/bin/bash
/usr/bin/mysql -Be 'PURGE MASTER LOGS BEFORE DATE_SUB(CURRENT_DATE, INTERVAL 10 DAY);'

Бывает так что и это не помогает, тогда остается только одно

find /data/mysql.logs -name "mysql-bin.*" -not -ctime -10  -delete

No comments

Tuesday, 16. December 2008, 08:27:30

openvpn

Суть в том чтобы заставить клиентов OpenVPN авторизоваться через учетки в AD.

I. Ставим стандартные пакеты

apt-get install openvpn libpam-radius-auth libradiusclient-ng2 radiusclient1

II. Скачать исходники OpenVPN. И собрать дополнительный модуль для работы с pam, должны получить бинарик

/openvpn-2.1_rc15/plugin/auth-pam/openvpn-auth-pam.so

No comments

Monday, 8. December 2008, 08:39:13

mysql

Работа с базами

Создаем базу
CREATE DATABASE maps;
Убиваем базу
DROP DATABASE maps;
Смотрим базы
SHOW DATABASES;

No comments

Wednesday, 3. December 2008, 12:30:17

pptp

POPTOP + IAS

I. modprobe -v ppp_mppe ppp_deflate

II. Делаем словари для radiusclient как хочет microsoft IAS

пример словарей

III.
Если получаем в логах

MPPE required, but keys are not available. Possible plugin problem?

То качаем исходники pppd и собираем плагин radius.so

--- pppd/plugins/radius/radius.c.orig   2003-09-25 13:37:01.000000000 +1000
+++ pppd/plugins/radius/radius.c        2003-09-25 13:37:07.000000000 +1000
@@ -680,6 +680,12 @@
        if (mppe_enc_types)
            set_mppe_enc_types(mppe_enc_policy, mppe_enc_types);
     }
+    /*
+     * Microsoft IAS doesn't set mppe_enc_policy.  THIS MAY BREAK OTHER
RADIUS SERVERS!
+     */
+    if (mppe_enc_keys)
+        mppe_keys_set = 1;
+
 #endif

     return 0;

Вроде так.

No comments

Wednesday, 3. December 2008, 03:16:47

shell, mysql

I. После того как перетащил очередной раз dataspace с мастера на будующий слэйв возникла проблема что на слэйве не могу сделать change master to вылазиет ошибка

ERROR 1201 (HY000) at line 1: Could not initialize master info 
structure; more error messages can be found in the MySQL error log

лечится оказалось просто

stop slave;
reset slave;
change master to.... ;
start slave;

II. При схеме репликации (master) -> ((slave)(master))->(slave), т.н гирляндная цепь , первый слэйв является мастером для второго, на промежуточном master/slave нужно добавить в my.cnf опцию log-slave-updates

III.Так же места для бэкапа на мастере небыло, воспользовался прямой заливкой tar по сети по ssh для переноса БД на будующие слэйвы.

tar cvf - . /var/lib/mysql | ssh user@host cat ">" /data/remotefile.gz

No comments

Tuesday, 2. December 2008, 11:01:21

nginx, shell

парсер nginx логов и создание отчета с выводом количества повторяющихся ошибок

cat error.log |cut -c 48- |awk -F, '{print $1}'|sort |uniq -c |sort -nr |head -30 > /data/reports/top30_nginx.error.wnode1

No comments

Blog search

November 2009January 2010