Для доступа к “малинке” которая находится за файрволом потребуется сервер в интернете с публичным адресом
Адрес сервера в интернете: 123.123.123.321
На этом же адресе 123.123.123.321 откроем порт 2222 который будет “проброшен” на малинку на порт 22
На сервере в интернете создадим пользователя и каталог для ключа аутентификации
ssh root@123.123.123.321 useradd reverse-tunnel mkdir -m700 /home/reverse-tunnel/.ssh
Команда w и who сильно тормозят при старте. А top тормозит при старте и во время работы. А кроме этого прилично жрёт процессор.
Кроме этого w отображает неверное количество залогиненных пользователей
[root@server ~]# w 18:52:03 up 444 days, 9:43, 51 user, load average: 0.01, 0.01, 0.01 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT root pts/2 180.118.262.14 18:32 0.00s 0.01s 0.00s w
Выяснилось что причиной послужил слишком большой файл /var/run/utmp
ls -la /var/run/utmp -rw-rw-r-- 1 root utmp 505323384 Oct 18 18:32 /var/run/utmp > /var/run/utmp
После этого нужно перелогиниться чтобы счётчик начал верно показывать активных пользователей.
Проверяем конфигурацию sasl в postfix
[root@mon1 postfix]# postconf -a cyrus dovecot [root@mon1 postfix]# postconf -A cyrus
Continue reading Настроить “relay” с авторизацией для postfix через gmail
Проблема входа администратора в web-панель появилась сразу после переименования домена OpenFire который использует пользователей из внешнего LDAP (Active Directory) сервера.
В результате непродолжительного исследования было выявлено что проблема связана с тем что пользователь younghacker@openfire-01 который хранится в базе OpenFire как администратор имеет старое доменное имя openfire-01 и новый туда не пускаются по банальной причине что имеют новый домен younghacker@openfire-01.local.
Если OpenFire настроен для работы со внешней MySQL базой то исправление проблемы не представляет сложности. Достаточно подсоединиться к базе и изменить запись admin.authorizedJIDs в таблице OFPROPERTY.
Для встроенной HSQLDB эта операция немного сложнее.
Continue reading OpenFire: проблема входа администратора после переименования домена
Если в новых версиях Firefox попробовать скопировать URL из строки адреса то он скопируется с невидимым до этого префиксом http. Префикс http всегда попадает в клипборд если адрес выделен от начала в то время как https попадёт туда если только его специально выделить. Это раздражает. Отменить такое поведение можно отключив опцию отсечения префикса http. После этого префикс http будет всегда виден и пользователь сам выбирает выделять его или нет.
about:config browser.urlbar.trim = True
заменить на
browser.urlbar.trim = False
По уполчанию в базе whisper хранятся данные в течении 24-х часов после чего удаляются. Изменить это можно в конфигурационном файле storage-schemas.conf. Для Graphite на Centos он находится в /opt/graphite/conf/storage-schemas.conf. Этот файл перечитывается один раз в 60 секунд, так что если там нет ошибок его изменение будет применено максимально через 1 минуту. Как проверить отсутствие ошибок в файле конфигурации описано несколько ниже. Однако изменение внесённое в файл storage-schemas.conf будет применено только к новым базам. Уже созданные файлы останутся со старыми значениями.
С помощью утилиты whisper-info.py можно посмотреть параметры одной базы whisper.
whisper-info.py /opt/graphite/storage/whisper/stats/gauges/projects/emailer/admin_new/schedule_queue_length/emailsend.wsp maxRetention: 86400 xFilesFactor: 0.5 aggregationMethod: average fileSize: 17308 Archive 0 retention: 86400 secondsPerPoint: 60 points: 1440 size: 17280 offset: 28
А при помощи утилиты whisper-resize.py можно изменить параметры выбранной базы.
Continue reading Carbon Graphite изменение времени хранения данных
Списки диапазонов адресов incapsula.com можно получить используя API:
curl -k -s --data "resp_format=text" https://my.incapsula.com/api/integration/v1/ips
resp_format может принимать значения : json | apache | nginx | iptables | text
Очень просто. Воспользоваться официальной информацией с сайта CoudFlare.
https://www.cloudflare.com/ips/
Для автоматизации можно использовать следующий запрос.
Например, этот bash скрипт создаст разрешающий список IPv4 для apache который можно поместить в конфиг или .htaccess
$ curl --silent https://www.cloudflare.com/ips-v4 | xargs 103.21.244.0/22 103.22.200.0/22 103.31.4.0/22 104.16.0.0/12 108.162.192.0/18 131.0.72.0/22 141.101.64.0/18 162.158.0.0/15 172.64.0.0/13 173.245.48.0/20 188.114.96.0/20 190.93.240.0/20 197.234.240.0/22 198.41.128.0/17
Установка NetworkManager тянет за собой кучу ненужных зависимостей которые часто не нужны и которые нельзя удалить но хочется заблокировать. Одна из них wpa_supplicant.
663 ? Ss 2:29 /bin/dbus-daemon --system --address=systemd: --nofork --nopidfile --systemd-activation 666 ? S 0:03 /usr/sbin/chronyd 706 ? Ss 0:16 /usr/sbin/crond -n 716 tty1 Ss+ 0:00 /sbin/agetty --noclear tty1 linux 749 ? Ss 0:00 /usr/sbin/wpa_supplicant -u -f /var/log/wpa_supplicant.log -c /etc/wpa_supplicant/wpa_supplicant.conf -u -f /var/log/wpa_supplicant
Остановить
Запретить
И “слить” в /dev/null
systemctl stop wpa_supplicant systemctl disable wpa_supplicant systemctl mask wpa_supplicant.service
Centos 7 как вернуть iptables вместо firewalld
Я считал, считаю и буду считать, что iptables в его старом чистом виде больше подходит для серверов чем новомодный firewalld который сначала запихнули в дистрибутивы федоры начиная с 18-й, а теперь ещё и в RHEL7 и Centos 7. Во-первых потому, что firewalld генерирует большое количество бессмысленных правил которые излишне тормозят работу iptables. Я пробежался по цепочке INPUT пустого настроенного по умолчанию firewalld и насчитал там 14!!! пустых переходов! Возможно это гениальное приложение с очень продуманной архитектурой, но вот однозначно ему не место в высоконагруженных системах. Во-вторых читать и понимаеть вывод iptables -nvL без обработки практически невозможно.
В-третьих на серверах нет нужды динамически управлять iptables, а fail2ban при небольших доработках конфигов прекрасно справляется со своей работой.
Поэтому если я устанавливаю сервер на Centos 7, то первым делом я возвращаю iptables.
Continue reading iptables в RHEL 7 / Centos 7