Browse Category

Безопасность

Безопасность

Centos 6 Openvpn server технология net-to-net

Centos 6 Openvpn server технология net-to-net.

Решил добавить статейку, пришлось недавно повозиться на эту тему, зато теперь есть сеть центральный офис и два филиала.

И так ставим пакет из репозитария Epel. Установка как обычно yum -y install openvpn. Конфигурация:

1. Центральный офис:

cat /etc/openvpn/server.conf

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/easy-rsa/2.0/keys/main.crt
dh /etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
server 192.168.100.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push «route 192.168.1.0 255.255.255.0»
push «route 192.168.3.0 255.255.255.0»
push «route 192.168.2.0 255.255.255.0»
client-config-dir /etc/openvpn/ccd
keepalive 10 60
max-clients 10
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
log-append openvpn.log
verb 3
tcp-nodelay
tun-mtu 1500
mssfix
client-to-client
route 192.168.3.0 255.255.255.0
route 192.168.2.0 255.255.255.0

В каталоге /etc/openvpn/ccd создаются одноименные файлы как и сертификаты клиентов, с тем же именем. К примеру для одного из филиалов:

cat firma

iroute 192.168.2.0 255.255.255.0

2. Конфигурация на стороне клиента:

cat /etc/openvpn/client.conf

client
dev tun
proto udp
remote MyRealServer.ru 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca /home/keys/ca.crt
cert /home/keys/firma.crt
key /home/keys/firma.key
ns-cert-type server
verb 3
pull
route 192.168.1.0 255.255.255.0
push «route 192.168.2.0 255.255.255.0»

И все генерируем сертификаты, кладем по путям указанным в конфигурации.

3. Генерация сертификатов на сервере:

Отредактируем /etc/openvpn/easy-rsa/vars

export KEY_COUNTRY=RU
export KEY_PROVINCE=MSK
export KEY_CITY=MOSCOW
export KEY_ORG=»OpenVPN-TEST-INSTALLATION»
export KEY_EMAIL=»admin@example.com»

4. Создаем ключи:

cd /etc/openvpn/easy-rsa

. ./vars

./clean-all
./build-ca
./build-key-server vpnserver
./build-dh

Ну, а дальше осталось только запустить службы service openvpn start на обоих концах.

P.S>: Использую протокол UDP, т.к скорость стабильно 40 Мбит больше никак не получиться выжать единственный минус. А также отключено сжатие и компрессия. Все эти параметры отключены на всех концах туннеля. И не забываем про iptables.

Обновление Debian Lenny на Debian Squeeze (RAID1)

Обновление Debian Lenny на Debian Squeeze.

Собственно к чему этот пост. Потому как хочется прокричать «Кривее» системы я еще не видел, за свою историю администрирования.

И так что я имею:

RAID1 на / + RAID1 на двух дисках по 750 гигов где лежит всякая дрянь типов фильмов и т.д…

Вроде бы делал все штатно т.е aptitude update && aptitude upgrade мне вежливо спросили, предложили решение зависимостей. Ничего такого не было в зависимостях, только сторонний софт полетел, который сам собирал, да и бог бы с ним. Обновилось без ошибок, говорят надо перезагрузиться. Вот она перезагрузка:

Alert! /dev/disk/by-uuid/646afa5e-32d….. does not exist. Dropping to a shell.

Я невзрачно глянул на всю эту картину, начал  вкуривать и понял что поставился как то криво GRUB2 (всеми нахваленный) с криво выполенным update-initramfs -u. Начал разбираться:

Первое что мне росилось в глаза так это то, что в /boot/grub/device.map перечислены все 4 мои диска! Но не просто перечислены, а в виде UUID. В Lenny просто писалось (hdo) /dev/sda, (hd1) /dev/sdb. Не долго думаю беру аварийный диск от RedHat 5.4 гружусь в режиме linux rescue, делаю chroot окружение:

mkdir /mnt/system

mount /dev/sda1 /mnt/system (sda1 один из дисков системного райда)

mount -o bind /dev /mnt/system/dev

mount -o bind /selinux /mnt/system/selinux

mount -t proc none /mnt/system/proc

mount -t sysfs none /mnt/system/sys

chroot /mnt/system

И работаю уже непосредственно на своей системе.

Одно большое замечание:

Т.К Я МОНТИРОВАЛ ЧИСТО РАЗДЕЛ, А НЕ МОЙ СОФТОВЫЙ РАЙД, НУ НЕ СТАЛ Я С НИМ ЗАМОРАЧИВАТЬСЯ, И ВЫКИНУЛ ВТОРОЙ ДИСК ПОЛНОСТЬЮ ИЗ СИСТЕМЫ КОМАНДУ update-initramfs -u НИ В КОЕМ СЛУЧАЕ НЕ ДЕЛАТЬ!!!

И так после гуляния по /boot/grub и чтения кучи конфигов понял что все теперь идет по UUID. UUID получить не сложно, есть команда blkid и вижу на свой /dev/md0. В общем изменил device.map на свой привычный сделал update-grub, мне сгенирировался новый grub.cfg, но не тут то было вместо UUID он везде прописал /dev/sda, а именно:

/boot/vmlinuz-2.6.26-2-686 root=/dev/sda

А надо строчку вида:

/boot/vmlinuz-2.6.26-2-686 root=UUID=646afa5e-a3d2-4ce1-9899-c9566e7b10e6

Где 646afa5e-a3d2-4ce1-9899-c9566e7b10e6 собственно мои UUID устройства md0.

И еще set root='(md0)’ представлял в виде set root='(hd0, floppy)’ почему так и не понял. В общем все я сохранил и ребут и вуаля система загрузилась.

Прошел как бы месяц и вот вчера вечером то я решил повыкидывать все лишние ядра, и местечко почистить, да и смысл их хранить? В общем удалил, и опять та же самая ситуация. Начал копать, и выяснил что это БАГ нового загрузчика GRUB2 а именно при включении это фоновой картинки почему то происходит такое вот поведение именно только с софтовым райдом, с обычными дисками все четко. Решение:

  1. Вернуть систему к жизни вышеописанным способом
  2. Сходить в /etc/default
  3. Открыть конфиг grub
  4. И раскоментировать строку GRUB_TERMINAL=console
  5. Сделать update-grub и наслаждаться жизни

Строкой GRUB_TERMINAL=console мы отключили фоновую картинку, т.е вернули старый синий для глаз приятный фон. И при чем теперь загрузчик автоматически ставиться на оба диска в софтовом RAID1, что не может не радовать!  :lol:

Копирайт поста мой, если что кто-то копирует к себе в блог или на пост, то не забываем про меня. Дабы мне было приятно.

Жду комментариев.

 

System Administrator Appreciation Day

История праздника

День системного администратора (также известен как «Международный день сисадмина») — праздник, отмечаемый в последнюю пятницу июля с целью выражения признательности сотрудникам, выполняющим обязанности системных администраторов. «Отцом» праздника является американский сисадмин с 20-летним стажем Тед Кекатос, посчитавший, что хоть раз в год системные администраторы должны чувствовать благодарность со стороны пользователей.  Идея родилась, когда Тед увидел в журнале рекламу принтеров HP. На картинке был изображён сидевший в своём закутке системный администратор и пользователи, выстроившиеся в очередь, чтобы преподнести ему подарки в благодарность за установленные принтеры. За несколько месяцев до этого Кекатос как раз установил несколько таких принтеров у себя в компании, поэтому он поинтересовался у сотрудников: «Где ваша благодарность?». Однако все только рассмеялись. Тед зарегистрировал доменное имя, раскрутил сайт «System Administrator Appreciation Day» и разослал всем своим друзьям приглашение на День сисадмина, который он запланировал на последнюю пятницу июля. Впервые неофициальный праздник отмечался 28-го июля 2000 года. Это был просто пикник на природе на окраине Чикаго, в котором приняли участие члены небольшой софтверной компании.

В 1999 году поклонниками Операционной Системы GNU/Linux был основан Ежегодный фестиваль пользователей Linux и свободного программного обеспечения LinuxFest, который, в дальнейшем, был приурочен ко Дню системного администратора. Кстати, в том же году Папа Римский Иоанн Павел II официально назвал Святого Исидора покровителем пользователей компьютеров и сети Интернет. С 2006 года начал проводиться Всероссийский Слет сисадминов, который так же, как и LinuxFest, ежегодно проводится в Калужской области.

В этот день принято чествовать скромных тружеников «невидимого фронта», оберегающих благополучие корпоративных сетей и компьютеров, — ведь именно от них напрямую зависит успешная работа компании. В день праздника рекомендуется проявлять к сисадминам повышенное внимание и дарить им подарки, хвалить и заверять в вечной любви и дружбе.

Кто такой системный администратор.

Системный администратор (англ. system administrator) — сотрудник, должностные обязанности которого подразумевают обеспечение штатной работы парка компьютерной техники, сети и программного обеспечения в организации. Другие названия: сисадмин (англ. sysadmin), нередко просто админ.

Системные администраторы — сотрудники, в обязанности которых входит не только слежение за сетевой безопасностью организации, но и создание оптимальной работоспособности компьютеров и программного обеспечения для пользователей, часто связанных между собой общей работой на определенный результат.

Нередко функции системного администратора перекладывают на компании, занимающиеся IT-аутсорсингом. Обычно такие компании предоставляют более низкую, чем содержание штатного сотрудника, стоимость обслуживания, и осуществляют работу на основе абонементных договоров.

Ввиду быстрого роста Интернета и развития сетевых технологий, системному администратору-одиночке становится всё сложнее противостоять всем проблемам, поэтому давно появились специализированные форумы и печатные издания, направленные на расширение кругозора начинающих системных администраторов и оказание помощи в решении различных проблем.

В круг типовых задач системного администратора обычно входит:

  • подготовка и сохранение резервных копий данных, их периодическая проверка и уничтожение;
  • установка и конфигурирование необходимых обновлений для операционной системы и используемых программ;
  • установка и конфигурирование нового аппаратного и программного обеспечения;
  • создание и поддержание в актуальном состоянии пользовательских учётных записей;
  • ответственность за информационную безопасность в компании;
  • устранение неполадок в системе.

В организациях с большим штатом сотрудников вышеупомянутые обязанности могут делиться между несколькими системными администраторами, например, могут быть отдельные администраторы безопасности, пользователей и резервного копирования.

  • инженером технической поддержки;
  • инженером—электроником технической поддержки;

Существуют также маловостребованные виды специалистов, таких как «эникейщики». В их обязанности, как правило, входит поддержка программного обеспечения на уровне опытного пользователя.

«Эникейщик» (от англ. any key — «любая клавиша») — очень востребованный «специалист» во времена появления и распространения персональных компьютеров в нашей стране, поскольку большинство пользователей обладало весьма слабыми познаниями в области английского языка, при виде надписи «press any key to continue…» приходило в замешательство и пыталось отыскать клавишу «any key», в таких ситуациях и приходил на помощь пользователю наш «специалист». Надпись «press any key to continue…» выводилась на экран в тех же случаях как и сегодня надпись «далее» («next»).

Этот день касается многих системных администраторов:

  • Администраторы веб-сервера
  • Системные инженеры (или системные архитекторы)
  • Администраторы базы данных
  • Системные программисты мэйнфреймов
  • Администраторы сети
  • Компьютерные администраторы
  • Администраторы безопасности сети
  • Администраторы почтовых серверов
  • Администраторы голосовой почты
  • Администраторы домашних сетей
  • Администраторы серверов 1С и других программ
  • Администраторы телефонной и сотовой связи
  • Web-мастера

Пытаясь составить для себя портрет системного администратора и представить типичный день из его жизни, исследователи Гильдии сисадминов (SAGE) пришли к интересным и несколько неожиданным выводам, опросив добровольцев из более чем 20 стран.

  • работает около 9,5 часов в день, 5 дней в неделю;
  • работает на этой должности около 7 лет;
  • официально не называется системным администратором (75%);
  • учился в высшем учебном заведении (40%) и имеет степень (77%);
  • находится в возрасте около 32 лет, мужчина, женат, детей нет;
  • занимается поддержкой более 500 пользователей и рабочих станций;
  • занимается поддержкой 10-20 серверов;
  • работает в группе из 2-5 человек;
  • сталкивается с «нетипичной ситуацией» на работе раз в неделю или чаще;
  • чаще использует NetApp или подобные ему средства, а не чистый UNIX;
  • пользуется Linux’ом.

По мотивам сайта http://www.sysadminday.ru/

И от себя добавлю:

Будь спокоен $USER:

Get the Flash Player to see this content.

Весна и пиво:

Get the Flash Player to see this content.

Тяжело Админу:

Get the Flash Player to see this content.

Хостинг

Что такое хостинг?

Что такое хостинг, вопрос, который волнует скорее начинающих веб мастеров. Хостинг – это услуга, по предоставлению части своего серверного пространства различными компаниями, так называемыми хостинг-провайдерами. Проще говоря, хостинг – это ни что иное как размещение Вашего сайта в сети интернет.

Задачи хостинга

Созданный сайт в своей структуре имеет множество файлов различного формата. Но при открытии страницы сайта, мы видим не эти файлы, а страницу с графическим изображением, текстом, ссылками и др. Каждый хостинг имеет необходимый набор программ для обеспечения правильного отображения сайта и это только одна из обширного спектра задач, которые выполняет хостинг.

Важной задачей хостинга является физическое размещение файлов сайта на сервере хостинг-провайдера.

Специальные технические средства, установленные хостинг-провайдером, позволяют организовать связь между сайтом и доменным именем. Благодаря им, при вводе в строку браузера адреса сайта www.сайт.ru мы попадаем именно на этот сайт, независимо в какой точке мира мы находимся.

Каждый хостинг-провайдер обеспечивает стабильную работу всех серверов, на которых размещаются файловые каталоги сайтов. Важно, чтобы сбои в работе были очень редкими, т.к это может выбить сайт из поисковых систем и сильно повлиять на его посещаемость.

Выбор хостинга

Проблема выбора хостинга начинает беспокоить веб мастеров еще на самой ранней стадии создания сайта. От того насколько качественным окажется хостинг напрямую зависит работоспособность и доступность сайта посетителям.

Наша веб-студия предлагает качественный и не дорогой хостинг. Для наших клиентов работает круглосуточная служба технической поддержки, которая оперативно разрешит проблемы связанные с хостингом. Мы предлагаем гибкие и разнообразные тарифы, изучив которые Вы обязательно найдете устраивающий именно Вас вариант.

Параметры хостинга

Выбрав подходящий тариф и подобрав доменное имя, Вы оперативно можете проверить его на занятость и в случае если оно свободно сразу же зарегистрировать его во множестве популярных зонах. На домены, купленные у нас, наша веб-студия предоставляет бесплатную ДНС — поддержку, а управление ДНС — записями осуществляется через удобный и понятный интерфейс.

Благодаря простой и удобной панели управления хостингом ISP Manager, Вы легко освоите все аспекты управления хостингом. На сервере нашей веб-студии сразу установлены CMS Joomla 1.5! и Joostina.

Базы данных хостинга сохраняются каждый день, неделю и месяц. 7 копий ежедневного сохранения хранятся неделю. 4 копии еженедельного сохранения хранятся месяц. 3 копии ежемесячного сохранения хранятся 6 месяцев. Такая система сохранения базы данных позволяет значительно повысить стабильность и устойчивость работы размещенных ресурсов.

Тарифные планы хостинга

Все тарифные планы предоставляют неограниченное количество e-mail аккаунтов.

Тарифный план 1000 3000 5000 10000 20000 50000
Помесячная плата 100 руб 200 руб 400 руб 600 руб 1000
руб
3000
руб
Оплата за 6 мес 500 руб 1000 руб 1800 руб 2800 руб 5000
руб
15000
руб
Оплата за год 900 руб 1600 руб 3500 руб 4500 руб 9000 руб 30000
руб
Дисковое пространство 1000 mb 3000 mb 5000 mb 10000 mb 20 Gb 50 Gb
Количество поддоменов Неограничено
Количество доменов 1 1 2 4 10 20
Базы данных MySQL (mysql5) 1 2 4 10 Неогран Неогран.
POP3 email аккаунтов Неограничено
Система управления сайтом Joomla Есть Есть. Есть Есть Есть Есть
Web-интерфейс для почты Есть Есть. Есть Есть Есть Есть
PHP 5 Есть Есть. Есть Есть Есть Есть
Perl 5 Есть Есть. Есть Есть Есть Есть
FTP доступ Есть Есть. Есть Есть Есть Есть
PHP MyAdmin Есть Есть. Есть Есть Есть Есть
Максимум пересылок почты Неограничено
Максимум почтовых групп Неограничено
Максимум почтовых автоответчиков Неограничено
Максимум списков рассылки Неограничено

Если Вы оплачиваете хостинг на год вперед на тарифных планах 500 и выше, Вы получаете домен в зоне .ru бесплатно!

  • Apache
  • PHP 5
  • PHP MyAdmin
  • FTP доступ к каждому домену/субдомену
  • Perl 5
  • CMS Joomla!
  • FrontPage Server Extensions
  • Ваша cgi-bin директория
  • Поддержка SSI
  • .htaccess
  • Cron
  • Web-интерфейс для почты
  • Почтовый Спам-фильтр
  • Courier-imap
  • Управление DNS

На правах Администрации www.service-network.ru

Оптимизация CentOS

Встала задача по оптимизации высоконагрнуженного сервера на базе CentOS 5.4. Помимо ручной правки  конфига sysctl.conf был найден в репозитарии пакет ktune:

yum update

yum upgrade

yum install ktune

Он уже включает базовый набор для оптимизации ядра.

И создает свой конфиг /etc/sysctl.ktune который подгружает правила к уже существующем в конфиге /etc/sysctl.conf

Прирост оптимизации на лицо!!!

А вообще все доступные опции смотрим в sysctl -a

Не забывая при этом читать man sysctl

И после внесения изменений sysctl -p

  • 1
  • 2