21.08.14

Orange Book & CC

Классика)

TCSEC (Trusted Computer System Evaluation Criteria) aka "Orange Book"
http://csrc.nist.gov/publications/history/dod85.pdf
+
CC (common criteria), ISO/IEC 15408
http://www.commoncriteriaportal.org/cc/

10.06.14

Red Hat Forum 2014 & RHEL7

Сегодня посетил Red Hat Forum 2014, все было весьма интересно, как и на всех мероприятиях проводимых Red Hat или сообществом Fedora. Были обзоры практически всех продуктов компании, выступления партнеров и спонсоров (HP, IBM, Dell), общий акцент как уже принято на облака и big data, но самое главное это то, что в этот же день выходит долгожданный RHEL 7!!!

24.05.14

MySQL max_connection

#vim /etc/my.cnf

[mysqld]
...
max_connection=1000
...


(по умолчанию 151)

MySQL InnoDB

#vim /etc/my.cnf

[mysqld]
...
default-storage-engine=InnoDB
...

10.04.14

24.01.14

HP Software Delivery Repository

HP Software Delivery Repository
This site provides yum and apt repositories for Linux-related software packages.

http://downloads.linux.hp.com/SDR/

20.10.13

Отключение IPv6

sysctl
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1

RHEL6 (/CentOS6):
Отключаем модули ядра для ipv6:
#cat > /etc/modprobe.d/ipv6.conf << EOF
options ipv6 disable=1
alias net-pf-10 off
alias ipv6 off
install ipv6 /bin/true
EOF

Первая строка здесь отключает ipv6, остальные предотвращают загрузку уже ненужного модуля ядра для ipv6.

Отключаем iptables для ipv6:
#chkconfig ip6tables off

Ubuntu 13.10:
#cat /etc/default/grub
...
GRUB_CMDLINE_LINUX_DEFAULT=" ipv6.disable=1"
...

#update-grub2

21.09.13

Конференция «Дорога в облака»

Посетил конференцию «Дорога в облака»

* «Нестандартное использование Puppet в деплойменте» - Михаил Щербаков, Mirantis.
* «Как облачные технологии меняют Linux-дистрибутивы?» - Петр Леменков, Fedora Project.
* «Производительность и масштабируемость OpenStack» - Борис Павлович, Mirantis.
* «Configuration Management at large companies» (in English) - Matthew Mosesohn, Mirantis.
* «Развертывание OpenStack с помощью Fuel» - Михаил Щербаков, Mirantis.
* «Elliptics, отказоустойчивое распределенное KV-хранилище» - Евгений Поляков, Яндекс.
* «Облачные решения от Red Hat, и будущее» - Сергей Бугрин, Red Hat.
 

07.09.13

RPi

Недавно переехал и сейчас задумался отказываться от yota в пользу полноценного интернета (и более дешевого) и заключая сегодня договор с провайдером, я отказался от услуг настройки оборудования и предложений о покупки роутера) мой RaspberryPi куда лучше всей этой шелухи. Geek's HandMade) Only GNU/Linux! Да, сейчас на фото ubuntu, а в Pi - raspbian, но можно и дубль два - будет fedora + pidora) ...дело вкуса...!!!)))

22.07.13

ubuntu edge

Вот телефон который я хочу, ubuntu edge, все остальные по сравнению с ним меркнут!














Очень жаль, что это пока только краудфандинг и поэтому хочется сказать следующее:

16.06.13

WIFI точка доступа в Linux (или WIFI-router из RaspberryPi)

WIFI точку доступа в linux можно настроить используя hostapd, dhcp сервер и поддерживаемый wifi-адаптер, драйвер которого сможет выступать в качестве AP. http://wireless.kernel.org
Один из поддерживаемых USB wifi-адаптеров - TP-LINK TL-WN722N(С) (http://www.tp-linkru.com/products/details/?categoryid=&model=TL-WN722N) им я и воспользовался.

Ниже описана конфигурация wifi точки доступа, собранной из RaspberryPi (raspbian), LTE-модема yota и уже упомянутого wifi-адаптера TP-LINK TL-WN722NС.


  • Настройка интерфейсов:
Устанавливаем resolvconf, необходим для работы опции "dns-nameservers":
#apt-get install resolvconf

Редактируем сами интерфесы:
#cat /etc/network/interfaces
auto lo
        iface lo inet loopback
        iface eth0 inet dhcp

#onboard ethernet
auto eth0
iface eth0 inet static
        address 172.16.0.10
        netmask 255.255.255.0

#yota
auto default eth1
iface eth1 inet dhcp
        dns-nameservers 8.8.8.8

#wifi
auto wlan0
iface wlan0 inet static
        address 192.168.0.1
        netmask 255.255.255.0
        dns-nameservers 8.8.8.8

  • Настройка dhcp:
Ставим dhcp сервер, я воспользовался стандартным:
#apt-get install isc-dhcp-server

Правим стандартную конфигурацию:
#cat /etc/dhcp/dhcpd.conf

ddns-update-style none;
#option domain-name "example.org";
#option domain-name-servers 8.8.8.8;

default-lease-time 600;
max-lease-time 7200;
log-facility local7;

subnet 192.168.0.0 netmask 255.255.255.0 {
  range 192.168.0.25 192.168.0.30;
  option domain-name-servers 8.8.8.8;
  option routers 192.168.0.1;
  interface wlan0
}
  • Настройка точки доступа hostapd:
Устанавливаем пакет:
#apt-get install hostapd

Создаем конфиг, в итоге должно получится следующее:
#cat /etc/hostapd/hostapd.conf

interface=wlan0
driver=nl80211
ssid=SSIDName
hw_mode=g
channel=11
wme_enabled=1
ieee80211n=1
ht_capab=[HT40-][SHORT-GI-40][DSSS_CCK-40]
wpa=2
wpa_passphrase=SecretPasswordPhrase
wpa_key_mgmt=WPA-PSK
wpa_pairwise=TKIP CCMP
wpa_ptk_rekey=600
macaddr_acl=0

Здесь нужно заменить SSIDName на желаемое имя wifi сети, а SecretPasswordPhrase соответственно на пароль wifi сети.

Также необходимо подправить init-скрипт демона /etc/init.d/hostapd:
присвоить значение для
... 
DAEMON_CONF=/etc/hostapd/hostapd.conf
...
а также добавить управление интерфейсом wlan0 при старте, рестарте и останове демона:

...
#wlan iface
WLAN=wlan0
...
  start)
    #up wlan iface
    /sbin/ifup $WLAN

    log_daemon_msg "Starting $DESC" "$NAME"
    start-stop-daemon --start --oknodo --quiet --exec "$DAEMON_SBIN" \
        --pidfile "$PIDFILE" -- $DAEMON_OPTS >/dev/null
    log_end_msg "$?"
    ;;
  stop)
    log_daemon_msg "Stopping $DESC" "$NAME"
    start-stop-daemon --stop --oknodo --quiet --exec "$DAEMON_SBIN" \
        --pidfile "$PIDFILE"

    #down wlan iface
    /sbin/ifdown $WLAN

    log_end_msg "$?"
    ;;
...

  • Настройка файервола:

Включаем forwrding в sysctl.conf:
net.ipv4.ip_forward=1
В iptables разрешаем forwarding для беспроводного интерфейса и разрешаем masquerading для интерфейса подключенного к Интернет:
#iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
#iptables -A FORWARD -i eth1 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
#iptables -A FORWARD -i wlan0 -o eth1 -j ACCEPT
Плюс ко всему необходимо блокировать ненужный трафик.

Существует ряд способов применить настройки правил iptables при старте системы, в debian/ubuntu я пользуюсь iptables-persistent:
Ставим пакет, при установке можно не сохранять текущие правила, т.к. будут редактироваться:
#apt-get install iptables-persistent

Далее добавляем необходимые правила в файл:
#cat /etc/iptables/rules.v4

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT

*filter
:INPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i wlan0 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -i eth1 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i wlan0 -o eth1 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

Это необходимый минимум правил. Далее их можно добавлять и совершенствовать усиливая защиту, например добавив проверку по MAC адресам, установить IPS/IDS и т.д.

Такая реализация wifi-роутера меня лично больше устраивает чем скажем OpenWRT+поддерживаемый им роутер, чем я и пользовался ранее, в плане ПО уж точно.
Были опасения по поводу нагрева RaspberryPi в этом корпусе, но температура была вполне штатная 51'С и скорее всего установка радиаторов или отверстий в корпусе не потребуется.

TODO: аналогичная настройка, но на fedora.

12.06.13

Red Hat выпустила Red Hat Enterprise Virtualization 3.2


Вышла новая версия системы виртуализации RHEV 3.2. Основные новшества - полная поддержка Storage Live Migration и поддержка последних моделей процессоров Intel и AMD.

08.06.13

NetGWM

"NetGWM (Network Gateway Manager) — утилита для автоматического переключения сетевых шлюзов в случае недоступности интернет-подключения в операционной системе GNU/Linux. NetGWM позволяет с лёгкостью создавать отказоустойчивые подключения к глобальной сети.", flant.ru

Linux Advanced Routing & Traffic Control

http://lartc.org

06.06.13

Подключение yandex disk в nautilus 3.6+

Connect to Server:
davs://login@webdav.yandex.ru:443

01.06.13

семинар Red Hat продукты и технологии. IV. RHEV.

Тема семинара: Основы настройки и управления Red Hat Enterprise Virtualization 3.1:
  • установка базовой инфраструктуры, необходимой для развертывания системы виртуализации, основанной на Red Hat Enterprise Virtualization 3.1 (установка менеджера RHEV-M и хостов виртуализации);
  • настройка и управление менеджером и хостами виртуализации (настройка хранилищ, создание виртуальных машин, шаблонов виртуальных машин и так далее). 
Как и в предыдущих семинарах все было очень интересно! В этот раз добавилась еще и практическая часть!

08.05.13

Debian 7.0 multiarch

debian 7.0 multiarch quick start:
http://wiki.debian.org/Multiarch/HOWTO

На amd64 машине:
проверяем:
#dpkg --print-architecture
#dpkg --print-foreign-architectures
добавляем:
#dpkg --add-architecture i386
#vim /etc/apt/sources.list
...
deb [arch=amd64,i386] http://mirror.yandex.ru/debian/ wheezy main
...

20.04.13

Тестируем openstack.

Полезные ресурсы для тестирования openstack:

06.04.13

RHCE

Сдал экзамен RHCE (Red Hat Certified Engineer)!

01.04.13

Курс RH254 Red Hat - Системное администрирование III

Продолжаю обучение по Red Hat Enterprise Linux, прокачиваю навыки и готовлюсь к экзамену RHCE на курсе "RH254 Red Hat - Системное администрирование III", УЦ Инвента.

30.03.13

Семинар Red Hat: продукты и технологии. III

Посетил семинар Red Hat: продукты и технологии. III.
  • Кластеризация PostgreSQL: различные варианты обеспечения отказоустойчивости и балансировки нагрузки
  • Что нового в управлении аутентификацией и авторизацией в RHEL 6.4
  • Подписки RHEL. Как правильно выбирать для физических и виртуальных сред
  • Особенности управления ресурсами при помощи Cgroup
  • OpenShift – свободное PaaS облако

11.03.13

zram

zram позволяет в частности использовать быстрый по сравнению с традиционным swap раздел, за счет отображения его в памяти (в сжатом виде), тем самым увеличивая суммарное количество RAM в системе.

В ubuntu:
#apt-get install zram-config

Суть пакета - скрипт upstart:

description    "Initializes zram swaping"
author        "Adam Conrad <adconrad@canonical.com>"

start on runlevel [2345]

pre-start script
  # load dependency modules
  NRDEVICES=$(grep -c ^processor /proc/cpuinfo | sed 's/^0$/1/')
  if modinfo zram | grep -q ' zram_num_devices:' 2>/dev/null; then
    MODPROBE_ARGS="zram_num_devices=${NRDEVICES}"
  elif modinfo zram | grep -q ' num_devices:' 2>/dev/null; then
    MODPROBE_ARGS="num_devices=${NRDEVICES}"
  else
    exit 1
  fi
  modprobe zram $MODPROBE_ARGS

  # Calculate memory to use for zram (1/2 of ram)
  totalmem=`free | grep -e "^Mem:" | sed -e 's/^Mem: *//' -e 's/  *.*//'`
  mem=$(((totalmem / 2 / ${NRDEVICES}) * 1024))

  # initialize the devices
  for i in $(seq ${NRDEVICES}); do
    DEVNUMBER=$((i - 1))
    echo $mem > /sys/block/zram${DEVNUMBER}/disksize
    mkswap /dev/zram${DEVNUMBER}
    swapon -p 5 /dev/zram${DEVNUMBER}
  done
end script

post-stop script
  if DEVICES=$(grep zram /proc/swaps | awk '{print $1}'); then
    for i in $DEVICES; do
      swapoff $i
    done
  fi
  rmmod -w zram
end script