TheLinuxFoundation — 18.03.2009 — Here’s a music video about Linux. Written by Lodge McCammon and performed by Brian Bouterse.
Lyrics:
I am Linux in a box
Yea, Im super-stable, peer-reviewed, Gnu enabled
You can put me in your box
To get your home computer to be
Faster and so secure
Yea, well Redhat is sure
That their support is the cure
The community is ready
If Im bugged or unsteady
This is who we are
Im an open source heavy
Operating system everywhere
thats going far
I am Linux in your box
Im your custom system
Express your needs, the community listens
I am linux in your phone, your Tivo and playstation
The right solution, and now its time
For my OS to shine
future is mine all mine
Приветствую всех! В продолжении теории iptables публикую данную практическую статью о сетевом фильтре Linux. В статье рассмотрю типовые примеры реализации правил iptables в Linux, а так же рассмотрим способы сохранения созданной конфигурации iptables.
Настройка netfilter/iptables для рабочей станции
Давайте начнем с элементарной задачи – реализация сетевого экрана Linux на десктопе. В большинстве случаев на десктопных дистрибутивах линукса нет острой необходимости использовать файервол, т.к. на таких дистрибутивах не запущены какие-либо сервисы, слушающие сетевые порты, но ради профилактики организовать защиту не будет лишним. Ибо ядро тоже не застраховано от дыр. Итак, мы имеем Linux, с настроенным сетевым интерфейсом eth0, не важно по DHCP или статически…
Для настройки сетевого экрана я стараюсь придерживаться следующей политики: запретить все, а потом то, что нужно разрешить. Так и поступим в данном случае. Если у вас свежеустановленная система и вы не пытались настроить на ней сетевой фильтр, то правила будут иметь примерно следующую картину: iptables примеры, читать далее
Netfilter — межсетевой экран (он же, брандмауэр, он же файерволл, он же firewall…) встроен в ядро Linux с версии 2.4. Netfilter управляется утилитой iptables (Для IPv6 — ip6tables). До netfilter/iptables был Ipchains, который входил в состав ядер Linux 2.2. До ipchains в Linux был так называемый ipfw(IPV4 firewal), перенесенный из BSD. Утилита управления – ipfwadm. Проект netfilter/iptables был основан в 1998. Автором является Расти Расселл (он же руководил и прошлыми разработками). В 1999 г. образовалась команда Netfilter Core Team (сокращено coreteam). Разработанный межсетевой экран получил официальное название netfilter. В августе 2003 руководителем coreteam стал Харальд Вельте (Harald Welte).
Проекты ipchains и ipfwadm изменяли работу стека протоколов ядра Linux, поскольку до появления netfilter в архитектуре ядра не существовало возможностей для подключения дополнительных модулей управления пакетами. iptables сохранил основную идею ipfwadm — список правил, состоящих из критериев и действия, которое выполняется если пакет соответствует критериям. В ipchains была представлена новая концепция — возможность создавать новые цепочки правил и переход пакетов между цепочками, а в iptables концепция была расширена до четырёх таблиц (в современных netfilter – более четырех), разграничивающих цепочки правил по задачам: фильтрация, NAT, и модификация пакетов. Также iptables расширил возможности Linux в области определения состояний, позволяя создавать межсетевые экраны работающие на сеансовом уровне. iptables настройка, читать далее
Доброго времени, читатели блога Любителя экспериментов! В продолжении статьи о Maintenance Plans для MS SQL 2005 дополняю статьей о том, как настроить уведомление об ошибках Maintenance Plan MS SQL 2005 по электронной почте. Это позволит сэкономить время и силы ) на ежедневный ручной контроль выполнения регламентных заданий.
Введение в Database Mail в MS SQL Server 2005
Database Mail появился в SQL Server 2005, заменив собой компонент SQLMail. Данный компонент используется для отправки сообщений электронной почты компонентом сервера – Database Engine. Database Mail не требует установленного почтового клиента и сам общается с почтовым сервером по протоколу SMTP. Для того, чтобы все корректно заработало, необходимо несколько вещей: 1. Собственно, сам Microsoft SQL Server; 2. почтовый сервер, доступный с машины с SQL Server’ом; 3. членство в роли sysadmin у вашей учетной записи в SQL Server, поскольку настройку могут производить только члены этой роли.
Думаю, очень к месту будет напомнить о модели OSI, ибо с ней (с моделью OSI) в статье будет тесное взаимодействие. Поэтому привожу картинки из статьи. В Linux статическая конфигурация сети настраивается с помощью конфигурационных файлов. Данный способ настройки я рассматривал в статье Настройка сети в Linux, диагностика и мониторинг.
В старых версиях ядер Linux (2.4 и ниже) существовали инструменты настройки сети из пакета net-tools, которые включали в себя такие команды, как ifconfig – для управления сетевыми интерфейсами, route – управление таблицей маршрутизации, arp – управление таблицей разрешения имен, netstat – сетевая статистика, mii-tool – статус сетевых устройств и др. В дистрибутивах, использующих современные ядра внедряется пакет iproute2 (иногда называется iproute) и net-tools оставлен, как некоторые утверждают, для совместимости. В пакет iproute входят 3 основных утилиты: ip – команда для просмотра параметров и настройки сетевых интерфейсов, IP-адресов, таблиц маршрутизации, правил маршрутизации, таблиц ARP преобразования, IP-туннелей и т.д. tc (traffic control) – команда для просмотра и настройки параметров управления трафиком (классификация трафика, дисциплины управления очереди для различных классов трафика), ss – команда для просмотра текущих соединений и открытых портов (аналог netstat).
Доброго времени, гости и читатели блога k-max.name. Сегодня публикую небольшую мемори-записку о настройке Microsoft SQL 2005 для 1С Предприятия. Думаю для других нужд использования MS SQL данная статья тоже даст некоторую информацию. Итак, начнем…
Шаг 0. Перед установкой и настройкой MS SQL 2005 желательно иметь 3 физических диска. Один – для системы, второй – для файлов баз и третий – для журналов транзакций SQL. При этом, раздел для логов SQL и tempdb желательно чтобы был более производительным (например RAID 1+0).
Шаг 1. Установка сервера MS SQL
При установке SQL-сервера для работы с 1С достаточно следующих включенных компонентов (более подробно о компонентах Microsoft SQL тут, об установке серера тут):
Доброго времени, уважаемые читатели блога! Сегодня публикую небольшое HOWTO для тех кто внедряет OpenSource :) Встала задача перенести сервер DrWeb EntSuite 6 с Windows 2003 на Linux. Выкладываю плод своих испытаний:
Исходные данные для переноса сервера:
Старый сервер: 10.0.0.1 на Windows 2003 + IntDB в качестве базы для сервера DrWeb
Новый сервер: 10.0.0.6 на Debian Squeeze Wheezy (по ряду причин пришлось использовать тестовую версию дистрибутива) + PostgreSQL в качестве базы для сервера DrWeb
Рекомендуется для нового сервера создать в DNS запись CNAME, чтобы при следующих переездах просто перенаправить клиентов на новый сервер, пересоздав новую CNAME.
Перенос сервера DrWeb:
1. Установка Dr.Web Enterprise Security Suite на целевой сервер (Debian Wheezy) DrWeb на Debian, далее
Доброго времени, уважаемые читатели и гости блога! В продолжении прошлой темы о NFS, хочу опубликовать небольшой мануал как настроить экспортированные каталоги NFSv4 на проверку подлинности через Active Directory на Windows 2008 R2. Данный пост я реализовывал на дистрибутиве Debian. Удачно заставить работать NFSv4 и AD на Windows 2008 мне удалось только на тестовой версии – wheezy с ядром 3.0.0. На версии squeeze до сих пор идут дебаты по поводу ошибки
Nov 17 11:20:49 archiv rpc.svcgssd[13849]: ERROR: GSS-API: error in handle_nullreq: gss_accept_sec_context(): \
GSS_S_FAILURE (Unspecified GSS failure. Minor code may provide more information) - \
No supported encryption types (config file error?)
Если появится какое-либо решение этой проблемы, то я обновлю пост…
План интеграции Active Directory на Windows 2008 R2 и NFSv4 на Linux (Debian wheezy)
В целом, организацию проверки подлинности ресурсов NFS посредством Kerberos можно представить в виде следующей последовательности шагов:
1. Настроить NFS и проверить работоспособность без Kerberos по протоколу NFSv4
Настройка NFSv4 на сервере
Настройка NFSv4 на клиенте.
2. Настроить Kerberos
Предварительная настройка DNS и контроллера домена.
Настройка синхронизации времени (на основе демона ntpd)
Настроить и проверить Kerberos на идентификацию пользователя без ключевого файла krb5.keytab.
Создать ключевой файл krb5.keytab на KDC (контроллер домена Windows 2008 R2)
Настроить и проверить работу Kerberos для авторизации через krb5.keytab
3. Настроить NFSv4 на проверку подлинности через Kerberos.
Настроить и проверить работу сервера NFSv4 на Debian
Настроить и проверить работу клиента NFSv4 на Debian
Доброго времени, читатели и гости моего блога. Очень большой перерыв между постами был, но я снова в бою ). В сегодняшней статье рассмотрю работу протокола NFS, а так же настройку сервера NFS и клиента NFS на Linux.
Введение в NFS
NFS (Network File System – сетевая файловая система) по моему мнению – идеальное решение в локальной сети, где необходим быстрый (более быстрый по сравнению с SAMBA и менее ресурсоемкий по сравнению с удаленными файловыми системами с шифрованием – sshfs, SFTP, etc…) обмен данными и во главе угла не стоит безопасность передаваемой информации. Протокол NFS позволяет монтировать удалённые файловые системы через сеть в локальное дерево каталогов, как если бы это была примонтирована дисковая файловая система. Тем самым локальные приложения могут работать с удаленной файловой системой, как с локальной. Но нужно быть осторожным (!) с настройкой NFS, ибо при определенной конфигурации можно подвесить операционную систему клиента в ожидании бесконечного ввода/вывода. Протокол NFS основан на работе протокола RPC, который пока не поддается моему пониманию )) поэтому материал в статье будет немного расплывчат… Прежде, чем Вы сможете использовать NFS, будь это сервер или клиент, Вы должны удостовериться, что Ваше ядро имеет поддержку файловой системы NFS. Проверить поддерживает ли ядро файловую систему NFS можно, просмотрев наличие соответствующих строк в файле /proc/filesystems: Network File System, настройка
Доброго времени, читатели www.k-max.name! Сегодня опишу маленькое HOWTO, как на WordPress реализовать водяные знаки на изображениях с помощью php и apache (.htaccess). Самое интересное, что не понадобится нам никаких плагинов! При этом, данное решение вполне применимо к другим движкам. Итак, во первых, добавим в файл .htaccess следующие строки:
Согласно данного правила, все пути, начинающиеся на wp-content/uploads/ и заканчивающиеся на jpg, jpeg, gif или png будут заменены строкой watermark.php?src=wp-content/uploads/… Это позволяет оставлять неизменными исходные изображения и не применять обработчик для таких файлов, как архивы и др. Соответственно, заменив путь wp-content/uploads/на свой можно применить обработку изображений для другого движка.
Кроме этого, необходимо положить в корень сайта файл с именем watermark.png. Это файл самого водяного знака, который будет наложен на основное изображение. Так же, необходимо положить файл empty.png, который содержит 1 прозрачный пиксель и накладывается на маленькие изображения.
Доброго времени, читатели и гости! Сегодня на своем блоге хочу рассмотреть сервер SAMBA, как член домена Active Directory на Windows 200x. Хочу сказать, что изначально статья планировалась с темой “дополнительный контроллер домена Active Directory Windows 200x на Linux“, но к сожалению, SAMBA может работать не более чем в режиме контроллера домена NT4 (по крайней мере, версия samba 3.х). В 4 версии SAMBA планируется режим работы в качестве полноценного контроллера домена Active Directory, но данная версия только разрабатывается и даже не вышел альфа-релиз, поэтому ставить эксперименты с сырым продуктом пока не хочется. Итак, давайте остановимся на работе SAMBA, как члена доменной структуры Active Directory. Большинство дистрибутивов Linux поддерживают интеграцию с AD “из коробки”, но тру-админ должен понимать и разбираться, как все это работает. Поэтому в данной статье я рассмотрю интеграцию Linux и Windows.
Введение (теория)
Как мы знаем из прошлой статьи, основным протоколом SAMBA является SMB/CIFS. Основные задачи данного протокола – обеспечение доступа к файлам и каталогам на удаленной машине и сетевая печать. C годами данный протокол совершенствовался и с каждой новой версией поддерживал более защищенные методы аутентификации. Поддержку различных уровней аутентификации можно увидеть на приведенной иллюстрации слева, взятой с wiki журнала Linuxformat.
Итак, существует четыре основных метода аутентификации SMB/CIFS:
Открытым текстом. Использование данного метода крайне не рекомендуется, т.к. пароль передается не зашифрованым. Данный вид в современных системах по умолчанию – отключен. В SAMBA шифрование можно отключить глобальным параметром encrypted password = no в файле smb.conf.
Еще одна маленькая заметка на моем блоге об отключении и включении IPv6 в Debian.
Отключение IPv6
Способ #1
Отредактировать файл /etc/modprobe.d/blacklist, добавив в конец его строчку:
blacklist ipv6
затем пересобираем образ initrd, для того, чтобы обновить в нём информацию blacklist модулях для udev
для этого выполняем# update-initramfs -u
затем # reboot
Способ #2
/etc/sysctl.d/bindv6only.conf
В нём меняем значение net.ipv6.bindv6only на 0.
Помогает там, где разработчики забыли про IPv6 (многие Java-приложения).
Способ #3
в /etc/default/grub написать
GRUB_CMDLINE_LINUX=”ipv6.disable=1″
после этого выполнить update-grub
затем # reboot
Доброго времени, гости и читатели www.k-max.name. Всех коллег спешу поздравить с профессиональным праздником!
Приурочиваю к празднику сегодняшнюю статью о возможности объединения сетевых интерфейсов для отказоустойчивости и увеличения пропускной способности. Называется это в Linux – BONDING интерфейсов, в windows – Teaming интерфейсов. Bonding в Ubuntu и Debian linux, читать далее
