?

Log in

No account? Create an account

[icon] Клуб Сисадминов
View:Свежие записи.
View:Архив.
View:Друзья.
View:Личная информация.
You're looking at the latest 10 entries.
Missed some entries? Then simply jump back 10 entries

Security:
Subject:Запретить загрузку модулей ядра
Time:02:13 pm
Приветствую.

А есть линуксойды в чяте? :-)

Хотел поинтересоваться на следующий предмет: методичка по безопасной настройке центоси от CIS рекомендует отрубить модули ядра, отвечающие за различные неиспользуемые файловые системы, путём создания файла /etc/modprobe.d/CIS.conf следующего содержания:

install cramfs /bin/true
install freevxfs /bin/true
install jffs2 /bin/true
install hfs /bin/true
install hfsplus /bin/true
install squashfs /bin/true
install udf /bin/true


Возникает закономерный вопрос -- почему именно так, если есть module blacklisting?

Причём CIS benchmark не каких-то мохнатых годов, а самый свежий, 31-01-2017.
comments: 2 комментария or Оставить комментарий Поделиться

Security:
Subject:logrotate в docker
Time:10:04 am
Камрады, недавно столкнулся с такой вещью, как docker
после чего имею вопрос: Как настроить ротацию логов nginx и apache, запущенных в docker
на хосте SLES12.2 с дефолтным docker1.12
гугленье дает отсыл к статьям двухлетней давности с невменяемыми рекомендациями, типа слать логи в stdout контейнера
прошу подсказки, где искать.
comments: 30 комментариев or Оставить комментарий Поделиться


[dil]
Tags:, ,
Security:
Subject:Облачные DNS
Time:09:25 am
Кто-нибудь ими пользуется?
Которые получше - Amazon, Google, или ещё какие-нибудь?
И есть ли там какие-нибудь проблемы?
comments: 24 комментария or Оставить комментарий Поделиться


[aabp]
Security:
Subject:вакансия: Системный администратор Unix, Обнинск Калужской области
Time:02:14 pm
Здравствуйте.

UNIX-оиды из регионов(РФ) есть?
Вам вакансия с релокацией в Обнинск: https://hh.ru/vacancy/22480430.

зы. Резюме можно слать и мне в том числе: bpankin@gmail.com
comments: 13 комментариев or Оставить комментарий Поделиться

Security:
Subject:Linux и наследование владельцев/прав
Time:01:28 pm
Привет.

Камрады, а как белые люди в линуксе решают задачу наследования владельцев/прав на свежесоздаваемые подкаталоги и файлы в определённом каталоге?

У нас есть CMS-ка, которая создаёт сама себе каталоги и файлы. Нужно, чтобы владельцем на них становились apache:somegroup с правами drwx:rwx:--- и rw-:rw-:---

И есть пачка разработчиков, которые ходят по SFTP/SSH и тоже создают файлы в структуре каталогов CMS. И при создании подкаталогов или файлов владельцем на них проставляется developername:somegroup. И тогда апач не может получить доступ к этим каталогам/файлам.

Как по фэншую заставить линукс наследовать владельца-пользователя для всех создаваемых каталогов/папок?

Что уже было предпринято: поставлен SGID на все каталоги и подкаталоги. Поставлены дефолтные ACL для файлов каталогов d:group:somegroup:rw (потому что без этого при создании каталогов/файлов у группы были права r-x:r--. Затем фантазия закончилась :-)
comments: 59 комментариев or Оставить комментарий Поделиться

Security:
Subject:firewalld не блокирует порт
Time:10:34 pm
Коллеги, чо-та какой-то подземный стук наблюдаю я.

Попросили тут помочь с линухом. Грабля следующего характера -- firewalld не блокирует некий порт. Причём 22-ой, например (если его убрать из списка портов в зоне) блокирует, а этот (8033, на нём веб-интерфейс управления докером висит) продолжает быть доступным. Я так-то в линухе (а тем более в докере) не особо силён, поэтому прошу посильного вспомоществования.

Конфиг файрвола:
Читать дальше...Свернуть )

Куда ещё можно посмотреть, чтобы понять, как так-то? Обращение идёт точно к этой машине (виртуалка, Centos 7), tcpdump не даст соврать.
comments: 8 комментариев or Оставить комментарий Поделиться


[dil]
Tags:
Security:
Subject:Resolved: Отчего может быть проблема с ресолвингом в curl ?
Time:11:19 am
Есть некая программа (бинарная, не скрипт), использующая для связи с внешними сайтами libcurl.so .
И у неё время от времени случается такая фигня: 'Curl Error 6 : 'couldn't resolve host name' - многие сотни таких ошибок про один и тот же хост за полторы-две минуты, потом всё налаживается. А потом опять такая же фигня случается, обычно 4-5 раз в день.

При этом host и dig все эти хосты всегда успешно ресолвят. На всякий случай проверил авторитетные сервера доменов, с которыми это случается, все нормально работают. И через указанные в /etc/resolv.conf один местный и два гугловых сервера тоже всё успешно ресолвится.

Гуглить пробовал, единственная найденная идея - поменять в nsswitch.com порядок поиска со стандартного hosts: files dns на hosts: dns files. Поменял, не помогло.

Похоже, проблема где-то внутри curl'овой библиотеки. Есть какие-нибудь идеи, отчего такое может быть, и как это можно исправить?

Upd: Проблема оказалась не в curl'е. На машине был запущен nscd, я решил попробовать его отключить, и тогда ресолвинг стал работать нормально. Такие вот загадочные грабли :(
comments: 29 комментариев or Оставить комментарий Поделиться

Security:
Subject:Локальный репозиторий CentOS
Time:05:30 pm
Коллеги, а внесите, пожалуйста, среди меня ясность по следующему вопросу.

Правильно ли я понимаю, что репозиторий в центоси -- это просто каталожек с RPM-пакетами и каталожек repodata, в котором лежит некоторая мета-информация о том, какие пакеты и каких версий есть в наличии? И repodata можно подготовить с помощью утили createrepo.

И потом всё это хозяйство можно просто презентовать по HTTP, прописать в yum.repos.d/myrepo.conf и дальше центось сможет беспалевно тянуть оттуда пакеты?

Вопрос вызван обилием разных каталогов различной структуры и содержания в официальных зеркалах центоси, а также необходимостью создания локальной репы (с возможностью заливания кастомных версий RPM-пакетов).

Как по фэншую вообще решается задача организации локальной репы? Можно просто отсинкать все RPM-ы откуда-нибудь (скажем, из http://mirror.centos.org/centos/7/os/x86_64/Packages/) в локальный каталог /opt/myrepo01, потом сказать creterepo /opt/myrepo01, и раздать это с http?

А как проверять актуальность/свежесть репы? Как отследить ситуацию, что в какой-то момент синк по-тихому сломался, и никаких новых версий пакетов уже не затягивается? Это как-то отражается в данных, которые генерятся с помощью createrepo? Я попробовал на одном каталоге несколько раз вызвать createrepo, без изменений в составе или версиях RPM, и оно каждый раз разные timestamp'ы в repomd.xml проставляет. Это баг или фича? Или я просто не туда смотрю?
comments: 15 комментариев or Оставить комментарий Поделиться

Security:
Subject:Специалист по Zabbix на разовый проект.
Time:12:46 pm
Уважаемые коллеги, нужен спец по заббиксу, что бы поднять и настроить заббикс в нашей компании.

70 серверов (включая виртуальные) плюс порядка 25 единиц активного сетевого оборудования (преимущественно Cisco).

Необходимо контролировать нехватку места на дисках, избыточную загрузку процессора, оперативной памяти, сетевого интерфейса, интенсивность работы RAID (и состояние массива - grade/degrade), перегрев ну и, собственно, сам факт работоспособности каждого сервера и каждого сетевого активного устройства.

Плюс, возможно, мониторинг печатающих устройств - но это уже надо обсуждать.

Ищем человека, который может потянуть этот проект.

Писать на elyssov собака гымейл, если возможно, то с предварительной финансовой оценкой проекта.

За подробностями - можно и в камменты.
comments: 7 комментариев or Оставить комментарий Поделиться

Tags:, ,
Security:
Subject:Выбор распределенной ФС
Time:09:51 am
Доброе утро, Коллеги!

У меня пятничный вопрос про выбор отказоустойчивого файлового хранилища (в пятницу на прошлой неделе написать неуспел).

Необходимо отказоустойчивое хранилище для файлов. Серверы располагаются в двух ДЦ. С каждого из серверов необходимо чтение и запись файлов. Файлы в основном до 0,5-1Мб. При отказе связи между ДЦ, необходимо продолжить работу на другом ДЦ.

Думаю про:
1) CephFS
2) LeoFS
3) DRBD + раздача по NFS на локальные серверы в каждом из ДЦ

Может посоветуете что-то ещё? Что из этого проще и надежнее в эксплуатации?
comments: 40 комментариев or Оставить комментарий Поделиться

[icon] Клуб Сисадминов
View:Свежие записи.
View:Архив.
View:Друзья.
View:Личная информация.
You're looking at the latest 10 entries.
Missed some entries? Then simply jump back 10 entries