~ アタシ ノ バカ デス ~

Очередная заметка про грабли, и болящую попу.

Допустим вы подключили новенький девственный hdd к своей шайтан-машине. Первым делом надо создать раздел:

fdisk /dev/sdx

n — создаем новый раздел

p — праймари

1 — номер раздела

t — тип файловой системы

83 — HEX код EXT3 (список кодов вы можете глянуть командой L)

w — сохранить изменения

проверьте всё ли верно создалось

fdisk -l

если да, двигаемся дальше и форматируем наш раздел

mkfs.ext3 /dev/sdx1

fsck -f -y /dev/sdx1

добавляем метку для диска иначе при загрузке будет попа (:

tune2fs -L /new-hdd /dev/sdx1

добавляем информацию в /etc/fstab

LABEL=/new-hdd    /new-hdd    ext3    defaults    1 2

пробуем смонтировать раздел

mount /new-hdd

df -h

если всё ок, то можно перезагружаться.

Если же во-время загрузки вы что-то напортачили и на горизонте маячит белый пушной зверёк, то вводим root пароль и переходим в режим Repair filesystem (: Но для того чтобы иметь возможность внести изменения в файл /etc/fstab надо сначала перемонтировать партицию с возможностью записи:

mount -w -o remount /

теперь открываем /etc/fstab и исправляем ошибки.

МОАР »

Сразу оговорюсь что велосипед не мой, но катается хорошо :D

Хостеры иногда предлагают клиентам так называймый burstable трафик, это когда можно на некоторое время зайти за лимит, скомпенсировав трафик во-время наименьшей нагрузки. Более подробно вы можете покурить педивикию, даже на русском!

Для того чтобы добавить сие решение к себе в munin придется немного попатчить RRD. Стоит отметить что пути от дистрибутива и версии могут отличаться, но смекалку никто не отменял ;)

Centos 5:

/usr/lib/perl5/vendor_perl/5.8.8/Munin/Master/GraphOld.pm

Centos 6:

/usr/share/perl5/vendor_perl/Munin/Master/GraphOld.pm

Я не буду приводить листинг кода тут, так как парсер может  его погрызть. Поэтому ссылочка на патчноуты Munin 1.4.x 95 percentage RRD patch или на оригинальный аттач в trac.

Во второй версии dovecot’а есть возможность указывать разные сертификаты для разных доменов (IP адресов и протоколов).

Для этого создаем шаблон:

[ req ]
default_bits = 1024
encrypt_key = yes
distinguished_name = req_dn
x509_extensions = cert_type
prompt = no

[ req_dn ]
# country (2 letter code)
#C=FI

# State or Province Name (full name)
#ST=

# Locality Name (eg. city)
#L=Helsinki

# Organization (eg. company)
#O=Dovecot

# Organizational Unit Name (eg. section)
OU=IMAP server

# Common Name (*.example.com is also possible)
CN=imap.example.com

# E-mail contact
emailAddress=postmaster@example.com

[ cert_type ]
nsCertType = server

и сертификат:

# openssl req -new -x509 -nodes -config cert.cnf -out dovecot-domain-crt.pem -keyout dovecot-domain-key.pem -days 365

перемещаем сертификат и ключ куда надо, задаем права на файлы и т.д.

#  mv dovecot-crt.pem /etc/pki/dovecot/cert/dovecot-domain-crt.pem

#  mv dovecot-key.pem /etc/pki/dovecot/private/dovecot-domain-key.pem

# chmod 0600 /etc/pki/dovecot/cert/dovecot-domain-crt.pem

# chmod 0600 /etc/pki/dovecot/private/dovecot-domain-key.pem

# openssl x509 -subject -fingerprint -noout -in /etc/pki/dovecot/certs/dovecot-domain-crt.pem

далее необходимо поправить конфигурацию ssl для dovecot /etc/dovecot/conf.d/10-ssl.conf находим

ssl_cert = </etc/pki/dovecot/certs/dovecot.pem
ssl_key = </etc/pki/dovecot/private/dovecot.pem

и НИЖЕ ДОБАВЛЯЕМ

local xx.xx.xx.xx {
protocol pop3 {
ssl_cert = </etc/pki/dovecot/certs/dovecot-domain-crt.pem
ssl_key = </etc/pki/dovecot/private/dovecot-domain-key.pem
}
}

Стандартную секцию необходимо оставить, иначе вы будете получать ошибку doveconf: Error: ssl enabled, but ssl_cert not set

вместо local <ваш IP> можно использовать local_name domain.tld, в этом случае секция с protocol pop3 не нужна, но вам понадобится поддержка TLS SNI (Server Name Indication)!

Настраивая что-нибудь в центоси вы обязательно огребете проблем если у вас включен SELinux.

Таким замечательным примером может служить настройка Postfix с SASL аутентификацией в Dovecot. Вы спокойно сделали конфиги, всё проверили, рестартанули сервисы, а в результате нижуя не работает! WTF? Это няши, SELinux.

Идем в лог /var/log/maillog и любуемся такой вот ошибкой:

localhost postfix/smtpd: warning: SASL: Connect to private/auth failed: Permission denied

Благодарим это чудо за чудесную ночь секаса или же берем клаву и ставив на место это безобразие (:

grep smtpd_t /var/log/audit/audit.log | audit2allow -M postfixsasl

коротко о команде — найти smtpd_t в логе аудита и создать на основе этого правило для selinux

semodule -i posfixsasl.pp

добавляем правило в проклятый selinux, перезапускаем сервис(ы) и всё няшно. Эх, если бы я нашла эту фичку год назад…

p.s.

Вот тут: гайд как это работает + ещё примеры для тех кто любит и пожестче.

Вот думала что писала уже про это, а нет, заметки не оказалось. Между тем, для непосвященных няшек это может стать небольшой проблемой, так как стандартные мануалы не подразумевают наличия SELinux и других ништяков.

Итак, для того чтобы изменить стандартный порт доступа надо сделать 3 вещи:

1. открываем /etc/ssh/sshd_config и раскомментируем строку

Port 22

меняем 22 на выбранный вами порт. Если вы хотите чтобы ssh слушал только на IPv4, то раскомментируйте строку

ListenAddress 0.0.0.0

остальные настройки по вкусу (:

2. добавляем правило для iptables (вы можете изменить стандартное правило для 22-го порта)

iptables-save > /path/to/rules.list

добавляем строку

-A INPUT -p tcp -m state —state NEW -m tcp —dport 1234 -j ACCEPT

и сохранив файлик обновляем правила

iptables-restore < /path/to/rules.list

НО, данный вариант будет работать только до первой перезагрузки! Если вы хотите добавить постоянное правило, изменения следует вносить в /etc/sysconfig/iptables

И вот казалось бы всё, но в этом случае перезапустив sshd вы рискуете потерять доступ к серверу, так как включенный по-умолчанию SELinux будет считать что негоже использовать иной порт. Так что переходим к пункту…

3. для того чтобы selinux не возникал, необходимо добавить ваш порт как порт для ssh

semanage port -a -t ssh_port_t -p tcp 1234

проверяем

semanage -l | grep ssh

Так же, вы можете столкнуться с проблемой когда центось вам скажет что знать не знает такой команды, тогда выполняем

yum whatprovides /usr/sbin/semanage

и получив ответ, устанавливаем нужный пакет. в моём случае это

yum install policycoreutils-python

Вот теперь можно смело (перепроверив не забыли ли вы чего!) перезапускать sshd и ломиться на новый порт

service sshd restart

Задолбало каждый раз попадать в долбаные библиотечки?

Открываем свойства ярлычка:

C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Windows Explorer.lnk

и исправляем target на православный Мой Компьютер

%windir%\explorer.exe /e,::{20D04FE0-3AEA-1069-A2D8-08002B30309D}

проклинаем мелкосакс, ставим Read Only атрибут на ярлык и продолжаем уже приятную работу :3

А тем временем факап начавшийся вчера стал ещё интереснее.

Стоит начать с того, что утром винда вообще не захотела грузиться ссылаясь на некоторые поврежденные файлы. Ну не беда! — подумала я, наивно полагая что бэкап который делался пол ночи как раз поможет всё восстановить. Но как оказалось что даже создание бэкапа с последующей валидацией каким-то необъяснимым образом при восстановлении может выкинуть Read Error! И очередная порция кирпичей была обеспечена )

Следующим логическим шагом было конечно же приобретение новых хардов для создания всецелого бэкапа. Но и тут мелкий пушной зверёк мелькнул своим хвостиком сообщив что добыть желаемое может только в понедельник-вторник. ( Ну не беда! — подумала я, и начала искать на просторах байнета нужные няшности. Нашла. Наивно полагая что беря в «нормальном» магазине можно быть спокойной… Да, ты правильно подумал анон! Очередной факап ждал меня когда я приехала покупать искомое в сил….адо. Спору нет, качество у них вроде как нормальное, НО ЧТО ЗА НЕ…ЕННАЯ Х..НЯ ТВОРИТСЯ У НИХ С ЦЕНАМИ?! Петушок-манагер по телефону называет одну сумму, в интернет-магазине указана другая сумма, а в самом магазине тебя обязательно обрадуют тем что товар стоит ещё дороже! И это надо заметить не первый раз! >_< Вообщем больше я об этих мудаках буду выражаться только матом, ибо заебали с такими выкидонами пафосные мухосранцы!!! Но делать было нечего, пришлось заплатить т_т Заодно купила себе новую клавиатурку и ожуенно винрарный девайс USB-флоппи дисковод. ^_^

По приезду домой занялась тестированием памяти, благо проблем с дискетками больше не было. Тесты показали что HYNIX нынче уже не торт… Из 4-х планок только 2 оказались рабочие, 1 сыпет эррорами, а последняя вообще не определяется как живая. +10 к секасу с обменом по гарантии -_-

На данный момент удалось собрать 12гб и это всё же лучше чем 8. Ночь тестов должна показать стабильность данной конфигурации, а заодно дать время подумать о дальнейших действиях и немного поспать.

P.S.

Что-то мне подсказывает что у ASUS’а какая-то неведомая куйня со шлейфами либо sata контроллерами, так как на одном из живых винтов Ultra ATA CRC Error Rate был овер 2к (как раз на том, куда делался бэкап >.>)

Будьте бдительны, няши!

Небольшой дайджест бонус…

Итак, за время последнего поста в повседневности имело место быть:

Какой-то анонимный конобакаяро слил мои фоточки рыжикам… Найду кто, покусаю! >_<

Турнир по Тохо пока не имел места быть, но I’m scared уже…

Похоже всё лето проведу за учёбой чтобы подтянуть отметки на будущий год. пичалька :<

Из-за кризиса придётся похоже закрыть мой сайтик, так как вероятность наскрести или найти папика 0.000000000001%

У Рикку-тян тоже увы не всё отлично… и это печалит больше всего. А ещё я опять её долго не слышала… пустое-место-тян плачет T^T

Можно сказать что генеральная репетиция состоялась. Где-то в районе 9.35 по-Гринвичу все сайты легли в оффлайн вместе с почтовиком, а любые коннекты абортились. Я уже начала прощаться с лоли, но решила проверить действительно ли это конец. Панель управления явно давала понять что сервер всё ещё активный, на ссх доступ сервер отозвался чем приятно меня удивил. Я решила подождать и примерно через два часа всё восстановилось. Саппорт дал ответ что никаких проблем с сетью в то время не было, так что логично предположить что была какая-то бяка с ДНС серверами. На данный момент всё работает и надеюсь доживёт до завтра, когда откроется банк.

Мне явно дали почувствовать что бывает когда твоё время и силы вкладываемые годами превращаются в пыль, историю которой никогда не быть записанной. И всё из-за небольшой казалось бы оплошности.

Так же я сегодня совершила очередную глупость. Эх, и зачем я столько вкачивала наивность… обидно и хочется плакать. т_т

p.s.

12-го  числа у лоли дНЯшка. Надеюсь отпраздновать без очередных сюрпризов.

Есть такая поговорка: «чем больше клиент смыслит в предмете, тем больше он мешает разработке». Но вот когда клиент знает что работник халтурит, но ему не хочется делать его работу за которую он платит деньги — получается занятная ситуация.

Примерно так можно описать складывающиеся отношения с саппортом некоего рб-хостера (фиг тебе, а не реклама! =<) и это меня БЕСИТ! >_<

А что делаете вы в такой ситуации?…