Блог о системном администрировании. Статьи о Linux, Windows, СХД NetApp и виртуализации.

Доброго времени, читатели и гости блога! Хочу попытаться прикрутить антивирусную проверку трафика  проходящего через squid, посему родилась тема для статьи – установка антивирусного сканера ClamAV на Debian 6.

Установка ClamAV

Собственно, установка clamav довольно тривиальна, т.к. пакет clamav имеется в репозиториях Debian. Вся установка сводится к запуску:

 antivirus ~ # aptitude install clamav

Пакет clamav потянет с собой пакеты: собственно, clamav – ядро антивируса, clamav-base – текущие антивирусные базы, clamav-freshclam – демон freshclam, которые ежечасно (или чаще в зависимости от настроек) лезет за обновлениями и libclamav6, libtommath0 – некоторые библиотеки для работы антивируса.

При установке в автозагрузку добавится демон /usr/bin/freshclam ClamAV на Debian 6, читать далее

Доброго времени, читатели и гости моего блога. На днях довелось реализовать вот такую необычную схему на SAMBA, установленной из пакетного менеджера Debian squeezy. Делюсь данным решением с Вами.

Введение

Итак, стояла задача организовать обменник между двумя сетям не связанными между собой. При этом, объем файлов был довольно большой и использовать файловые хостинги или почту для данной задачи неудобно. Было решено поставить между сетями слабенькую машинку с большим объемом дискового пространства и попробовать настроить SAMBA. При этом, 2 конфига будут указывать на один и тот же каталог в файловой системе, это позволит видеть измененные/добавленные файлы обоим подсетям в онлайне. За основу статьи был взят материал из wiki samba.

Особенностью конфигурации samba для работы в нескольких сетях (читай – с разными конфигами) заключается в том, что необходимо хранить tdb – файлы раздельно для каждого запущенного экземпляра smbd/nmbd. Эти файлы содержат некоторую техническую информацию о работе демонов, такую как сопоставление пользователей, пароли и др. (более подобно о файлах tdb можно почитать в man smbd). Чтобы обеспечить хранение tdb-файлов в разных каталогах, можно пойти двумя путями:

1. перекомпилировать SAMBA с указанием путей размещения файлов
2. указать размещение – в конфигурационном файле smb.conf и указать каждому экземпляру демона свой конфигурационный файл

Как вы, наверно, догадались – мы пойдем по второму пути. Кроме того, необходимо заставить samba (читай – демонов smbd, nmbd) слушать запросы на заданных сетевых интерфейсах. Это тоже делается в конфигурационном файле. SAMBA на два интерфейса, читать далее

Какое страшное слово – кракозябры Оно меня всегда пугает… В общем, заметка для себя. Если при печати из Adobe Acrobat вместо текстов выводится куча нечитаемых символов (кракозябров), и при этом выбора чекбокса Print as image (Печать как изображение) не помогает…

Необходимо сделать следующее:

в regedit с правами администратора необходимо:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontSubstitutes

удалить:
 «Courier,0»="Courier New,204"
 «Arial,0»="Arial,204"

Далее – перезагружаемся  и радуемся нормальной печати.

 С Уважением, Mc.Sim!

Backports в Debian – очень удобная штука, к которой часто в работе приходится обращаться. Данная статья имеет “заметочный” характер То есть публикуется как небольшая заметка для себя, чтобы каждый раз не лезть в поисковик. Ориентирована статья на Debian выпуска Squeeze и в будущих/предыдущих выпусках может быть неактуальна.

Что такое backports

backports – это официальный репозиторий (с Sept. 5th, 2010 (с)) Debian, который содержит бинарные пакеты в большей части из тестовой ветки дистрибутива (testing) и в меньшей – из нестабильного (unstable). Особенность этих пакетов в том, что они содержать более новые версии пакетов по сравнению со стабильной веткой, при этом, эти новые пакеты  при установке не тянут за собой библиотеки из тестовой и нестабильной ветки Debian. Стоит с осторожностью использовать пакеты из backports, т.к. они не так хорошо оттестированы как пакеты из стабильной ветки и предоставляются “как есть”. Для выполнения нижеописанного действия необходимы права root. Backports в Debian, читать далее

Приветствую, гости и читатели моего блога о Linux. Продолжаем расширять возможности squid. Сегодня попытаемся реализовать авторизацию доменных учеток Active Directory на основе их членства в группах. В статье будет задействовано новая для меня технология, в которой я пока не очень соображаю – LDAP. Поэтому о ней пока будет рассказано “вскользь”. Для того, чтобы у вас заработала данная схема, необходимо ознакомиться со статьями:

• Прокси-сервер SQUID, вводный пост
• Аутентификация и авторизация пользователей squid
• squid, настройка ограничений скорости (delay pools)

Без данных статей и понимания принципов работы squid – никак

Что такое LDAP в Active Directory (Введение)

Т.к. LDAP пока для меня – это маленькая тайна. Расскажу, что знаю… Итак, LDAP – это некий каталог (дословно – lightweight directory access protocol, в переводе – облегчённый протокол доступа к каталогам), который хранит в себе различную информацию в древовидной форме и имеет структуру, на нашем примере (на примере домена AD.LOCAL):   SQUID LDAP авторизация на основе групп, читать далее

Сегодня утром был разбужен неожиданным звонком, что “все сломалось, ничего не работает”. Резко выехал на работу. Захожу в серверную – тишина…  APC Symmetra LX выключена, сервера – естественно – тоже… В шоке. Электрический автомат – вырублен. Еще больше в шоке. Подхожу к symmetra – воняет гарью. Ну, думаю, помолившись – попробую включить. Отрубаю сервера от бесперебойника… Пытаюсь включить его (бесперебойник). БАБАХ… задымился силовой модуль. Автомат – вырубился. Весело… Достаю сгоревший силовой модуль, запускаю бесперебойник… Завелся. Перекрестился, пошел смотреть логи… ночью силовой модуль вдруг неожиданно стал “UPS: A power module fault exists.” Думаю…ну где же ты, о великая отказоустойчивость, а далее вижу в логах: ” UPS: The battery power is too low to continue to support the load; the UPS will shut down if input power does not return to normal soon.” и до меня доходит, что все же отказоустойчивость бесперебойника отработала, а вот электрического автомата – не отработала…

Еще один бесценный опыт в поддержании бесперебойной работы компании… Подключил сервера, запустил.

Пошел писать тикет в http://emea-ru.apc.com/app/ask, а так же настраивать завершение работы серверов при разряде аккумуляторов…

С Уважением, Mc.Sim!

Хотел сделать данную статью завершающей о squid. Но не получилось. Будет еще Данная статья будет узкотематическая. В статье рассмотрю возможности ограничения скорости локальных клиентов, т.н. часто применяемое понятие delay pools. Начну с теории.

Как работает ограничение скорости (delay pools) в squid

Дословно, delay pools переводится как пул задержки. Почему он так переводится, потому что так и есть Пул с данными наполняется по мере расходования наполненного содержимого. При этом, если пул наполнен “до завязки”, то squid задерживает поступление данных. Т.о. фактически, squid ограничивает не отдаваемую скорость, а ту скорость, с которой он наполняет пул. Для бОльшего понимания, давайте рассмотрим пул в качестве аналогии в виде дырявого ведра или бассейна. При этом, сверху ведра расположен squid, который заливает в ведро поток байтов из шланга определенного диаметра. Диаметр шланга – это некая аналогия ограничителя скорости. А снизу ведра/бассейна – локальные клиенты, которые “орашаются” потоком байтов через дыры в дне ведра. При этом, ведро имеет некоторый объем, который squid может наполнить байтами.

Когда клиент делает запрос на получение какого-либо объекта – прокси-серверу (будь то картинка, html страница или любой другой объект), squid сначала помещает/заливает данный объект в ведро (??? очень спорное утверждение). Если объект больше объема ведра, то в ведро помещается его часть, только после наполнения ведра, объект отдается клиенту. (с какой скоростью происходит первичное наполнение?) По мере опустошения ведра клиентом, остаток объекта дозаливается. При этом, squid “ставит в очередь” поступающие данные и не посылает новые новые запросы удаленному серверу запрашиваемому сайту. Т.о. объем ведра определяет количество байтов, которые доступны клиенту на максимальной скорости, пока ведро не опустошится. После чего клиент получает данные, согласно диаметра шланга squid Так же, если объем запрашиваемого объекта меньше объема ведра, то клиент получает этот объект с максимальной скоростью (??? тоже очень сомнительно). То есть с той скоростью, с которой клиент обменивается со squid (но не более диаметра шланга???). При этом, данные ведра можно “каскадировать”. Количество уровней каскадирования определяет класс пула.

После некоторого недопонимания работы squid, долгого чтения мануалов и практических опытов, показавших реальную схему работы, предыдущий абзац перефразирован в следующий вид: Читать далее, SQUID и delay pools

Спасибо http://wordcloud.pagemon.net/ за сервис

k-max.name в облаке ))

С Уважением, Mc.Sim!

Приветствую всех, гостей и постоянных читателей блога. Сегодня попробую изложить информацию о методах аутентификации в squid, а так же интегрировать suid в доменную инфраструктуру Active Directory на Windows Server 2008 R2. То есть заставить squid разрешать доступ к интернету на основе доменных учетных записей. Для понимания происходящего, советую ознакомиться с предыдущими статьями о настройке сети в Linux и вводной статье о squid. Итак, приступим…

Введение

Из прошлой статьи о squid мы знаем, что в прозрачном режиме squid не способен аутентифицировать пользователей. Поэтому придется настроить пользовательские браузеры. Кроме того, мы знаем, что хороший админ – это ленивый админ и ходить пешком по рабочим станциям и настраивать вручную браузеры пользователей он не станет. Поэтому расскажу как через GPO мы настроим IE (для пользователей бабушек с особо клиническим случаем и для сайтов, использующих ActiveX…), Firefox и Google Chrome. Все эти 3 браузера умеют настраиваться через GPO.

Squid в части авторизации и аутентификации подобен Web-серверу Apache и поддерживает те же способы аутентификации, что и Apache. На текущий момент существуют четыре основных типа проверки подлинности в HTTP протоколе:

• Basic – самая первая схема, часто используемая по текущий момент
• NTLM – это первая попытка Microsoft к SSO (single-sign-on) единого входа для ресурсов локальной сети
• Digest – она же дайджет аутентификация. Чуть защищенней basic
• Negotiate (aka SPNEGO) – она же Kerberos SPN generation – вторая попытка реализации Microsoft SSO Авторизация SQUID

 А ВЫ УЖЕ ЗАРЕГИСТРИРОВАЛИСЬ????

С Уважением, Mc.Sim!

За последние несколько лет работы с Linux, я могу с уверенностью сказать, что пристрастился к Debian-дистрибутивам. Нравиться мне их некий консерватизм и свободность. Некоторое время пытался работать на RedHat, да и обучался, собственно, на RedHat-based, иногда приходилось сталкиваться с FreeBSD, который мне тоже симпатичен, как UNIX-платформа. Всем начинающим однозначно могу посоветовать к изучению Видеокурс “Базовый курс Linux” от Евгения Коноплева. Если есть желание вложить деньги в свое обучение, то видеокурсы этого автора – это идеальное решении цена/качество. Кроме того, для новичков превосходно написана книга Практическое руководство по Red Hat Linux, единственный недостаток книги – это полное ориентирование на RedHat. После появления определенного понимания что к чему, можно углубиться, почитав Запускаем Linux, которая дает более глубокие и общие понятия, без ориентира на разновидность дистрибутива. Ну, собственно, я отошел от темы… Данный пост – скорей заметка на память, нежели инструкция. Со временем будет наполняться при появлении новых пожеланий.

Итак, что нужно сделать при типовой установке Debian на сервер: Установка Debian на сервер, далее

Доброго времени, уважаемые читатели и гости! С данной статьи я начну описание работы кэширующего прокси-сервера SQUID. Эта статья в большинстве своем будет вводная теоретическая.

Что такое proxy-сервер и что такое squid

Начну с основ. squid является кэширующим прокси сервером для HTTP, FTP и др. протоколов. Прокси сервер для HTTP – это программа, выполняющая HTTP-запросы от имени клиентской программы (будь то браузер или другой софт). Proxy может быть кэширующим или не кэширующим. Кэширующий, соответственно, сохраняет все запросы в какое-либо хранилище для более быстрой отдачи клиентам, а не кэширующий – просто транслирует HTTP, ftp или другие запросы. Ранее, кэширование трафика позволяло добиться довольно значительной экономии трафика, но в настроящее время с ростом скоростей интернета это немного утеряло актуальность. Прокси серверА можно выстраивать в иерархии для обработки запросов. При этом, прокси серверА взаимодействуют между собой по протоколу ICP.

Squid разработан и может работать на большинстве операционных систем (как unix, так и windows). Лицензируется под лицензией GNU GPL. Прокси-сервер SQUID, введение

Приветствую, пользователи и администраторы Debian и Ubuntu. Сегодня хочу затронуть такую, казалось бы, очевидную тему – установка и настройка ssh сервера на Debian. Ранее никак не доходили руки.

Введение в SSH

Как становится понятно из названия, SSH сервер основан на работе протокола SSH. Существуют несколько реализация данного сервера (dropbear, lsh-server, openssh-server, ssh и др.), в данной статье я буду рассматривать реализацию сервера OpenSSH на Debian Squeeze. Протокол SSH изначально являлся проприетарным коммерческим и пережил 2 реализации. В 1995 г. была разработана версия протокола SSH-1, в 1996 г. разработали версию SSH-2 (используется по настоящее время), не совместимую с SSH-1.

Техническая информация о протоколе SSH

SSH — это протокол сеансового (транспортного) уровня, использует для работы 22/tcp порт. ssh сервер на Debian, читать далее

Доброго времени, уважаемые читатели и гости  моего блога. Сегодня хочу углубить наши и ваши знания в понимании статической маршрутизации в Linux. Упор в статье будет сделан на работу с iproute и на маршрутизации на основе политик (Policy Routing). Для понимания того, о чем пойдет речь необходимо в обязательном порядке прочитать статьи “Основные понятия сетей“,  “Настройка сети в Linux” и “Настройка сети в Linux с помощью iproute“.

Пару вступительных слов о маршрутизации

Итак, из основных понятий сетей мы знаем, если сетевой пакет предназначен для локальной сети, к которой подключен интерфейс, то он направляется прямо в сеть. Маршрут для такого пакета создается автоматически при поднятии настроенного интерфейса. Что такое Routing Poicy и маршрутизация на основе политик, читать подробней

Доброго времени, читатели моего блога! Устал от поисков параметров и примеров команды tcpdump, поэтому решил создать свою шпаргалку, чтобы было… Ибо без tcpdump не один админ – неадмин

Введение

Очень часто для поиска проблем в работе сети используются анализаторы сетевого трафика. tcpdump является одним из представителей данного класса программ, она позволяет прослушать (отобразить/сохранить) и проанализировать работу сети на уровне передаваемых сетевых пакетов, фреймов и др. единиц передачи сетевого трафика. В зависимости от конфигурации сети, tcpdump может прослушивать не только пакеты, предназначенные данному MAC-адресу, но и широковещательные пакеты. Прослушивание перехват сетевых пакетов основан на “беспорядочном” (promiscuous) режиме работы сетевого адаптера. tcpdump в примерах, читать далее