В очередной раз убеждаюсь что некоторые апдейты приносят слишком много головной боли.

Если вас тоже заипало сообщение от апдейта KB2750841

Additional log on information may be required. Click to open your browser

Открываем regedit и переходим в

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet

Обновляем параметр EnableActiveProbing на 0, проклинаем Гейтса и Балмера. Готово. ^^

Порой даже элементарная задача приносит кучу новых знаний и требует индивидуального подхода.

На просторах интернетов есть очень много гайдов на тему установки и настройки mod_fastcgi, всё сводится к паре команд и добавлению стандартного конфига. Но не всегда всё обстоит так просто.

Итак, мы имеем связку Apache 2 (бэкенд), nginx (фронтенд), и PHP 5.3.x в режиме mod_php.

Задача: перевести PHP в режим FastCGI

Читать далее Apache2 + PHP + FastCGI — горячее блюдо

Очередная заметка про грабли, и болящую попу.

Допустим вы подключили новенький девственный hdd к своей шайтан-машине. Первым делом надо создать раздел:

fdisk /dev/sdx

n — создаем новый раздел

p — праймари

1 — номер раздела

t — тип файловой системы

83 — HEX код EXT3 (список кодов вы можете глянуть командой L)

w — сохранить изменения

проверьте всё ли верно создалось

fdisk -l

если да, двигаемся дальше и форматируем наш раздел

mkfs.ext3 /dev/sdx1

fsck -f -y /dev/sdx1

добавляем метку для диска иначе при загрузке будет попа (:

tune2fs -L /new-hdd /dev/sdx1

добавляем информацию в /etc/fstab

LABEL=/new-hdd    /new-hdd    ext3    defaults    1 2

пробуем смонтировать раздел

mount /new-hdd

df -h

если всё ок, то можно перезагружаться.

Если же во-время загрузки вы что-то напортачили и на горизонте маячит белый пушной зверёк, то вводим root пароль и переходим в режим Repair filesystem (: Но для того чтобы иметь возможность внести изменения в файл /etc/fstab надо сначала перемонтировать партицию с возможностью записи:

mount -w -o remount /

теперь открываем /etc/fstab и исправляем ошибки.

Читать далее How to add a new hdd in Centos

Сразу оговорюсь что велосипед не мой, но катается хорошо :D

Хостеры иногда предлагают клиентам так называймый burstable трафик, это когда можно на некоторое время зайти за лимит, скомпенсировав трафик во-время наименьшей нагрузки. Более подробно вы можете покурить педивикию, даже на русском!

Для того чтобы добавить сие решение к себе в munin придется немного попатчить RRD. Стоит отметить что пути от дистрибутива и версии могут отличаться, но смекалку никто не отменял ;)

Centos 5:

/usr/lib/perl5/vendor_perl/5.8.8/Munin/Master/GraphOld.pm

Centos 6:

/usr/share/perl5/vendor_perl/Munin/Master/GraphOld.pm

Я не буду приводить листинг кода тут, так как парсер может  его погрызть. Поэтому ссылочка на патчноуты Munin 1.4.x 95 percentage RRD patch или на оригинальный аттач в trac.

Во второй версии dovecot’а есть возможность указывать разные сертификаты для разных доменов (IP адресов и протоколов).

Для этого создаем шаблон:

[ req ]
default_bits = 1024
encrypt_key = yes
distinguished_name = req_dn
x509_extensions = cert_type
prompt = no

[ req_dn ]
# country (2 letter code)
#C=FI

# State or Province Name (full name)
#ST=

# Locality Name (eg. city)
#L=Helsinki

# Organization (eg. company)
#O=Dovecot

# Organizational Unit Name (eg. section)
OU=IMAP server

# Common Name (*.example.com is also possible)
CN=imap.example.com

# E-mail contact
emailAddress=postmaster@example.com

[ cert_type ]
nsCertType = server

и сертификат:

# openssl req -new -x509 -nodes -config cert.cnf -out dovecot-domain-crt.pem -keyout dovecot-domain-key.pem -days 365

перемещаем сертификат и ключ куда надо, задаем права на файлы и т.д.

#  mv dovecot-crt.pem /etc/pki/dovecot/cert/dovecot-domain-crt.pem

#  mv dovecot-key.pem /etc/pki/dovecot/private/dovecot-domain-key.pem

# chmod 0600 /etc/pki/dovecot/cert/dovecot-domain-crt.pem

# chmod 0600 /etc/pki/dovecot/private/dovecot-domain-key.pem

# openssl x509 -subject -fingerprint -noout -in /etc/pki/dovecot/certs/dovecot-domain-crt.pem

далее необходимо поправить конфигурацию ssl для dovecot /etc/dovecot/conf.d/10-ssl.conf находим

ssl_cert = </etc/pki/dovecot/certs/dovecot.pem
ssl_key = </etc/pki/dovecot/private/dovecot.pem

и НИЖЕ ДОБАВЛЯЕМ

local xx.xx.xx.xx {
protocol pop3 {
ssl_cert = </etc/pki/dovecot/certs/dovecot-domain-crt.pem
ssl_key = </etc/pki/dovecot/private/dovecot-domain-key.pem
}
}

Стандартную секцию необходимо оставить, иначе вы будете получать ошибку doveconf: Error: ssl enabled, but ssl_cert not set

вместо local <ваш IP> можно использовать local_name domain.tld, в этом случае секция с protocol pop3 не нужна, но вам понадобится поддержка TLS SNI (Server Name Indication)!

Настраивая что-нибудь в центоси вы обязательно огребете проблем если у вас включен SELinux.

Таким замечательным примером может служить настройка Postfix с SASL аутентификацией в Dovecot. Вы спокойно сделали конфиги, всё проверили, рестартанули сервисы, а в результате нижуя не работает! WTF? Это няши, SELinux.

Идем в лог /var/log/maillog и любуемся такой вот ошибкой:

localhost postfix/smtpd: warning: SASL: Connect to private/auth failed: Permission denied

Благодарим это чудо за чудесную ночь секаса или же берем клаву и ставив на место это безобразие (:

grep smtpd_t /var/log/audit/audit.log | audit2allow -M postfixsasl

коротко о команде — найти smtpd_t в логе аудита и создать на основе этого правило для selinux

semodule -i posfixsasl.pp

добавляем правило в проклятый selinux, перезапускаем сервис(ы) и всё няшно. Эх, если бы я нашла эту фичку год назад…

 

Дополнительно:

Иногда может случиться так, что вы вроде бы всё добавили (например, модули для munin), а что-то всё ещё не работает из-за SELinux’a. Причиной этому может быть то, что события блокировки попадают под donotaudit события. В этом случае можно временно включить donotaudit события командой:

semodule -DB

и потом вернуть обратно

semodule -B

 

Так же, помимо описанного выше способа поиска для создания правил. Можно воспользоваться командой:

ausearch -m avc -ts today | audit2allow -M myfix

Которая автоматически поищет все события и создаст правила для их разрешения.

 

p.s.

Вот тут: гайд как это работает + ещё примеры для тех кто любит и пожестче.

Вот думала что писала уже про это, а нет, заметки не оказалось. Между тем, для непосвященных няшек это может стать небольшой проблемой, так как стандартные мануалы не подразумевают наличия SELinux и других ништяков.

 

Итак, для того чтобы изменить стандартный порт доступа надо сделать 3 вещи:

1. открываем /etc/ssh/sshd_config и раскомментируем строку

Port 22

меняем 22 на выбранный вами порт. Если вы хотите чтобы ssh слушал только на IPv4, то раскомментируйте строку

ListenAddress 0.0.0.0

остальные настройки по вкусу (:

 

2. добавляем правило для iptables (вы можете изменить стандартное правило для 22-го порта)

iptables-save > /path/to/rules.list

добавляем строку

-A INPUT -p tcp -m state —state NEW -m tcp —dport 1234 -j ACCEPT

и сохранив файлик обновляем правила

iptables-restore < /path/to/rules.list

НО, данный вариант будет работать только до первой перезагрузки! Если вы хотите добавить постоянное правило, изменения следует вносить в /etc/sysconfig/iptables

 

И вот казалось бы всё, но в этом случае перезапустив sshd вы рискуете потерять доступ к серверу, так как включенный по-умолчанию SELinux будет считать что негоже использовать иной порт. Так что переходим к пункту…

3. для того чтобы selinux не возникал, необходимо добавить ваш порт как порт для ssh

semanage port -a -t ssh_port_t -p tcp 1234

проверяем

semanage -l | grep ssh

 

Так же, вы можете столкнуться с проблемой когда центось вам скажет что знать не знает такой команды, тогда выполняем

yum whatprovides /usr/sbin/semanage

и получив ответ, устанавливаем нужный пакет. в моём случае это

yum install policycoreutils-python

 

Вот теперь можно смело (перепроверив не забыли ли вы чего!) перезапускать sshd и ломиться на новый порт

service sshd restart

Задолбало каждый раз попадать в долбаные библиотечки?

Открываем свойства ярлычка:

C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Windows Explorer.lnk

и исправляем target на православный Мой Компьютер

%windir%\explorer.exe /e,::{20D04FE0-3AEA-1069-A2D8-08002B30309D}

проклинаем мелкосакс, ставим Read Only атрибут на ярлык и продолжаем уже приятную работу :3

А тем временем факап начавшийся вчера стал ещё интереснее.

Стоит начать с того, что утром винда вообще не захотела грузиться ссылаясь на некоторые поврежденные файлы. Ну не беда! — подумала я, наивно полагая что бэкап который делался пол ночи как раз поможет всё восстановить. Но как оказалось что даже создание бэкапа с последующей валидацией каким-то необъяснимым образом при восстановлении может выкинуть Read Error! И очередная порция кирпичей была обеспечена )

 

Следующим логическим шагом было конечно же приобретение новых хардов для создания всецелого бэкапа. Но и тут мелкий пушной зверёк мелькнул своим хвостиком сообщив что добыть желаемое может только в понедельник-вторник. ( Ну не беда! — подумала я, и начала искать на просторах байнета нужные няшности. Нашла. Наивно полагая что беря в «нормальном» магазине можно быть спокойной… Да, ты правильно подумал анон! Очередной факап ждал меня когда я приехала покупать искомое в сил….адо. Спору нет, качество у них вроде как нормальное, НО ЧТО ЗА НЕ…ЕННАЯ Х..НЯ ТВОРИТСЯ У НИХ С ЦЕНАМИ?! Петушок-манагер по телефону называет одну сумму, в интернет-магазине указана другая сумма, а в самом магазине тебя обязательно обрадуют тем что товар стоит ещё дороже! И это надо заметить не первый раз! >_< Вообщем больше я об этих мудаках буду выражаться только матом, ибо заебали с такими выкидонами пафосные мухосранцы!!! Но делать было нечего, пришлось заплатить т_т Заодно купила себе новую клавиатурку и ожуенно винрарный девайс USB-флоппи дисковод. ^_^

 

По приезду домой занялась тестированием памяти, благо проблем с дискетками больше не было. Тесты показали что HYNIX нынче уже не торт… Из 4-х планок только 2 оказались рабочие, 1 сыпет эррорами, а последняя вообще не определяется как живая. +10 к секасу с обменом по гарантии -_-

 

На данный момент удалось собрать 12гб и это всё же лучше чем 8. Ночь тестов должна показать стабильность данной конфигурации, а заодно дать время подумать о дальнейших действиях и немного поспать.

 

P.S.

Что-то мне подсказывает что у ASUS’а какая-то неведомая куйня со шлейфами либо sata контроллерами, так как на одном из живых винтов Ultra ATA CRC Error Rate был овер 2к (как раз на том, куда делался бэкап >.>)

Будьте бдительны, няши!

Небольшой дайджест бонус…

Итак, за время последнего поста в повседневности имело место быть:

Какой-то анонимный конобакаяро слил мои фоточки рыжикам… Найду кто, покусаю! >_<

Турнир по Тохо пока не имел места быть, но I’m scared уже…

Похоже всё лето проведу за учёбой чтобы подтянуть отметки на будущий год. пичалька :<

Из-за кризиса придётся похоже закрыть мой сайтик, так как вероятность наскрести или найти папика 0.000000000001%

У Рикку-тян тоже увы не всё отлично… и это печалит больше всего. А ещё я опять её долго не слышала… пустое-место-тян плачет T^T