Одминский блог

Предыстория

Данный сайт является идеологическим продолжением застарелого склероза, т.е. все процедуры по настройке серверов, оборудования, а в последнее время и iphone приходилось записывать на всякие блокнотики и бумажки, которые, в последствии,  благополучно теряются и все процедуры приходится проделывать как в первый раз. В этой связи, захотелось “подбить бабки”, выложив свой собственный набор “хау-ту” для себя любимого, и для тех кому это может пригодиться. Комменты рулят, т.ч. если читатель находит какие то косяки в описалове, то не возбраняется тыкать физиономией автора.
*** Пы.Сы:  Готов рассмотреть вопрос оказания услуг по поддержке информационных систем, лечения вирусов, восстановления информации и прочих освещаемых в блоге вопросов. Также  возможна настройка сети, для упрощения администрирования удаленных серверов, находящихся в соседней комнате или же на удаленной площадке клиента. Подробнее можно прочитать в разделе Услуги.

Теги: introduction

Как я пинганул врата АДА

Подходил к концу 10ти часовой аврал проброса портов на внутренний сервак, в течении которого я обточил сервак, пропатчил его и перешел к самому тривиальному- настройке NAT’а на безусловный редирект в DMZ. Надо заметить, что все это производилось на шлюзе под FreeBSD 8.2 на которой столовалась внутренняя сеть 192.168.0.0/24, сопряженная 192.168.15.0/24, а также живущем на нем VPN сообществе с сетью 172.16.0.0/24.

Все тривиально и просто.

Все вроде просто, да на поверку не очень. Сначала поднял DMZ сетку 172.16.10.0 но почему то тут же упал VPN. Решив, что видимо глюк openvpn, забил и сменил сетку на 192.168.20.0, но ничего не заработало. Ковырялся вокруг да около очень долго, но в итоге часу в третьем ночи, понял, что не работает и естественно решил, что это тот же глюк VPN, так что решил взять вообще нигде не использовавшуюся сетку 10.10.10.0

Читать полностью »

Теги: Сетевые протоколы, Сети

Ограничение доступа ssh по IP в CentOS

Как говорится век живи – век учиcь. Оказалось, что CentOS’вский ssh не в курсе того, что на нормальных операционках ограничение подключений по IP осуществляется путем директивы  AllowHosts  в конфиге sshd_config. И посему эти ограничения следует прописывать в двух файлах:
/etc/hosts.allow
/etc/hosts.deny

Причем смысл в том, что прописываются в них ограничения для всех пакетов относящихся к INET сервисам. В принципе это конечно довольно удобно, то что не надо лазить по разным конфигам, а настраивается в одном файле, но имхо- все же в конфиге софта было бы понятнее.

Читать полностью »

Теги: centos, ssh

Переменные окружения в CentOS

Стал добавлять юзверя в CentOS, ну и что то не могу понять отчего не работает useradd. Не видит его система. А не работает оно потому, что ifconfig я почему то на автомате пишу как /sbin/ifconfig , а вот добавлялку пользователей нет. Иначе бы заметил еще на стадии настройки сети, что не добавлены переменные окружения  /sbin  /user/sbin и /usr/local/sbin

Для чего открываем файло в корне юзверя ~/.bash_profile и допрописываем в переменные PATH указанные, а также все нужные нам окружения.

Теоретически указанные файлы (.bash_profile) отвечают за конкретного пользователя, то есть если мы пропишем их только Васе и руту, то видеть эти пути будут вася и рут, а все остальные пойдут лесом. Тогда как для всех остальных пользователей системы, если мы по доброте душевной хотим позаботиться и о них, нам следует прописать переменные окружения в файле  /etc/profile, где собственно и пропсаны в том числе вышеуказанные пути

pathmunge /sbin
pathmunge /usr/sbin
pathmunge /usr/local/sbin

НО, учитывая что в 99% случаев работать мы будем через ssh, данный вариант нам не подходит, ибо при старте ssh запускается интерактивный шелл, который игнорит переменные описанные в файле /etc/profile и поэтому отрабатываются только переменные домашней директории пользователя ~/.bash_profile

Теги: centos, shell

Проброс виртуальной машины ESXi в DMZ

Возникла необходимость высунуть машинку хостящуюся на виртуальной ферме VMware ESXi в дикий интернет, с ограничением доступа к локалке. Точнее возникла необходимость дать к ней доступ левым людям из вне с полными правами на рута. В связи с чем поднялся вопрос о том как пробросить одну из виртуальных машин в DMZ.

Надо отметить, что, порыв сообщества на тему атаки на хост ESXi, я не смог найти достаточно инфы об уязвимостях позволяющих получить доступ к ноде или соседям по ноде, поэтому собственно и решил, что оптимальным решением будет убрать хост в DMZ, предоставив к нему доступ из интернета и закрыв локалку. Другое дело что существуют различные варианты атаки на L2 OSI теоретически позволяющие ломануть DMZ на уровне VLAN’а, но это уже совсем другая история, не имеющая отношения к этой. Тем более что и современные средства организации VLAN’ов предоставляют богатый функционал защиты и минимизируют риски от подобных атак. Если кому то интересно покопать на тему атак на VLAN, то дам несколько ключевых букаф:
CAM flooding;
MAC flooding;
VLAN Cross-talk Attacks;
VLAN Hopping;
ARP spoofing;
Spanning-Tree attacks;
VRRP / HRSP tampering

Читать полностью »

Теги: vmware, виртуализация, Сетевые протоколы, Сети

Все еще грезите Apple? Попробуйте поставить Windows

День радостно прошел под эгидой попытки починить другу iMac, который начал глючить, так что человек не мог на нем работать- ни в винде, ни в Mac OS. И только теперь я по настоящему понял, что означал вопрос суппорта Apple на мой радостный вопрос как поставить Windows на Mac OS- “зачем?”.

Действительно- зачем? Я бы даже сформулировал точнее- зачем покупать Apple Mac вообще, и уж тем более пытаться на него что то поставить. Ибо до этого мне приходилось ставить операционки на яблочные кирогазы, но все это происходило весьма гладко и без проблем. А вот в системе с уже имеющейся  Windows-  оказалось реальными граблями, причем более муторной установки я не встречал на все время своего знакомства с операционками.

Читать полностью »

Теги: apple, mac, windows 7

Поднимаем NVIDIA GeForce Go 7400 под Windows 7

Помнится я писал уже о несовместимости дров под Windows 7  со старым оборудованием. Тогда речь шла о карте ATI Radeon Xpress 1100 на ноутбуке Asus F5R. Но по итогам разбора полетов я полагал, что это все таки проблема ATI, а не Windows 7. Но выяснилось, что предвзятость – страшная вещь, ибо на днях столкнулся точно с такой же проблемой на ноуте Sony VAIO PCG-6QNP, где стоит NVIDIA GeForce Go 7400.

Читать полностью »

Теги: windows 7, техподдержка

И щепотку шаманства..

В профессии сисадмина меня больше всего убивают пляски с бубнами, то есть какие то телодвижения на грани шаманства и колдовства, позволяющие системному администратору выполнять свою работу. Чаще всего к такому относится такие моменты, что в присутствии системного администратора все работает, не глючит, нормально включается. Но достаточно админу закрыть за собой дверь, как все оборудование приходит в неистовство. Ну или выполнение одних и тех же, не зависящих друг от друга, процедур в разной последовательности дает разный результат.

Читать полностью »

Теги: техподдержка