Архив за July 2010
Monday, 19 Jul 2010
Продолжая разборки с CentOS пришел к тому что возникла необходимость засунуть движок сервис-деска в автозагрузку, чтобы он поднимался автоматом при старте системы.
Собственно в CentOS процесс загрузки работает по принципу System V и расписан в файле /etc/inittab, точнее расписано то как процесс INIT отрабатывает уровни загрузки. В системе фалы загрузки находятся в каталоге /etc/rc.d и носят названия rc0.d, rc1.d, rc2.d, rc3.d, rc4.d, rc5.d, и rc6.d. Пользователи могут размещать файлы в этих каталогах которые будут контролировать запуск сервисов в системе.В свою очередь эти фалы линкуются на каталог /etc/rc.d/init.d и содержащиеся в них скрипты запуска процессов. В этой связи для запуска сервиса необходимо создать полноценный файл запуска сервиса в /etc/init.d, после чего задать символический линк на него из папки соответствующей тому уровню запуска, на котором необходимо стартовать данный сервис. Файлик запуска сервиса будет выглядеть следующим образом, хотя можно расписать все пару строк просто строкой запуска сервиса:
#!/bin/bash
#
# chkconfig: 35 90 12
# description: Foo server
#
# Get function from functions library
. /etc/init.d/functions
# Start the service FOO
start() {
initlog -c “echo -n Starting FOO server: ”
/path/to/FOO &
### Create the lock file ###
touch /var/lock/subsys/FOO
success $”FOO server startup”
echo
}
# Restart the service FOO
stop() {
initlog -c “echo -n Stopping FOO server: ”
killproc FOO
### Now, delete the lock file ###
rm -f /var/lock/subsys/FOO
echo
}
### main logic ###
case “$1″ in
start)
start
;;
stop)
stop
;;
status)
status FOO
;;
restart|reload|condrestart)
stop
start
;;
*)
echo $”Usage: $0 {start|stop|restart|reload|status}”
exit 1
esac
exit 0
Если нет желания заморачиваться с написанием скрипта, то можно добавить строку инициализации запуска сервиса в файл /etc/rc.local. Это файл будет отработан в самом конце загрузки системы, но перед выдачей меню логина.
Для добавления сервисов находящихся в попдапках rc0.d – rc6.d в автозагрузку в системе есть специальная утилита chkconfig, с помощью которой можно добавлять или исключать сервисы.
# chkconfig -l service_name # просмотреть уровни автозагрузки сервиса
# chkconfig –level 34 service_name on|off|reset # вкключить или выключить сервис на 3 и 4 уровнях
# chkconfig –del service_ name # удалить службу
# chkconfig service_name on|off # включить или выключить службу на всех уровнях
ну и есессно главная команда:
# man chkconfig
Помимо этого можно воспользоваться утилитой ntsysv , для редактирования всех уровней или задач редактирования для определенного уровня:
# ntsysv –level 34
VN:F [1.9.21_1169]
Rating: 9.2/10 (9 votes cast)
VN:F [1.9.21_1169]
Rating: +3 (from 3 votes)
Рубрика: Linux | Отзывов: 3 »
Monday, 19 Jul 2010
Если рассуждать о соответствии оборудования Cisco и Check Point то надо четко понимать некоторые аспекты направленности бизнеса этих двух компаний, ибо эти два вендора принадлежат к разным нишам информационных технологий, поскольку Cisco в первую очередь это телеком и сетевое оборудование, а Check Point это исключительно решения информационной безопасности.
(more…)
VN:F [1.9.21_1169]
Rating: 4.6/10 (27 votes cast)
VN:F [1.9.21_1169]
Rating: -2 (from 8 votes)
Рубрика: Check Point | Отзывов: 4 »
Friday, 16 Jul 2010
Вчера сидел в конторе, третий день сдавал экзамены по маккафе за клиентов. Скажу откровенно- это взрыв мозга, ибо вчитываться в презентацию по каждому из продуктов нет никакого желания, а нормальный поиск не работает, ибо эти американские гоблины на новых экзаменах 201 курса, весь материал сделали во флеше, так что либо сканируй весь курс поперек, либо соси шишку. Я выбрал последнее.. 
Но речь не о маккафе, а о состоянии мозга, на излете третьего дня выжигания по нему родимому.
Тут мне сваливается очередной запрос от нашего нового “недопродакт” менеджера по продуктам checkpoint- подобрать аналог решению cisco asa. Надо отметить, что такие запросы последние полгода сваливаются довольно часто, в связи с тем, что cisco решив работать вбелую, поимела огромные проблемы с доставкой оборудования в области инфобезопасности на 1/6 часть суши, ибо наши доблестные фсбшники попросту не выдают им соответствующих сертификатов на оборудование. В этой связи кстати, также пропали все рутеры от LinkSyS, пару лет назад купленной Cisco- ведь wi-fi это же тоже адское шифрование и требует обязательной сертификации.
Вообщем приходит запрос на ASA 5505 8 портов, DES/AES и 10 пользователей. Ну я решив поднять себе настроение отписываюсь о том, что это в принципе SofaWare, но если исходить из того что нужен VPN, то вполне вероятно UTM 130, поскольку у него скорость VPN аналогична заявленной скорости ASA 5505- 100Мб/c. У Edge и Safe@Office этот параметр равен 35 Мб/c,и только у версии N заявлен под 200, но они отгружаются из Check Point в течении месяца-полутора. И тут я делаю стратегическую ошибку, решив пошутить в людьми не очень секущими в теме, и пишу что дескать есть конечно очень надо 8 портов, то следует остановить выбор на 2070, а это уже порядка 25к+ грина, против 600 долларов за ASA 5505, ну и сопровождаю это дело смайликом. С человеком который до этого был на этом месте, у нас это был стандартный способ общения, и я как то не предполагал что продавцам придет в голову отправлять клиенту предложение замены 600 долларового оборудования, оборудованием стоимостью в 25к зелени 
Так что поимев двухдневную войну с нач.отдела по поводу того кто из нас троих в этой ситуации идиот, причем инженер из cp принял нейтралитет, заявив что 130 решение не подходит только по цене, а по функционалу полностью соответствует; видимо буду составлять матрицу аналогов между Checkpoint и Cisco, которую и выложу несколько позднее.
VN:F [1.9.21_1169]
Rating: 9.0/10 (3 votes cast)
VN:F [1.9.21_1169]
Рубрика: Check Point | Ваш отзыв »
Friday, 16 Jul 2010
Разбираясь, накануне, с настройкой IP адреса в CentOS обнаружил интересную фичу по объединению нескольких интерфейсов в один виртуальный, тем самым повышая скорость передачи данных и создавая функционал отказоустойчивости, с помощью модуля ядра bonding.
Для этого необходимо создать bonding интерфейс, путем создания файла /etc/sysconfig/network-scripts/ifcfg-bond<N> , где N номер объединяемого интерфейса. Содержимое файла аналогично содержимому файла описания настроек обычно интерфейса, с той разницей что директива DEVICE= должна содержать поле bond<N>, где N номер интерфейса.
Пример файла выглядит следующим образом:
DEVICE=bond0
BOOTPROTO=none
ONBOOT=yes
NETWORK=10.0.1.0
NETMASK=255.255.255.0
IPADDR=10.0.1.27
USERCTL=no
После того как файлы будут созданы, можно объединять интерфейсы путем добавления директив MASTER= и SLAVE= , так что за исключением этих полей оба файла должны выглядеть идентично. Например для интерфейсов eth0 и eth1файлы конфигурации будут выглядеть следующим образом:
DEVICE=eth<N>
BOOTPROTO=none
ONBOOT=yes
MASTER=bond0
SLAVE=yes
USERCTL=no
Для того чтобы слияние интерфейсов работало, необходимо чтобы модуль bonding был загружен в ядро, для чего необходимо проверить, чтобы в файле /etc/modules.conf присутствовала строка:
alias bond<N> bonding
где N номер интерфейса, и для каждого сконфигурированного интерфейса должна присутствовать своя запись.
VN:F [1.9.21_1169]
Rating: 8.5/10 (2 votes cast)
VN:F [1.9.21_1169]
Рубрика: Linux | Ваш отзыв »
Friday, 16 Jul 2010
Столкнулся с интересной темой в Windows Server 2003, при попытке подключиться к ESX серверу с помощью VMware vSphere Client. При вводе логина клиент выдает ошибку “Error parsing the server “SERVER IP” “clients.xml” file. Login will continue, contact your system administrator” и после нажатия на ОК вываливается во вторую ошибку “The type initializer for “VirtualInfrastructure.Utils.HttpWebRequestProxy” threw an exception”. То есть подключение к серверу недоступно.
Сначала было решили что это проблема с доступом, но просмотрев логи, убедились что мой клиент даже не стучится к серверу, так что стал копать в другую сторону и обнаружит что эту ошибку выдает Windows 7, при использовании стандартного клиента. В этой связи я всял совместимого с Windows 7 клиента VMware-viclient-all-4.0.0-208111 и обновил с его помощью имеющегося.
Ошибка исчезла, так что по видимому была вызвана каким то из последних обновлений для Windows систем.
VN:F [1.9.21_1169]
Rating: 7.0/10 (3 votes cast)
VN:F [1.9.21_1169]
Рубрика: Подсказки | Ваш отзыв »
Thursday, 15 Jul 2010
Настраивал себе систему в VmWare Player, после чего перенесли её на ESX Server, ну и по пути возникла необходимость, из дома, сменить на системе IP адрес и повесить дополнительный алиас на интерфейс. Поскольку настраивал центосину до этого исключительно из окошек Х, пришлось немного поморщить голову, но после прочтения официального мануала, все оказалось проще некуда.
Смена IP производится следующим образом:
Открываем файлец /etc/sysconfig/network-scripts/ifcfg-eth0 и смотрим что мы в нем имеем:
DEVICE=eth0
BOOTPROTO=dhcp
HWADDR=00:0C:29:BC:B7:60
ONBOOT=yes
Собственно как понятно из файла- IP адрес он цепляет от DHCP сервера, хотя мне казалось что я его задавал лапками, поэтому отрубаем DHCP и меняем настройки на:
DEVICE=eth0
BOOTPROTO=static
HWADDR=00:0C:29:BC:B7:60
ONBOOT=yes
DHCP_HOSTNAME=crm_security.lan
IPADDR= новый_IP_адрес
NETMASK=255.255.255.0
GATEWAY= новый_шлюз
TYPE=Ethernet
После перезагрузки машины или рестарта сетевых служб, с помощью команды service network restart , система переподхватит новый IP адрес.
Теперь по поводу алиасов- там же где мы правили файло с сетевыми настройками, создаем файлик ifcfg-<if-name>:<alias-value> Единственно что надо учесть тот момент что алиас не может цеплять свой адрес по DHCP, поэтому следует задавать статический адрес, для чего создаем файл /etc/sysconfig/network-scripts/ifcfg-eth0:0 и в него прописываем следующие строки:
DEVICE=eth0:0
ONBOOT=yes
BOOTPROTO=static
IPADDR=алиас_IP
NETMASK=255.255.255.255
Если нужно добавить пул алиасов, скажем от 192.168.10.1 до 192.168.10.200, то сделать это можно либо создав 200 конфигурационных файлов для алиаса, либо описав весь пул адресов, для чего создадим файл /etc/sysconfig/network-scripts/ifcfg-eth0-range0 и внесем в него следующие строки:
IPADDR_START= 192.168.10.1 # первый IP в пуле
IPADDR_END= 192.168.10.200 # последний IP в пуле
NETMASK=255.255.255.255
CLONENUM_START=1 # число <alias-value> с которого будет начинаться пул
NO_ALIASROUTING=yes
VN:F [1.9.21_1169]
Rating: 8.2/10 (21 votes cast)
VN:F [1.9.21_1169]
Rating: +11 (from 11 votes)
Рубрика: Linux | Отзывов: 2 »
