Одминский блог

Лучшим способом борьбы с глюками по прежнему остается перестановка винды

Приключилась тут ситуация, что на одной машине под Vista, скайп начал падать с ошибкой (0×0000005). То есть все вроде работает, а skype прямо на загрузке приложения вываливается с указанным кодом.

Решил было для начала, что глючит Vista и накатил на неё Windows 7, но ошибка осталась, как при первоначальной установке, так и после установки имевшихся патчей. Пришлось гуглить, тем более что в инетах полно советов о том как это лечится, но мне не смог помочь ни один.

Читать полностью »

Немного про российский хостинг

Попросили меня тут подсобить в выборе хостинга для нагруженного проекта. Не ахтунг конечно, но порядка 60-70к уников и под лям просмотров в сутки набегает, но главное что на пике выходит около 600 запросов в секунду. Но поскольку планировали заполнять видео и к тому же начинать продвигать сайт по нишевым тематикам, то планировалось что траф увеличится по крайней мере в полтора раза.

Поскольку инженер по высоконагруженным системам из меня аховый, то я решил на голубом глазу, что теоретически должно хватать одного хорошего сервака типо Xeon 2xE5620, RAM 32 GB ECC с Nginx и Apache в связке, ну или еще лучше облачного аналога. Но почитав интернеты, да пообщавшись с народом на мастере-х (ибо где еще могут быть лучшие спецы по высоконагруженным видео-системам, как не на адалтовом форуме) понял что лучше разносить все это барахло, так что получилось по итогам 2 фронтэнда с Nginx которые гоняют пакеты по раунд робину, 2-3 сервака с апачем, 2 сервака с мускулем и один файловый под видео и всякие картинки.

Читать полностью »

Теги: хостинг

Ошибка клиента openVPN

У человека, при попытке подключиться к VPN сообществу, через клиента OpenVPN, вылетела ошибка сертификата
error:0906D06C:PEM routines:PEM_read_bio:no start line:
error:140AD009:SSL routines:SSL_CTX_use_certificate_file:PEM lib

Ошибка говорит о том, что с сертификатом какие то траблы, для чего ищем файлик C:\Program Files\OpenVPN\config\Ваше_имя.crt проверяем его размер и если он отличен от нуля, то открываем его в текстовом редакторе и проверяем наличие текста, содержащего мусорный на первый взгляд набор символов, по окончании которого находятся строки:

—–BEGIN CERTIFICATE—–
бла-бла кодированные данные
—–END CERTIFICATE—–

Теоретически если его размер отличен от нуля и данные строки присутствуют, то это проблема с путем до файла сертификата, поэтому проверяем в настройках конфига C:\Program Files\OpenVPN\config\openvpn.ovpn поле
cert Ваше_имя.crt

Если все вроде правильно, а связь тем не менее не устанавливается, то скачиваем сертификаты снова с VPN сервера, ну либо пересоздаем заново. Но как мне кажется все должно ограничиться первыми двумя пунктами.

Теги: vpn client

Как я пинганул врата АДА

Подходил к концу 10ти часовой аврал проброса портов на внутренний сервак, в течении которого я обточил сервак, пропатчил его и перешел к самому тривиальному- настройке NAT’а на безусловный редирект в DMZ. Надо заметить, что все это производилось на шлюзе под FreeBSD 8.2 на которой столовалась внутренняя сеть 192.168.0.0/24, сопряженная 192.168.15.0/24, а также живущем на нем VPN сообществе с сетью 172.16.0.0/24.

Все тривиально и просто.

Все вроде просто, да на поверку не очень. Сначала поднял DMZ сетку 172.16.10.0 но почему то тут же упал VPN. Решив, что видимо глюк openvpn, забил и сменил сетку на 192.168.20.0, но ничего не заработало. Ковырялся вокруг да около очень долго, но в итоге часу в третьем ночи, понял, что не работает и естественно решил, что это тот же глюк VPN, так что решил взять вообще нигде не использовавшуюся сетку 10.10.10.0

Читать полностью »

Теги: Сетевые протоколы, Сети

Ограничение доступа ssh по IP в CentOS

Как говорится век живи – век учиcь. Оказалось, что CentOS’вский ssh не в курсе того, что на нормальных операционках ограничение подключений по IP осуществляется путем директивы  AllowHosts  в конфиге sshd_config. И посему эти ограничения следует прописывать в двух файлах:
/etc/hosts.allow
/etc/hosts.deny

Причем смысл в том, что прописываются в них ограничения для всех пакетов относящихся к INET сервисам. В принципе это конечно довольно удобно, то что не надо лазить по разным конфигам, а настраивается в одном файле, но имхо- все же в конфиге софта было бы понятнее.

Читать полностью »

Теги: centos, ssh

Переменные окружения в CentOS

Стал добавлять юзверя в CentOS, ну и что то не могу понять отчего не работает useradd. Не видит его система. А не работает оно потому, что ifconfig я почему то на автомате пишу как /sbin/ifconfig , а вот добавлялку пользователей нет. Иначе бы заметил еще на стадии настройки сети, что не добавлены переменные окружения  /sbin  /user/sbin и /usr/local/sbin

Для чего открываем файло в корне юзверя ~/.bash_profile и допрописываем в переменные PATH указанные, а также все нужные нам окружения.

Теоретически указанные файлы (.bash_profile) отвечают за конкретного пользователя, то есть если мы пропишем их только Васе и руту, то видеть эти пути будут вася и рут, а все остальные пойдут лесом. Тогда как для всех остальных пользователей системы, если мы по доброте душевной хотим позаботиться и о них, нам следует прописать переменные окружения в файле  /etc/profile, где собственно и пропсаны в том числе вышеуказанные пути

pathmunge /sbin
pathmunge /usr/sbin
pathmunge /usr/local/sbin

НО, учитывая что в 99% случаев работать мы будем через ssh, данный вариант нам не подходит, ибо при старте ssh запускается интерактивный шелл, который игнорит переменные описанные в файле /etc/profile и поэтому отрабатываются только переменные домашней директории пользователя ~/.bash_profile

Теги: centos, shell

Проброс виртуальной машины ESXi в DMZ

Возникла необходимость высунуть машинку хостящуюся на виртуальной ферме VMware ESXi в дикий интернет, с ограничением доступа к локалке. Точнее возникла необходимость дать к ней доступ левым людям из вне с полными правами на рута. В связи с чем поднялся вопрос о том как пробросить одну из виртуальных машин в DMZ.

Надо отметить, что, порыв сообщества на тему атаки на хост ESXi, я не смог найти достаточно инфы об уязвимостях позволяющих получить доступ к ноде или соседям по ноде, поэтому собственно и решил, что оптимальным решением будет убрать хост в DMZ, предоставив к нему доступ из интернета и закрыв локалку. Другое дело что существуют различные варианты атаки на L2 OSI теоретически позволяющие ломануть DMZ на уровне VLAN’а, но это уже совсем другая история, не имеющая отношения к этой. Тем более что и современные средства организации VLAN’ов предоставляют богатый функционал защиты и минимизируют риски от подобных атак. Если кому то интересно покопать на тему атак на VLAN, то дам несколько ключевых букаф:
CAM flooding;
MAC flooding;
VLAN Cross-talk Attacks;
VLAN Hopping;
ARP spoofing;
Spanning-Tree attacks;
VRRP / HRSP tampering

Читать полностью »

Теги: vmware, виртуализация, Сетевые протоколы, Сети