Комментарии cppmm
Что powerdns, что nscd - это только авторитетный DNS. Мне же нужен сервер, который будет и авторитетным и кеширующим. Единственный вариант тут - это bind. Да и вообще это как бы эталон dns-сервера.
И да. Я не кавайный гентушник. Gentoo у меня только на десктопе. На серверах только Debian. :)
И да. Я не кавайный гентушник. Gentoo у меня только на десктопе. На серверах только Debian. :)
Тогда можно вообще без шифрования. :)
Есть подозрение, что не в настройках сервера косяк, а в самом приложении где-нибудь в строке
class Application(web.wsgi.base.BaseApplication):
Надо звать местных питонщиков - пусть разбираются.
class Application(web.wsgi.base.BaseApplication):
Надо звать местных питонщиков - пусть разбираются.
Ага.
Так и представляю себе диалог типа:
- Чем занят?
- Да вот, донастроил свой няшный бинд и хотел запилить на сервере кавайный distcc, чтобе генточку компилять побыстрее.
:)
Так и представляю себе диалог типа:
- Чем занят?
- Да вот, донастроил свой няшный бинд и хотел запилить на сервере кавайный distcc, чтобе генточку компилять побыстрее.
:)
Не надо обобщать. Терпеть не могу эти "китайские порномультики"(тм) и консоль у меня чёрная и брутальная. :))
Извиняюсь за тавтологию, для мониторинга лучше использовать что-нибудь написанное именно для мониторинга. :)
Я использую для этого munin(на одной из машин стоит серверная часть, которая собирает статистику со всех подконтрольных систем). С учётом того, что плаигны к нему пишутся очень просто на любом скриптовом языке(предпочтительнее perl, но не обязательно - api универсальное), его функционал можно расширять до бесконечности.
Когда-то давно пользовался nagios'ом, но для моих задач его функционал избыточен, а настройка требует, имхо, слишком много времени. Ещё есть zabbix, но ни о плюсах, ни о минусах его сказать не могу - не пробовал.
Возможно, есть ещё что-то, но webmin определённо не предназначен для мониторинга и ставить его для этих целей, мягко говоря, неправильно.
Я использую для этого munin(на одной из машин стоит серверная часть, которая собирает статистику со всех подконтрольных систем). С учётом того, что плаигны к нему пишутся очень просто на любом скриптовом языке(предпочтительнее perl, но не обязательно - api универсальное), его функционал можно расширять до бесконечности.
Когда-то давно пользовался nagios'ом, но для моих задач его функционал избыточен, а настройка требует, имхо, слишком много времени. Ещё есть zabbix, но ни о плюсах, ни о минусах его сказать не могу - не пробовал.
Возможно, есть ещё что-то, но webmin определённо не предназначен для мониторинга и ставить его для этих целей, мягко говоря, неправильно.
Тут уже верно советуют - ssh и в консоль.
Всё-равно придётся осваивать ssh, потому как полностью нормально сервер через вебморду не настроить. Любой шаг в сторону и придётся руками ковырять конфиги. И лучше это научиться делать до того, как на сервере будут находиться реальные проекты. И, кстати, любая более-менее нормальная настройка сервера требует правки конфигов. Делать это в вебинтерфейсе, имхо, мазохизм. Как минимум лучше какой-нибудь nano с подсветкой синтаксиса. Хотя сам я использую vim со своими настройками и плагинами, благодаря чему делаю всё быстрее и проще.
Помимо этого, все эти вебморды делают всё топорно. Работать с файловой системой по-человечески не умеют, а значит с симлинками можно попрощаться и придётся отказаться от a2ensite/a2dissite, a2enmod/a2dismod, например, и удобного разнесения конфигов.
Не знаю как сейчас, а раньше webmin при настройке фаера пихал много лишних бесполезных, а иногда и вредных правил в iptables. Потом приходится руками вычищать.
В общем, я честно не понимаю, зачем нужны эти web-интерфейсы. Когда я только начинал админить, тоже мучался с webmin'ом и мышкой в брозёре тыкался. Потом понял, что есть более удобные способы работы.
Всё-равно придётся осваивать ssh, потому как полностью нормально сервер через вебморду не настроить. Любой шаг в сторону и придётся руками ковырять конфиги. И лучше это научиться делать до того, как на сервере будут находиться реальные проекты. И, кстати, любая более-менее нормальная настройка сервера требует правки конфигов. Делать это в вебинтерфейсе, имхо, мазохизм. Как минимум лучше какой-нибудь nano с подсветкой синтаксиса. Хотя сам я использую vim со своими настройками и плагинами, благодаря чему делаю всё быстрее и проще.
Помимо этого, все эти вебморды делают всё топорно. Работать с файловой системой по-человечески не умеют, а значит с симлинками можно попрощаться и придётся отказаться от a2ensite/a2dissite, a2enmod/a2dismod, например, и удобного разнесения конфигов.
Не знаю как сейчас, а раньше webmin при настройке фаера пихал много лишних бесполезных, а иногда и вредных правил в iptables. Потом приходится руками вычищать.
В общем, я честно не понимаю, зачем нужны эти web-интерфейсы. Когда я только начинал админить, тоже мучался с webmin'ом и мышкой в брозёре тыкался. Потом понял, что есть более удобные способы работы.
Не, ну я понимаю, что webmin - отстой, но не настолько же. :)
Установил ubuntu server + lamp + ssh + webmin.
Зашел в webmin а там показывает disk space занято 24Гб+ ...и вроде установил всего ничего... сервер без граф.оболочек итп...пробовать переустановить или 24Гб это норма ? (может это срез репозитариев ~20Гб -как его снести ?)
Зашел в webmin а там показывает disk space занято 24Гб+ ...и вроде установил всего ничего... сервер без граф.оболочек итп...пробовать переустановить или 24Гб это норма ? (может это срез репозитариев ~20Гб -как его снести ?)
24 гига - это слишком много. Там определённо что-то лишнее. И это не репы. Не могут они столько занимать. Так или иначе, скачанные пакеты можно удалить командой apt-get clean. Нужно искать, какого туда мусора эта ваша бубунта натащила.
Новость о том, что они переходят проскакивала уже несколько лет назад, так что, думаю, давно перешли уже. Если мне не изменяет память, yandex-почта на RHEL ушла, поиск на бубунту. Рамблер полностью на дебиан.
Debian GNU/Linux.
Скриншот криво вставился.
Смутно верится. Неужели я такой везучий, что ни от одного из трёх с лишним сотен контактов в листе скайпа мне ни разу не прилетало такое сообщение?
Вот я как-то давно зашёл в конфу, потусил немного, задолбался читать флуд ни о чём и вышел. Сейчас почитал лог и подумал, что и правильно. Делать там нечего с такими радостными разговорами.
хм. Что в прошлый раз, когда тему со скайпом поднимали, у меня на gentoo и debian'е всё работало, что сейчас. Может какие-то действия предшествовали поломке?
У меня иногда бывает, скайп с первого раза не подключается, но так, чтобы вообще отпадал и надо было руками что-то там удалять - не было ещё ни разу.
У меня иногда бывает, скайп с первого раза не подключается, но так, чтобы вообще отпадал и надо было руками что-то там удалять - не было ещё ни разу.
Да, а кота забанить к чертям.
Странный iconv там. Мой iconv не понимает такой конструкции:
"$(curl -s http://stat.vessobel.by/cgi-bin/BILinfon.cgi?Login=$1 | iconv -f cp1251 -t utf-"
Нужно явно указывать utf-8.
"$(curl -s http://stat.vessobel.by/cgi-bin/BILinfon.cgi?Login=$1 | iconv -f cp1251 -t utf-"
Нужно явно указывать utf-8.
с разморозкой
Спасибо, но я не вчера на него перешёл. :) Просто долгое время я сидел на старом ядре, где этого ещё не было(или оно было в экспериментальных) и только с полгода назад перешёл на ванильную ветку и, соответственно, обновляюсь чаще.
и это не планировщик!
хм. А что(я честно не знаю, не программист)?
да, костыль крайне неадекватно ведёт себя с графикой
В чём выражается? У меня по всем показателям система стала работать лучше. И кеды ровнее, и игрушки в wine красивее и т.д. Да, сразу отмечу, изначально я перешёл на новое ядро, используя старый конфиг и не включив ничего нового. Потому постепенно за несколько раз перебрал ядро.
а с приоритетами - это давно известный хак, который я использую уже давно
Не хак, а стандартное средство управления процессами в linux(да и не только). Я тоже использую его очень давно, ещё с седьмого редхата. И не только для portage. Упомянул просто для полноты картины.
Блин. Зачем исправлять? Я его так ни разу и не видел, а тут исправят и не увижу. :(
Да, swappiness у меня равен 60.
Немного не в тему, но для тех, у кого самосборное ядро, может пригодится. Я заметил, что система стала намного лучше работать после перехода на планировщик cgroups в последнем ядре. Я прямо на глаз заметил улучшение.
Раньше, например, при сборке какого-нибудь firefox'а на стадии линковки, когда система начинала сильно дёргать диск и при этом уходить в своп(2-ух гигов памяти для линковки последнего firefox'а недостаточно) фильмы начинали притормаживать, а брозёр отзывался с задержкой в несколько секунд. Сейчас всё работает идеально. Собственно, после перехода на cgroups и небольшого допиливания portage(nice, ionice) я вообще не замечаю идущей в фоне компиляции при том, что собирается по два ebuild'а одновременно в два потока каждый.
Раньше, например, при сборке какого-нибудь firefox'а на стадии линковки, когда система начинала сильно дёргать диск и при этом уходить в своп(2-ух гигов памяти для линковки последнего firefox'а недостаточно) фильмы начинали притормаживать, а брозёр отзывался с задержкой в несколько секунд. Сейчас всё работает идеально. Собственно, после перехода на cgroups и небольшого допиливания portage(nice, ionice) я вообще не замечаю идущей в фоне компиляции при том, что собирается по два ebuild'а одновременно в два потока каждый.
Ты же админ, вроде? Откуда такие школьные вопросы?
А что означает тег "кощей"?
Товарищи подтверждающие. Вы всё это делаете на 7-мидюймовом дисплее?
Так у меня тоже всё ок на остальных компах. Я говорю про нетбук с семидьюмовым экраном. Раньше было криво и приходилось использовать костыли, а сейчас всё заработало само в chrome. Вот мне и интересно, в чём штука.
Понятное дело, что одним ps'ом не обойтись. Но как по мне всё же сперва надо изучить всё, что установлено, а потом уже искать червей.
munin умеет мониторить нагрузку на апач и нгинкс. Почему бы не включить и не посмотреть, увеличилось количество запросов из интернетов?
А по поводу прокси, ps, tcpdump, top и смотреть, что там.
А по поводу прокси, ps, tcpdump, top и смотреть, что там.
Это штатный способ разделения прав со времён UNIX. ACL для более хитрых задач.
У всех системных пользователей я ставлю шелл false.
Согласен.
Сам я не подойду под указанные в топике требования, потому что просто работаю немного в другой области. Понятное дело, я не подхожу как программист ядра или компилятора. Но в плане использования и того, и другого опыта много. Ещё с 2.4-го ядра. И не каждый программер сможет подобное осилить на рабочей системе.
Документация и прочее просто неинтересно. Я админ, а не писатель.
К слову, когда увидел эту новость, скинул ссылку на неё знакомому программисту и админу, который в разы лучше меня разбирается в linux'ах. Его ответ был в стиле "Во внутренностях ядра я так не разбираюсь, а документация и поддержка мне не интересна".
У каждого свой профиль.
Сам я не подойду под указанные в топике требования, потому что просто работаю немного в другой области. Понятное дело, я не подхожу как программист ядра или компилятора. Но в плане использования и того, и другого опыта много. Ещё с 2.4-го ядра. И не каждый программер сможет подобное осилить на рабочей системе.
Документация и прочее просто неинтересно. Я админ, а не писатель.
К слову, когда увидел эту новость, скинул ссылку на неё знакомому программисту и админу, который в разы лучше меня разбирается в linux'ах. Его ответ был в стиле "Во внутренностях ядра я так не разбираюсь, а документация и поддержка мне не интересна".
У каждого свой профиль.
Да. А ещё есть расширенные права доступа, но это уже тема для отдельной немаленькой статьи. Можно гуглить по ключевой фразе Access Control List. Правда, дома городить это я бы не стал. Я лично их использую только на одном из боевых серверов и то, лишь частично.
Обычно, когда необходимо дать доступ нескольким сервисам в одну общую директорию, используя групповые права. Т.е. каждую программу надо запускать от какого-либо своего пользователя(или одного, специально для этого созданного) и всех этих пользователей добавить в общую группу. На директорию, с которой они работают, выставляется бит SGID(таким образом, все файлы, созданные в этой директории будут принадлежать к группе, которая этой директории назначена; подробности в man chmod). Далее нужно отредактировать параметры umask для всех этих пользователей, чтобы они создавали файлы с разрешением чтения и записи для группы. Таким образом в этой общей директории будут создаваться файлы, которые все сервисы из общей группы смогут просматривать, изменять или удалять. Разумеется, директорий и групп может быть несколько - тут уж вам надо смотреть по потребностям.
Я использую подобную схему на тестовом web-сервере. Там у меня есть директория /var/www/
В ней находятся тестовые сайты. Она принадлежит пользователю www-data и группе www-data. Апач и нгинкс работают от этого пользователя. Туда же есть доступ по ftp. Каждый, кто идёт на сервер по ftp, пишет файлы от своего пользователя, но все они состоят в группе www-data. Ну и мой собственный системный логин на сервере тоже имеет туда такой же доступ. Для продакшена это, конечно, не безопасно, но для теста или дома - вполне.
Что касается прав на запуск - можно опять же подправить umask для тех, кому это право необходимо, но мне не совсем ясно, зачем кому-то на файлопомойке нужно что-то запускать.
И наконец, transmission. Читайте маны по нему или просто запускайте его от отдельного пользователя. Ни один сервис не должен работать от имени рута, если он смотрит в сеть.
Я использую подобную схему на тестовом web-сервере. Там у меня есть директория /var/www/
В ней находятся тестовые сайты. Она принадлежит пользователю www-data и группе www-data. Апач и нгинкс работают от этого пользователя. Туда же есть доступ по ftp. Каждый, кто идёт на сервер по ftp, пишет файлы от своего пользователя, но все они состоят в группе www-data. Ну и мой собственный системный логин на сервере тоже имеет туда такой же доступ. Для продакшена это, конечно, не безопасно, но для теста или дома - вполне.
Что касается прав на запуск - можно опять же подправить umask для тех, кому это право необходимо, но мне не совсем ясно, зачем кому-то на файлопомойке нужно что-то запускать.
И наконец, transmission. Читайте маны по нему или просто запускайте его от отдельного пользователя. Ни один сервис не должен работать от имени рута, если он смотрит в сеть.
Вот, кстати, раз зашёл вопрос по поводу этого окошка, всё хотел узнать.
Есть такой косяк у меня. Пока срок действия печенек не истёк, всё нормально. Пароль запомнен в брозёре, захожу автоматом. А вот, как только печеньки надо обновлять и соответственно автоматом брозёр не залогинивается, приходится руками заново вбивать логин с паролем. Это окошко не помнит, что я уже раньше в него логинился. Это только у меня так? Если нет, то это так задумано или надо писать в багтрекер?
Есть такой косяк у меня. Пока срок действия печенек не истёк, всё нормально. Пароль запомнен в брозёре, захожу автоматом. А вот, как только печеньки надо обновлять и соответственно автоматом брозёр не залогинивается, приходится руками заново вбивать логин с паролем. Это окошко не помнит, что я уже раньше в него логинился. Это только у меня так? Если нет, то это так задумано или надо писать в багтрекер?
Как я и говорил выше, затык скорее всего в тысячах файлов.
Первый вариант, почему именно на оперделённом моменте тормозит - набирает критическую массу созданных/удалённых файлов и при заходе в директорию с ними, пока не прочитает их всех, ждёт. За это время набегает очередь. После этого работает в штатном режиме, пока очередь не разберёт.
Второй вариант - при старте скрипта он криво собирает информацию об этих файлах(например, заносит их все в один огромный хеш, который начинает обрабатывать). Отсюда зависимость от производительности системы.
В общем, сейчас только гадать можно.
Первый вариант, почему именно на оперделённом моменте тормозит - набирает критическую массу созданных/удалённых файлов и при заходе в директорию с ними, пока не прочитает их всех, ждёт. За это время набегает очередь. После этого работает в штатном режиме, пока очередь не разберёт.
Второй вариант - при старте скрипта он криво собирает информацию об этих файлах(например, заносит их все в один огромный хеш, который начинает обрабатывать). Отсюда зависимость от производительности системы.
В общем, сейчас только гадать можно.
Т.е. опыты провести не получится?
И код парсера тоже нет возможности показать?
Я просто уверен, что проблема либо с нагрузкой на работу с фс, либо в самом парсере. Но, что в первом, что во втором случае, узкое место именно в том, что создаётся очень много промежуточных файлов.
И код парсера тоже нет возможности показать?
Я просто уверен, что проблема либо с нагрузкой на работу с фс, либо в самом парсере. Но, что в первом, что во втором случае, узкое место именно в том, что создаётся очень много промежуточных файлов.
Пока писал, подумал, что можно на cpan.org сходить и поискать модули для парсинга. Хотя бы так. Как видно поссылке, perl'ом можно напрямую обрабатывать дампы в формате libcap. Без всяких костылей.
Какая файловая система? Дело в том, что в ext при удалении файла, его индекс сохраняется, а новосозданному файлу присваивается следующий в очереди. При чтении директории система просматривает все индексы вне зависимости от того, ведут они к реальным файлам или нет. Так что вполне возможно, что задержка идёт не при работе парсера, а просто при открытии директории парсером. Можно, конечно, попробовать переформировать индексы(e2fsck -D -f /dev/sdb1), но даже если это поможет, такой подход с тысячами файлов - это явное извращение. Как временное решение, можно создавать какую-нибудь tmp-директорию, в неё закидывать эти тысячи файликов, парсить их, удалять директорию, создавать новую и так далее. Это спасёт от того, что в рабочей директории парсера будет куча неиспользуемых индексов. Но это костыль.
Что мешает обрабатывать выхлоп tshark'а на лету?
А лучшее вообще какой-нибудь tcpdump натравить. Он умеет дампить в свой формат, спецификации на который открыты. При знании Си, можно разбирать его напрямую. Если неохота, сам же tcpdump умеет приводить свой бинарный дамп в читабельный вид, который опять же можно скармливать напрямую perl'овому скрипту.
Так или иначе, тому, кто проектировал эту систему и придумал тысячи файликов, надо руки оторвать.
Что мешает обрабатывать выхлоп tshark'а на лету?
А лучшее вообще какой-нибудь tcpdump натравить. Он умеет дампить в свой формат, спецификации на который открыты. При знании Си, можно разбирать его напрямую. Если неохота, сам же tcpdump умеет приводить свой бинарный дамп в читабельный вид, который опять же можно скармливать напрямую perl'овому скрипту.
Так или иначе, тому, кто проектировал эту систему и придумал тысячи файликов, надо руки оторвать.
Кстати, для любителей порисовать.
Debian ищет художников для оформления 7-ой версии. Если есть лишнее время и желание, то подробности тут.
Debian ищет художников для оформления 7-ой версии. Если есть лишнее время и желание, то подробности тут.
Ааа.. Ну это, имхо, нереально, пока броузерописатели не начнут добавлять обработку telnet так же как вских торрентов и т.д.. :)
Вообще-то прописанный на уровне DE эмулятор терминала по умолчанию будет работать в любом браузере и в любой программе, которая попытается вызвать эмулятор терминала. Не понимаю, что не устраивает?
1.(зависимо от браузера) Вместо konsole из примеров по ссылкам вписать нужный эмулятор терминала и всё. Что касается вкладок, надо курить маны на каждый конкретный эмулятор.
2. В DE прописать в качестве стандартного терминала тот, который необходим и в скрипте использовать эту переменную. KDE и xfce4 такое умеют, могу подсказать, где. Про бубунты не скажу.
2. В DE прописать в качестве стандартного терминала тот, который необходим и в скрипте использовать эту переменную. KDE и xfce4 такое умеют, могу подсказать, где. Про бубунты не скажу.
Ну смысл в том, чтобы охранять ключи так же как и пароли. Чтобы к ним никто кроме вас не имел доступа. Keychain просто хранит пароли в зашифрованном виде, и оттдает вам определенный ключ, после того как вы ему сообщите определенный пароль. Просто безопасность сервера не ограничивается сервером. Я смогу увести ваш лаптоп, и с лаптопа пользуюсь вашими ключами залогиниться на ваш сервер. При использовании keychain подобное не произойдет. И шифрования всей системы, не требуется. Шифруется лишь то, что нужно защитить.
Таким образом этот скрипт спрашивает пароль и подставляет вместо него ключ? Чем тогда это лучше обычной авторизации по паролю или по запароленному ключу? Это-то как раз мне и не ясно. :)
Ну, в общем, проверил. Не идеально, но на мой взгляд вполне нормально. Если не присматриваться, всё ок. Хотя мне многие говорили, что в этом плане я пофигист. :)
Один из моих клиентов имел устаревший php-скрипт и атакующий воспользовался возможностью и создал новый аккаунт в системе через этот php-скрипт.
После этой цитаты сперва даже хотел бросить читать. Странно слышать советы по настройке ssh от человека, который держит web-сервер с рутовыми правами и/или не следит за такими критичными апдейтами, как повышение привилегий. Но всё же дочитал, и поэтому возникло пару замечаний(не переводчику, а читателям, так сказать к сведению).
#4: Настройте время ожидания при простое для выхода
- не понятна логика этого пункта. Раньше на некоторых системах это было включено по умолчанию, так наоборот приходилось отключать - неудобно же. Может быть открыто несколько сессий к разным серверам и 5 минут это не время. А я вообще сутками коннекты могу держать, пока работаю иногда. Неудобство эта опция доставит. Защиту - нет.
#8: Включите предупреждающий баннер
Бессмысленно, имхо.
Кстати, почему два восьмых пункта? :)
#11: Используйте публичные ключи для аутентификации
Вот тут стоит посоветовать настроить для каждого сервера свой ключ.
#12: Используйте Keychain для аутентификации
Не совсем понял смысла этого скрипта из описания в интернетах.
#13: Ограничьте SSHD с помощью chroot (Заприте пользователей в их домашних директориях)
Это да. В своё время мне этой возможности очень не хватало и приходилось городить костыли. Вот только подобная схема не всегда полезна.
#18: Используйте Port Knocking
Имхо, очень гемморно и необходимо только в случае тяжёлой стадии паранойи. :)
/etc/nologin - если этот файл существует, то sshd будет отказываться пускать кого-либо кроме root-пользователя.
Если этот файл существует, то система откажется пускать всех кроме рута. Т.е. и локальный логин, и любой другой логин не будет работать. Я бы не советовал такие вещи на серверах пробовать. Особенно если предварительно отключить логин по ssh для root на удалённом сервере. Будет радостно, ага.
Остальные советы в принципе стандартны и присоединяюсь к рекомендации их использовать. На боевых серверах большинство их них нужны. Только вот сперва стоит внимательно почитать маны, потому что, судя по всему, и сам автор статьи читал их лишь поверхностно и всех тонкостей не понимает. С таким подходом в настройке столь критичных сервисов как ssh ничего хорошего не выйдет. Но для общего ознакомления - отлично подойдёт.
Снести KDE, поставить fluxbox и управлять.
А если серьёзно - зачем?
А если серьёзно - зачем?
Как буду дома, попробую поискать в архивать фотки с красными глазами и проверить. Сейчас пока сказать сложно.
А что умеет пикаса? У меня она не установлена, поэтому сравнивать с ней не могу.
Раньше красные глаза gwenview'ом убирал. Сейчас нет надобности - фотоаппарат сам с этим справляется.
Раньше красные глаза gwenview'ом убирал. Сейчас нет надобности - фотоаппарат сам с этим справляется.
Считать на внутреннем интерфейсе сервера любой приемлемой системой подсчёта траффика или самописными костылями. Я когда давно городил вот такой велосипед.
Тут, кстати, подумалось, что этого можно избежать, используя https на странице авторизации. И тогда таки от шифрования действительно можно полностью отказаться, раз точка публичная.