Mikhail T.'s questions

Estamos usando o systemd para executar vários serviços em produção. (Dã...)

Estamos construindo um site de "recuperação de desastres" correspondente, que terá o mesmo aplicativo instalado -- com as mesmas unidades de sistema para ativar seus vários componentes em caso de desastre .

Este ambiente de DR é "quente", pronto para assumir o controle em pouco tempo (quanto mais curto, melhor) - tornando-se assim a própria produção. Então, quando o "desastre" for resolvido, o outro ambiente se tornará o DR.

Minha pergunta é: como manter esses serviços do systemd prontos para iniciar, mas não iniciando até que uma determinada condição se torne verdadeira?

Para concluir que um determinado site é atualmente o primário (produção), um comando ( amIthePrimary) precisa ser executado e sair com um código de saída 0. A verificação é fácil e rápida - e pode ser realizada uma vez por minuto. Mas, porque requer a execução de um comando, não há Conditionpara isso fornecido pelo systemd .

Eu coloco esse comando em cada unidade ExecPre , ou isso se tornará um erro barulhento, incomodando desnecessariamente os administradores? Coloco-o em uma unidade própria, com todos os outros serviços Require?

Separadamente, uma vez que a condição é verdadeira -- e os serviços são iniciados -- como continuo verificando, para que todos sejam desligados, caso se torne falso novamente?

Eu tenho uma VM convidada do VirtualBox, que está configurada para operar atrás do "NAT" do VirtualBox. Eu posso acessar vários compartilhamentos de rede via smbnetfs , mas as tentativas de acessar o mesmo via NFS falham com a mensagem de erro informando: Client credential too weak.

Presumivelmente, o erro é devido à implementação do NAT do VirtualBox usando um número de porta acima de 1024 para a conexão de saída - mesmo que o mount_nfsprograma dentro do convidado use uma porta inferior (porque eu o executo como convidado root).

Existe uma maneira de alterar as configurações do VBox para fazer isso corretamente? Tenho certeza de que pode - porque já é executado (ou deve ser executado) como o "administrador" do Windows ...

Atualização : sim, se eu alterar a configuração de rede de NAT para uma das opções diretas, o erro desaparece, o que prova que o processo do VirtualBox possui os privilégios necessários - apenas opta por não usá-los.

Existe uma maneira de fazer com que ele mantenha a porta de saída, ao fazer o NAT?

Para aqueles de nossos hosts, que possuem um endereço IP público, definimos um atributo personalizado na definição do host: _PADDR:

define host {
        ...
        address 10....
        _paddr  53....
}

Podemos então - sem criar grupos específicos ou outras entradas - limitar uma verificação de serviço apenas aos hosts, que têm o atributo personalizado definido?

Usando Icinga-1.13.3.

Estou tentando configurar meu servidor doméstico para retransmitir e-mails dos iPhones da família. Para este fim, criei uma única conta de "usuário" no banco de dados SASL do servidor e configurei o sendmail para usar o CRAM-MD5 como o único mecanismo SASL. No log (em alto nível de detalhamento) o sendmail diz:

AUTH: available mech=CRAM-MD5, allowed mech=EXTERNAL GSSAPI KERBEROS_V4 DIGEST-MD5 CRAM-MD5

Quando um iPhone se conecta, sua tentativa de autenticação parece ter sucesso (veja a troca abaixo). No entanto, o e-mail é rejeitado de qualquer maneira, e isso me deixa completamente perplexo ...

<-- EHLO [192.168.1.171]
--- 250-symbion.example.com Hello ... [...], pleased to meet you
--- 250-ENHANCEDSTATUSCODES
--- 250-PIPELINING
--- 250-8BITMIME
--- 250-SIZE
--- 250-DSN
--- 250-AUTH CRAM-MD5
--- 250-STARTTLS
--- 250-DELIVERBY
--- 250 HELP
<-- AUTH CRAM-MD5
--- 334 PDEzOT....dG1hbi5jb20+
--- 235 2.0.0 OK Authenticated
<-- MAIL FROM:<[email protected]>
Authentication-Warning: symbion.example.com: Host ... [...] claimed to be [192.168.1.171]
--- 403 4.7.0 authentication required
ruleset=check_mail, arg1=<[email protected]>, relay=... [...], reject=403 4.7.0 authentication required
<-- RCPT TO:<info@......>
--- 503 5.0.0 Need MAIL before RCPT
<-- DATA
--- 503 5.0.0 Need MAIL command
<-- QUIT
--- 221 2.0.0 symbion.example.com closing connection

Meu accessbanco de dados não é grande:

CERTISSUER:/MY/OWN/Certificate/Authority   RELAY
TLS_Clt:127.0.0.1       OK
TLS_Clt:192.168.1       OK
TLS_Clt:        VERIFY:112
Try_TLS:127.0.0.1       NO
Try_TLS:192.168.1       NO
Connect:192.168.1       RELAY
Connect:127.0.0.1       RELAY
Srv_Features:127.0.0.1  S A V
Srv_Features:192.168.1  S A V
Srv_Features:   s a v

O mesmo com o sendmail invocado localmente:

% sendmail -O LogLevel=14 -bs -Am
220 symbion.example.com ESMTP Sendmail 8.15.2/8.15.2; Fri, 27 Oct 2017 01:02:25 -0400 (EDT)
AUTH CRAM-MD5
334 PDEwM....vbT4=
cmlvc0BzeW1ia...JhYjU5
235 2.0.0 OK Authenticated
MAIL FROM: mi@meow
403 4.7.0 authentication required

Estou lutando para criar o conjunto satisfatório de registros em sasldb2.db. Se eu usar o normal

saslpasswd2 -c user

Recebo exatamente um registro, de acordo com sasldblistusers2:

[email protected]:    userPassword

enquanto esta página me leva a acreditar, deve haver uma linha para cada mecanismo ( DIGEST-MD5, CRAM-MD5, e assim por diante).

Se eu adicionar -npara evitar armazenar o texto simples (eu realmente preciso apenas do CRAM-MD5):

saslpasswd2 -n -c user

então sasldblistusers2 não encontra nenhum registro para listar . O meu saslpasswd.confconsiste em duas linhas:

mech_list:      cram-md5 digest-md5 ntlm plain
log_level:      9

Eu tentei isso no FreeBSD usando cyrus-sasl-2.1.26_12 e Ubuntu com 2.1.25... O que estou fazendo de errado?

Eu preciso CRAM-MD5porque, sem mais reconfigurações, meu sendmail apenas lista isso e DIGEST-MD5como os mecanismos aceitáveis AUTH. E os iPhones, aparentemente, não suportam arquivos DIGEST-MD5. E estou fazendo tudo isso apenas por causa de alguns iPhones - os computadores normais já se autenticam com os certificados SSL do cliente emitidos por minha própria autoridade.

Ok, aparentemente, a CRAM-MD5autenticação foi bem-sucedida o tempo todo - apesar de não ser listada por sasldblistusers2. Eu criei uma nova pergunta - por que o sendmail recusa a retransmissão apesar do sucesso da autenticação.

Eu tenho dois servidores de e-mail: A e B.

O servidor A é o manipulador MX oficial do domínio example.come está configurado para encaminhar todo o @example.comarquivo [email protected]. Esta parte funciona bem.

No entanto, algumas vezes o servidor B também recebe o e-mail destinado [email protected]e eu gostaria que ele entregasse esse e-mail diretamente para [email protected].

Para este fim, adicionei o mesmo registro /etc/mail/virtusertableno servidor B que tenho no servidor A:

@example.com   [email protected]

Eu reconstruí os bancos de dados e reiniciei o sendmail em B, mas ainda o vejo entregar o e-mail para example.comA -- em vez de entregá-lo diretamente ao Yahoo.

É como se o registro MX superasse o virtusertable- como faço para reverter isso e salvar um salto?

Eu tenho um media-player, que costumava se conectar ao meu computador principal rodando o Samba sem problemas. Ele está executando uma versão antiga do Linux embarcado (kernel 2.6.22.19-27) e possui CIFS.

Em algum momento, depois que eu atualizei o software Samba no servidor (samba-4.6.8 rodando no FreeBSD-10.4 no momento), o player perdeu essa capacidade - ele ainda pode listar os mesmos compartilhamentos exportados, mas não pode mais abrir nada : "credenciais erradas".

Um aplicativo compatível com SMB no meu telefone abre as mesmas pastas muito bem (usando as mesmas credenciais) ...

Existe alguma opção que eu preciso ativar explicitamente o servidor para habilitar algum tipo de modo de compatibilidade com clientes antigos?

Atualização : com base na sugestão de @Tin, adicionei a seguinte linha à [global]-seção de smb4.conf: max protocol = NT1 Infelizmente, isso não mudou as coisas - ainda posso me conectar da maioria dos sistemas, exceto o media player, que ainda me informa, minhas credenciais não são bons.

Usando tcpdumpno servidor capturei a seguinte troca:

    SMB PACKET: SMBnegprot (REQUEST)
    SMB Command   =  0x72
    Error class   =  0x0
    Error code    =  0 (0x0)
    Flags1        =  0x0
    Flags2        =  0x1
    Tree ID       =  0 (0x0)
    Proc ID       =  1283 (0x503)
    UID           =  0 (0x0)
    MID           =  1 (0x1)
    Word Count    =  0 (0x0)
    smb_bcc=12
    Dialect=NT LM 0.12

Ao que o servidor responde:

SMB PACKET: SMBnegprot (REPLY)
SMB Command   =  0x72
Error class   =  0x0
Error code    =  0 (0x0)
Flags1        =  0x80
Flags2        =  0x3
Tree ID       =  0 (0x0)
Proc ID       =  1283 (0x503)
UID           =  0 (0x0)
MID           =  1 (0x1)
Word Count    =  17 (0x11)
NT1 Protocol
DialectIndex=0 (0x0)
SecMode=0x3
MaxMux=50 (0x32)
NumVcs=1 (0x1)
MaxBuffer=16644 (0x4104)
RawSize=65536 (0x10000)
SessionKey=0xA4AA
Capabilities=0x80F3FD
ServerTime=Sun Oct  1 18:00:38 2017
TimeZone=240 (0xf0)
CryptKey=Data: (1 bytes)
...

O cliente então diz:

    SMB PACKET: SMBsesssetupX (REQUEST)
    SMB Command   =  0x73
    Error class   =  0x0
    Error code    =  0 (0x0)
    Flags1        =  0x0
    Flags2        =  0x1
    Tree ID       =  0 (0x0)
    Proc ID       =  1283 (0x503)
    UID           =  0 (0x0)
    MID           =  2 (0x2)
    Word Count    =  13 (0xd)
    Com2=0xFF
    Res1=0x0
    Off2=0 (0x0)
    MaxBuffer=16644 (0x4104)
    MaxMpx=50 (0x32)
    VcNumber=0 (0x0)
    SessionKey=0x0
    CaseInsensitivePasswordLength=24 (0x18)
    CaseSensitivePasswordLength=24 (0x18)
    Res=0x0
    Capabilities=0x80D0DC
    Pass1&Pass2&Account&Domain&OS&LanMan=
    smb_bcc=179
    ...

e finalmente o servidor:

SMB PACKET: SMBsesssetupX (REPLY)
SMB Command   =  0x73
Error class   =  0x6D
Error code    =  49152 (0xc000)
Flags1        =  0x80
Flags2        =  0x3
Tree ID       =  0 (0x0)
Proc ID       =  1283 (0x503)
UID           =  0 (0x0)
MID           =  2 (0x2)
Word Count    =  0 (0x0)
NTError = STATUS_LOGON_FAILURE
smb_bcc=0

O que está acontecendo?

Update : A maneira que eu posso montar qualquer coisa é criando uma conta com senha vazia ( smbpasswd -n ...) e editando smb.confpara permitir null passwords.

Temos uma matriz de servidores, qualquer um dos quais pode ficar inativo gerando uma notificação de prioridade média:

define host {
        host_name       foo1
        contacts        medium-priority
        use     default-host
}
...

No entanto, gostaríamos de receber uma notificação de prioridade mais alta sempre que mais de dois desses servidores estiverem com problemas. Para esse fim, configuramos uma definição de serviço separada usando o utilitário -utility do Nagios'/ check_clusterIcinga:

define service {
        service_description     foo-cluster
        servicegroups   cluster-checks
        display_name    Foo Cluster
        check_command   check_cluster_host!Foo Cluster!0!3!$HOSTSTATEID:foo1$,$HOSTSTATEID:foo2,...$HOSTSTATEID:fooN$
        contacts        high-priority
        hostgroup_name  clusters
        notes   Check, that no more than 2 hosts in group foo are in trouble
        use     default-service
}

O acima provavelmente funcionará, mas gostaria que essa verificação de serviço fosse acionada não pelo tempo, mas apenas por uma mudança no status de qualquer um dos hosts "subjacentes" ...

Geramos os arquivos de configuração do Icinga com o Ansible e, portanto, podemos construir dependências complexas programaticamente - mas esse acionamento pode ser implementado ?

Embora o próprio Ansible tenha uma maneira de acionar um erro personalizado , não consigo encontrar nada semelhante para Jinja.

Meu método atual usa um erro de sintaxe :

{%  if 'ansible_mounts' in hostvars[host] %}
# {{ host }} knows its mount-points
{% else %}
# {% error!! No ansible_mounts listed for host - fact-gathering must've failed %}
{% endif %}

mas eles são mal renderizados em tempo de execução -- é preciso olhar dentro do arquivo de modelo e procurar o erro (a renderização nem inclui o número da linha!).

Existe uma maneira de gerar uma mensagem de falha pura de dentro do modelo Jinja?

Usamos vários servidores de aplicativos liderados pelo NGinx. Agora desejamos restringir o acesso a alguns dos aplicativos pelo proxy, mas ainda permitir que os scripts executados no mesmo host e LAN interna ignorem a nova autenticação.

Para este fim, adicionamos o seguinte à configuração:

satisfy any;
allow 192.168.32.0/24;
allow 192.168.29.29;
allow 127.0.0.1;
deny all;
proxy_pass http://127.0.0.1...

No entanto, isso permite que todas as solicitações entrem -- presumivelmente, porque o proxy é feito para 127.0.0.1 e, portanto, todas as solicitações correspondem à regra "permitir 127.0.0.1" acima.

O que estamos fazendo errado? Qual a abordagem certa?

Alguns dos e-mails que passam pelo meu servidor são encaminhados para contas externas.

Infelizmente, meu servidor SMTP upstream é muito exigente com spam - e rejeita algumas das mensagens legítimas como tal. Quando isso acontece com o correio encaminhado, recebo as devoluções (como o postmaster) - não os originadores.

Entendo que isso ocorre porque o sendmail enfileira as mensagens localmente, desconecta-se da retransmissão e só então prossegue para encaminhá-las. Se o encaminhamento adicional for interrompido por qualquer motivo - como porque o próximo relé identifica erroneamente a mensagem como spam - meu sendmail é deixado para reter os pedaços.

As coisas podem ser configuradas para que o encaminhamento comece imediatamente (assim que o destino do encaminhamento for determinado)? O status - sucesso ou falha - pode então ser comunicado diretamente ao relé anterior ainda na linha ...

Se o sendmail não puder fazer isso, algum outro MTA pode? Obrigado!

Eu tenho diferentes necessidades de encaminhamento para diferentes domínios, que apontam para o meu servidor de email:

[email protected]   [email protected]
[email protected]   [email protected]
@example.com        mylocalaccount

Isso tudo funciona... No entanto, alguns desses usuários desejam usar a notação + para fornecer endereços diferentes a fornecedores diferentes, como user1+ fornecedor@example.com . E essa parte não está funcionando -- todos esses e-mails acabam sendo entregues ao catchall mylocalaccountem vez de serem encaminhados corretamente.

Como faço para [email protected]ser encaminhado para o mesmo destino que [email protected]?

Eu tentei adicionar entradas como

user1+*@example.com    foo+%[email protected]

mas não resolveu o problema...

Aqui estão os rastreamentos de depuração:

Sem o detalhe:

% sendmail -d60.5 -bv [email protected]
map_lookup(dequote, me, %0=me) => NOT FOUND (0)
map_lookup(dequote, g, %0=g) => NOT FOUND (0)
map_lookup(virtuser, [email protected], %[email protected], %1=g) => [email protected] (0)

... funciona.

Com o detalhe:

% sendmail -d60.5 -bv [email protected]
map_lookup(dequote, me, %0=me) => NOT FOUND (0)
map_lookup(dequote, g+meow, %0=g+meow) => NOT FOUND (0)
map_lookup(virtuser, [email protected], %[email protected], %1=g+meow) => NOT FOUND (0)
map_lookup(virtuser, @example.com, %[email protected], %1=g+meow) => me (0)
map_lookup(dequote, me, %0=me) => NOT FOUND (0)
map_lookup(user, me, %0=me) => me<> (0)
[email protected]... deliverable: mailer local, user me

... não funciona -- vem para a conta local "me".

Gostaríamos de alimentar logs de CDN em Graphite e agregar números encontrados lá (taxa de diferentes códigos de status HTTP, tamanhos médios de resposta, taxa média de acertos de cache etc.)

No entanto, os logs são enviados para nós apenas ocasionalmente e algumas vezes até fora de ordem - de vez em quando, um log matinal pode ser carregado à noite, horas depois que o log da tarde foi carregado e processado. Além disso, como o CDN (obviamente) possui vários servidores e data centers, diferentes logs podem cobrir períodos sobrepostos .

Isso significa que qualquer agregador precisa manter o acesso a todas as estatísticas anteriores para poder aumentar as agregações ao processar um novo log...

O que - se alguma coisa - pode fazer isso? E como configuro o logstash para alimentá-lo? Obrigado!

Temos algumas regras para uma subárvore de Locations, que envolvem Require-ing ldap-groupe expr-s.

O utilizador é devidamente desafiado a fornecer credenciais de login, que são verificadas.

No entanto, mesmo quando as credenciais estão corretas e o acesso é negado por outros motivos (como pertencer a um grupo errado ou vir de um endereço IP incorreto), a resposta do servidor é sempre 401 -- em vez de 403.

Como resultado, os navegadores continuam solicitando aos usuários que "tentem novamente"... Posso dizer ao Apache (2.4) para usar 403, se as informações fornecidas no Authorizationcabeçalho forem confirmadas e for alguma outra regra que rejeite o solicitar?

Mais uma vez, eu sei por que , depois que a autenticação é bem-sucedida, a autorização é negada para alguns dos usuários -- é suposto. Só preciso comunicar a esses usuários que: "Sim, acreditamos que você é quem diz ser, mas não tem permissão para acessar este local."

Parece que mod_rewrite é o único método para induzir uma resposta 403 - uma expressão mod_rewrite pode verificar a associação de um grupo LDAP ou alterar forçosamente o status de 401 para 403?

Fiz esta pergunta no site do WebMaster , mas não obtive respostas - o pessoal de lá parece mais orientado para o conteúdo .

Aqui está o trecho relevante da minha configuração atual:

<Location /foo>
         Require ldap-group CN=foo,OU=Groups,DC=example,DC=net
</Location>

Quando o nome de usuário/senha fornecidos são verificados, mas o requisito não é atendido, preciso retornar um 403... 401 está sendo retornado no momento.

Depois de despejar um banco de dados no MySQL-5.1.73 e carregá-lo no MySQL-5.5, notei que pelo menos uma chave primária da tabela não teve seu auto_incrementsinalizador transferido ... O describe tableoriginal diz assim:

+-----------+--------------+------+-----+---------+----------------+
| Field     | Type         | Null | Key | Default | Extra          |
+-----------+--------------+------+-----+---------+----------------+
| FIELD_ID  | bigint(20)   | NO   |     | 0       |                |
| ID        | bigint(20)   | NO   | PRI | NULL    | auto_increment |
| ISSUE_ID  | bigint(20)   | NO   | MUL | 0       |                |
| LOCK_HASH | varchar(255) | YES  | MUL | NULL    |                |
| LOCK_TIME | bigint(20)   | YES  |     | NULL    |                |
| RANK      | varchar(255) | NO   | MUL | NULL    |                |
| TYPE      | int(11)      | NO   |     | 0       |                |
+-----------+--------------+------+-----+---------+----------------+

Mas, depois de carregar no destino, a última coluna está vazia -- auto_incremento sinalizador do IDcampo - desapareceu.

De fato, olhando para o dump, vejo a definição da tabela como:

CREATE TABLE "AO_60DB71_LEXORANK" (
  "FIELD_ID" bigint(20) NOT NULL DEFAULT '0',
  "ID" bigint(20) NOT NULL,
  "ISSUE_ID" bigint(20) NOT NULL DEFAULT '0',
  "LOCK_HASH" varchar(255) COLLATE utf8_bin DEFAULT NULL,
  "LOCK_TIME" bigint(20) DEFAULT NULL,
  "RANK" varchar(255) COLLATE utf8_bin NOT NULL,
  "TYPE" int(11) NOT NULL DEFAULT '0',
  PRIMARY KEY ("ID"),
  KEY "index_ao_60db71_lexorank_rank" ("RANK"),
  KEY "index_ao_60db71_lex604083109" ("ISSUE_ID"),
  KEY "index_ao_60db71_lex1632828616" ("LOCK_HASH")
);

Não há nenhuma instrução óbvia para definir o ID para incrementar automaticamente... Os sinalizadores não padrão usados ​​com mysqldumpforam:

extended-insert=false
compatible=postgres
single-transaction

É um problema conhecido? Devo tentar um relatório de bug com MySQL (Oracle)?

Preciso de um trabalho automatizado para executar chamadas de API REST contra Foreman e prefiro não me incomodar em configurar uma conta para isso - e manter a senha para sempre.

No entanto, parece que Foreman tem apenas um "tudo ou nada" -- se a autenticação for necessária para qualquer coisa ( :login: true), então será necessária para tudo .

Isso é realmente verdade ou a aparência engana e Foreman pode ser instruído a permitir pesquisas anônimas e navegação no host, embora ainda exija autenticação para quaisquer alterações ?

Fazemos algum uso dos Parâmetros Globais no Foreman, e preciso listar todos os hosts, que têm o Parâmetro Global foodefinido como " bar".

Posso fazer isso com a API REST ou por meio de algum outro método? Examinando a lista de chamadas de API , não encontro nada aplicável - há esperança?

Como alternativa , estou pensando em criar uma classe especial Puppet, que não fará nada além de reafirmar os parâmetros globais como suas próprias variáveis. Ao torná-lo um recurso exportado , posso coletar os dados de todos os hosts... Parece desagradável, no entanto - existe uma maneira melhor?

Digamos que coletamos estatísticas de compensação de NTP de 500 servidores. Cada um é conhecido pelo Graphite como stats.hostname.ntpstats.offset .

Eu gostaria que meu gráfico mostrasse duas curvas:

• Deslocamento de um host específico (fácil)
• A média de todos os hosts (com ou sem o host acima)

Isso pode ser feito? Se não com Grafite, que tal Grafana?

O ruby ​​incluído no RedHat/CentOS-6 é da versão 1.8.7, que é muito antigo para muitos aplicativos. Embora simplesmente atualizá-lo com um RPM personalizado seja possível, meus colegas evitam a ideia e desejam usar os pacotes rh-ruby22 disponíveis no SCL-repo .

Isso instala o ruby-2.2, o que é ótimo, mas abaixo do /opt/rh/rh-ruby22. Agora preciso instalar várias gems e gostaria, obviamente, de usar o Puppet:

package {'example':
  ensure   => '0.25',
  provider => 'gem'
}

Infelizmente, o provedor de gemas invoca /usr/bin/gemem vez de /opt/rh/rh-ruby22/root/usr/bin/gemprecisar ser invocado. Existe alguma outra maneira? Obrigado!

Usamos Foreman e Puppet para gerenciar nossos sistemas Unix aqui, mas a infraestrutura Kerberos é implementada no Active Directory (por causa do Exchange).

Registrar os hosts recém-inicializados com o AD é um processo manual e gostaríamos muito de automatizá-lo.

Ao que parece, Foreman tem (ou tinha?) Suporte para ingressar no AD-realm por um tempo, mas não consigo encontrar nenhum exemplo ou tutorial real.