Stefan Lasiewski's questions

Nossos servidores OpenLDAP executam a versão em EL6. O OpenLDAP é construído com base nas bibliotecas do Mozilla Network Security Services (NSS). Nossos clientes LDAP vêm de uma ampla variedade de sistemas Unix e Linux.

Não conseguimos que as conexões OpenLDAP funcionem para clientes ou replicação quando usamos nossas cifras TLS preferidas.

Por exemplo, se usarmos a lista de cifras disponíveis mais fortes da Red Hat , como esta:

# /etc/openldap/slapd.conf
TLSProtocolMin 3.2
TLSCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:!RC4:HIGH:!MD5:!EDH:!EXP:!SSLV2:!eNULL

As conexões do cliente falham porque não atendem ao nosso requisito de ACL para um fator de força de segurança (SSF) mínimo:

slapd[22887]: conn=1022 fd=20 ACCEPT from IP=192.168.100.101:35936 (IP=192.168.100.100:636)
slapd[22887]: conn=1022 fd=20 TLS established tls_ssf=128 ssf=128
...
slapd[22887]: <= check a_authz.sai_ssf: ACL 256 > OP 128

Como posso ver qual cifra está sendo usada para esta conexão para que eu possa eliminá-la da lista?

Se desabilitarmos a lista de cifras e usarmos os padrões fornecidos pelo OpenLDAP + NSS, funciona:

# /etc/openldap/slapd.conf
TLSProtocolMin 3.2
# TLSCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:!RC4:HIGH:!MD5:!EDH:!EXP:!SSLV2:!eNULL


slapd[6020]: conn=1003 fd=20 ACCEPT from IP=192.168.100.101:35936 (IP=192.168.100.100:636)
slapd[6020]: conn=1003 fd=20 TLS established tls_ssf=256 ssf=256

No entanto, a lista padrão é inaceitável porque inclui algumas cifras fracas que nossa equipe de segurança não deseja, como as cifras RC4-SHA e RC4-MD5.

Estamos cientes de que EL6 está se tornando EOL até o final do ano. Esse é um problema diferente.

Eu tenho um host CentOS 6 executando um servidor MySQL. Eu quero migrar este servidor dos pacotes do MySQL Enterprise Server para os pacotes do MySQL Community Server, com as seguintes especificações:

• Os RPMs do MySQL Enterprise são chamados mysql-commercial-something e estão na versão '5.7.22-1.1'. Eu os armazeno em um repositório personalizado.
• Os RPMs da comunidade são chamados mysql-community-something, e a versão mais recente disponível é '5.7.22-1' , que é uma única versão '.1' atrás da versão comercial. Eles são armazenados em um repositório público ( http://repo.mysql.com/ ).

Como o RPM da comunidade tem um número de versão um pouco atrás da versão comercial, não posso simplesmente trocar um pacote por outro. Yum reclama com o erro "Package foo-1 is obsoleted by foo-1.1":

[root@devdb ~]# yum list --quiet available 'mysql-*-server'
Available Packages
mysql-community-server.x86_64                   5.7.22-1.el6                    mysql57-community
[root@devdb ~]# 
[root@devdb ~]# yum install --quiet mysql-community-server
Package mysql-community-server-5.7.22-1.el6.x86_64 is obsoleted by mysql-commercial-server-5.7.22-1.1.el6.x86_64 which is already installed
[root@devdb ~]# 

Eu tentei algumas coisas, como especificar o número de versão específico apresentado em Como instalar uma versão mais antiga do php (5.2.17) no Linux? , mas isso não funciona neste caso:

[root@devdb ~]# yum install --quiet mysql-community-server-5.7.22-1.el6.x86_64 
Package mysql-community-server-5.7.22-1.el6.x86_64 is obsoleted by mysql-commercial-server-5.7.22-1.1.el6.x86_64 which is already installed
[root@devdb ~]#

Como posso forçar o Yum a usar um pacote com um número de versão mais antigo?

Eu tenho um banco de dados PostgreSQL 9.4 rodando no CentOS 7.3. O banco de dados é bastante vanilla e instalado via https://yum.postgresql.org/ .

Estou tentando fazer backup deste banco de dados e testar uma restauração em outro host. Se eu tentar restaurar usando --set ON_ERROR_STOP=on, a restauração falhará. Por que é isso?

Meu procedimento de backup é baseado nas recomendações em https://www.postgresql.org/docs/9.4/static/backup-dump.html . Eu uso o seguinte comando, após uma nova instalação do Postgres, que inclui o initdb.

pg_dumpall --clean | gzip | split --suffix-length=4 --numeric-suffixes --additional-suffix=.split.gz --bytes 1G - postgres.pg_dumpall.

Isso produz uma série de arquivos como este:

[postgres@db1 backups]$ ls
postgres.pg_dumpall.0000.split.gz
postgres.pg_dumpall.0001.split.gz
...
postgres.pg_dumpall.0040.split.gz
[postgres@db1 backups]$

Para restaurar, pensei que poderia usar cat, gunzipe psql --set ON_ERROR_STOP=on. Porém isso não funciona:

[postgres@db2 ~]$ cat postgres.pg_dumpall.*.split.gz | gunzip | psql --set ON_ERROR_STOP=on postgres
SET
SET
SET
ERROR:  database "foo" does not exist
[postgres@db2 ~]$

O comando será concluído se eu remover --set ON_ERROR_STOP=on, mas não tenho certeza se o arquivo de backup é válido ou não.

Tenho vários sistemas CentOS 7 novos que instalei usando o Kickstart.

Quando reinicio a rede, percebo erros estranhos que dizem " Could not load file '/etc/sysconfig/network-scripts/ifcfg-lo'". Este erro realmente não faz sentido, porque o arquivo ifcfg-lo existe e parece normal para mim. O sistema parece estar funcionando normalmente, então por que o serviço de rede está reclamando?

[root@host3 ~]# cat /etc/sysconfig/network-scripts/ifcfg-lo 
DEVICE=lo
IPADDR=127.0.0.1
NETMASK=255.0.0.0
NETWORK=127.0.0.0
# If you're having problems with gated making 127.0.0.0/8 a martian,
# you can change this to something else (255.255.255.255, for example)
BROADCAST=127.255.255.255
ONBOOT=yes
NAME=loopback
[root@host3 ~]#


[root@host3 ~]# systemctl restart network
[root@host3 ~]# journalctl -xe -u network.service
...
-- Subject: Unit network.service has begun start-up
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
-- 
-- Unit network.service has begun starting up.
Sep 30 15:02:56 host3.example.org network[36432]: Bringing up loopback interface:  Could not load file '/etc/sysconfig/network-scripts/ifcfg-lo'
Sep 30 15:02:56 host3.example.org network[36432]: Could not load file '/etc/sysconfig/network-scripts/ifcfg-lo'
Sep 30 15:02:56 host3.example.org network[36432]: Could not load file '/etc/sysconfig/network-scripts/ifcfg-lo'
Sep 30 15:02:56 host3.example.org network[36432]: Could not load file '/etc/sysconfig/network-scripts/ifcfg-lo'
Sep 30 15:02:56 host3.example.org network[36432]: [  OK  ]
Sep 30 15:02:56 host3.example.org network[36432]: Bringing up interface eth0:  Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/3)
Sep 30 15:02:56 host3.example.org network[36432]: [  OK  ]
Sep 30 15:02:56 host3.example.org systemd[1]: Started LSB: Bring up/down networking.
-- Subject: Unit network.service has finished start-up
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
-- 
-- Unit network.service has finished starting up.
-- 
-- The start-up result is done.
[root@host3 ~]#

Atualização respondendo à pergunta de @SmallLoanOf1M. O dispositivo real parece estar funcionando após a inicialização. O campo 'UNKNOWN' parece estar normal, até onde eu sei.

[root@host3 ~]# ip addr show dev lo
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
[root@host3 ~]#

Estou executando um host FreeBSD com ZFS.

Vamos fingir que estou armazenando uma série de imagens incrementais de instantâneos do ZFS em um host remoto usando zfs send:

zfs send -i zpool/data/foo@04hoursago zpool/data/foo@10hoursago > /nfs/backups/foo.zfs

Ou talvez eu queira enviar o stream por meio de um servidor FTP:

% ftp backup
ftp> put "| zfs send -i zpool/data/foo@04hoursago zpool/data/foo@10hoursago" /backups/foo.zfs

Gostaria de validar esta imagem remota. Gostaria de imprimir uma lista de instantâneos que estão nesta imagem ou, opcionalmente, extrair uma soma de verificação ou outros metadados para ajudar a verificar se a imagem é válida e contém os instantâneos como eu esperava.

Como posso consultar o arquivo de imagem e ver o que está dentro?

Eu tentei zfs receivecom os sinalizadores -nv( no-ope ) listar os instantâneos dentro da imagem, mas isso pode não funcionar em um sistema ativo:verbose

# zfs receive -nv zpool < /nfs/backups/foo.zfs
cannot receive new filesystem stream: destination 'zpool' exists
must specify -F to overwrite it
# zfs receive -nv -F zpool < /nfs/backups/foo.zfs
cannot receive new filesystem stream: destination has snapshots (eg. zpool@09hoursago)
must destroy them to overwrite it

Gostaria de ver o valor do Time-To-Live (TTL) para um registro CNAME.

Eu tenho acesso ao dig (no Apple Mac OS X), o que me dá uma resposta assim:

% dig host.example.gov
<*SNIP*>
;; ANSWER SECTION:
host.example.gov.       43200   IN  CNAME   host1.example.gov.
host1.example.gov.      43200   IN  A       192.168.16.10

O valor '43200' é o TTL para este registro DNS?

Esta é uma pergunta sobre o cliente OpenSSH no Linux, MacOSX e FreeBSD.

Normalmente, eu entro em sistemas usando minha chave SSH.

Ocasionalmente, quero que meu cliente SSH ignore minha chave SSH e use uma senha. Se eu 'ssh hostname', meu cliente me solicita a senha para minha chave SSH, o que é um aborrecimento. Em vez disso, quero que o cliente simplesmente ignore minha chave SSH, para que o servidor me peça minha senha.

Eu tentei o seguinte, mas ainda sou solicitado a inserir a senha da minha chave SSH. Depois disso, é solicitada minha senha.

ssh -o PreferredAuthentications=password host.example.org

Eu quero fazer isso no lado do cliente, sem qualquer modificação do host remoto.