a coder's questions

Trabalhando para corrigir o erro "certificado não é de uma autoridade confiável" ao fazer logon no RDP em uma instância do Server 2022. Ele está pensando que estou usando um certificado autoassinado, no entanto, tenho um certificado válido do InCommon.

Como mencionado, tenho o certificado de segurança codificado PEM correto de um provedor válido.

Adicionei este certificado em Console - Área de Trabalho Remota - Certificados:

Reiniciei por precaução, mas ainda estou recebendo o mesmo erro "o certificado não é de uma autoridade de certificação confiável".

Quais etapas estou esquecendo?

Estou pensando em atualizar discos rígidos em um PowerEdge R720 e preciso de um pouco de orientação.

Configuração atual:

OS: CentOS 6.5
Drives: 
2 x 300gb drives (RAID 1)
4 x 600gb drives (RAID 5)

Tenho 6 novas unidades SAS de 1,2 TB que precisam ser trocadas.

1. Posso adicionar uma unidade de 1,2 TB onde ficava uma unidade de 600 GB?

2. Como o nº 1 demoraria um pouco, seria possível trocar todas as unidades de uma vez, mantendo a configuração do RAID? Todos os dados já serão copiados em outro lugar, apenas me perguntando se trocá-los todos de uma vez matará a configuração RAID existente ou se isso é salvo no cartão Perc H710.

RHEL7 instalado recentemente em um PowerEdge R320 com as seguintes unidades:

2 x 300GB sas 15k
2 x 1TB sas 7.2k

Ao configurar o LVM durante a instalação, deixei propositalmente várias centenas de GB livres para o caso de precisar expandir mais tarde.

Agora estou vendo que preciso expandir um dos volumes criados durante a instalação.

O problema é que o pvs mostra apenas o que eu criei e não mostra nenhum espaço livre utilizável.

[user@box ~] pvdisplay
  --- Physical volume ---
  PV Name               /dev/sda2
  VG Name               rhel_os
  PV Size               165.79 GiB / not usable 0   
  Allocatable           yes (but full)
  PE Size               4.00 MiB
  Total PE              42443
  Free PE               0
  Allocated PE          42443
  PV UUID               sDdEfu-qagM-qq35-OGfF-HpPw-Bizd-LcXazt

  --- Physical volume ---
  PV Name               /dev/sdb1
  VG Name               rhel_data
  PV Size               139.71 GiB / not usable 4.00 MiB
  Allocatable           yes 
  PE Size               4.00 MiB
  Total PE              35766
  Free PE               1
  Allocated PE          35765
  PV UUID               Jgjcad-idBE-wxXc-tGGf-SY8m-qb8T-nBi9ar

partedmostra o espaço livre:

[user@box ~]# parted
GNU Parted 3.1
Using /dev/sda
Welcome to GNU Parted! Type 'help' to view a list of commands.
(parted) print free                                                       
Model: DELL PERC H710 (scsi)
Disk /dev/sda: 299GB
Sector size (logical/physical): 512B/512B
Partition Table: msdos
Disk Flags: 

Number  Start   End     Size    Type     File system  Flags
        18.4kB  1049kB  1030kB           Free Space
 1      1049kB  301MB   300MB   primary  xfs          boot
 2      301MB   178GB   178GB   primary               lvm
        178GB   299GB   121GB            Free Space

e /dev/sdb:

[user@box ~]# parted /dev/sdb
(parted) print free
Model: DELL PERC H710 (scsi)
Disk /dev/sdb: 1000GB
Sector size (logical/physical): 512B/512B
Partition Table: msdos
Disk Flags: 

Number  Start   End     Size    Type     File system  Flags
        32.3kB  1049kB  1016kB           Free Space
 1      1049kB  150GB   150GB   primary               lvm
        150GB   1000GB  850GB            Free Space

1) O que preciso fazer para usar os 850 GB gratuitos?

2) No futuro, como eu poderia colocar todo o Espaço Livre no volume físico (tornando assim mais fácil de usar com o LVM)?

Na correção do DROWN , preciso atualizar os pacotes openssl em vários servidores EL6. O SSLv2 foi desativado há muito tempo, mas é necessário atualizar esses binários.

Descobri que a atualização do yum apresentava o binário openssl atualizado em duas das máquinas, mas não na terceira. Os repositórios nas três máquinas são idênticos.

Existe uma razão pela qual o yum apresentaria uma atualização para uma caixa, mas não para a outra (supondo novamente que a configuração do repositório seja a mesma em ambas as máquinas)?

Migrando um sistema de CentOS6 para RHEL7 com SELinux executando Enforced. Um phpscript faz uma chamada /usr/bin/processdata.shpara gerar alguns dados nos bastidores. Isso funcionou bem com o sistema antigo, mas a execchamada php engasga com o SELinux definido como ativado.

Aqui está a permissão sh

-rwxrwx--x. root root unconfined_u:object_r:bin_t:s0   /usr/bin/process_data.sh

Este erro de auditoria é visto ao mesmo tempo em que a página php é chamada:

ausearch -l -i | grep httpd

type=SYSCALL msg=audit(02/27/2016 14:07:52.662:23480) : arch=x86_64 syscall=socket success=sem exit=-97(Família de endereços não suportada pelo protocolo) a0=inet6 a1=SOCK_DGRAM a2= ip a3=0x672e76656473626e items=0 ppid=15686 pid=3852 auid=unset uid=apache gid=apache euid=apache suid=apache fsuid=apache egid=apache sgid=apache fsgid=apache tty=(nenhum) ses=unset comm= httpd exe=/usr/sbin/httpd subj=system_u:system_r:httpd_t:s0 key=(null) type=AVC msg=audit(02/27/2016 14:07:52.662:23480) : avc: negado { module_request } para pid=3852 comm=httpd kmod="net-pf-10" scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:system_r:kernel_t:s0 tclass=system

Aqui estão meus bools httpd atuais:

httpd_can_network_relay        (off  ,  off)  Allow httpd to can network relay
httpd_can_connect_mythtv       (off  ,  off)  Allow httpd to can connect mythtv
httpd_can_network_connect_db   (off  ,  off)  Allow httpd to can network connect db
httpd_use_gpg                  (off  ,  off)  Allow httpd to use gpg
httpd_dbus_sssd                (off  ,  off)  Allow httpd to dbus sssd
httpd_enable_cgi               (on   ,   on)  Allow httpd to enable cgi
httpd_verify_dns               (off  ,  off)  Allow httpd to verify dns
httpd_dontaudit_search_dirs    (off  ,  off)  Allow httpd to dontaudit search dirs
httpd_anon_write               (off  ,  off)  Allow httpd to anon write
httpd_use_cifs                 (off  ,  off)  Allow httpd to use cifs
httpd_enable_homedirs          (off  ,  off)  Allow httpd to enable homedirs
httpd_unified                  (off  ,  off)  Allow httpd to unified
httpd_mod_auth_pam             (off  ,  off)  Allow httpd to mod auth pam
httpd_run_stickshift           (off  ,  off)  Allow httpd to run stickshift
httpd_use_fusefs               (off  ,  off)  Allow httpd to use fusefs
httpd_can_connect_ldap         (off  ,  off)  Allow httpd to can connect ldap
httpd_can_network_connect      (on   ,   on)  Allow httpd to can network connect
httpd_mod_auth_ntlm_winbind    (off  ,  off)  Allow httpd to mod auth ntlm winbind
httpd_tty_comm                 (off  ,  off)  Allow httpd to tty comm
httpd_sys_script_anon_write    (off  ,  off)  Allow httpd to sys script anon write
httpd_graceful_shutdown        (on   ,   on)  Allow httpd to graceful shutdown
httpd_can_connect_ftp          (off  ,  off)  Allow httpd to can connect ftp
httpd_run_ipa                  (off  ,  off)  Allow httpd to run ipa
httpd_read_user_content        (off  ,  off)  Allow httpd to read user content
httpd_use_nfs                  (off  ,  off)  Allow httpd to use nfs
httpd_can_connect_zabbix       (off  ,  off)  Allow httpd to can connect zabbix
httpd_tmp_exec                 (off  ,  off)  Allow httpd to tmp exec
httpd_run_preupgrade           (off  ,  off)  Allow httpd to run preupgrade
httpd_manage_ipa               (off  ,  off)  Allow httpd to manage ipa
httpd_can_sendmail             (on   ,   on)  Allow httpd to can sendmail
httpd_builtin_scripting        (on   ,   on)  Allow httpd to builtin scripting
httpd_dbus_avahi               (off  ,  off)  Allow httpd to dbus avahi
httpd_can_check_spam           (off  ,  off)  Allow httpd to can check spam
httpd_can_network_memcache     (off  ,  off)  Allow httpd to can network memcache
httpd_can_network_connect_cobbler (off  ,  off)  Allow httpd to can network connect cobbler
httpd_use_sasl                 (off  ,  off)  Allow httpd to use sasl
httpd_serve_cobbler_files      (off  ,  off)  Allow httpd to serve cobbler files
httpd_execmem                  (off  ,  off)  Allow httpd to execmem
httpd_ssi_exec                 (off  ,  off)  Allow httpd to ssi exec
httpd_use_openstack            (off  ,  off)  Allow httpd to use openstack
httpd_enable_ftp_server        (off  ,  off)  Allow httpd to enable ftp server
httpd_setrlimit                (off  ,  off)  Allow httpd to setrlimit

Há algo errado na minha configuração do selinux que não estou vendo?

Preciso definir uma senha de bootloader e estou apreensivo em alterar a configuração existente (por aviso sobre potencialmente tornar um sistema não inicializável).

A documentação do RH diz para adicionar as seguintes linhas :

cat <<EOF
set superusers="john"
password john johnspassword
EOF

O /etc/grub.d/01_usersarquivo atual já tem isso no topo:

#!/bin/sh -e
cat << EOF
if [ -f \${prefix}/user.cfg ]; then
  source \${prefix}/user.cfg
  if [ -n "\${GRUB2_PASSWORD}" ]; then
    set superusers="root"
    export superusers
    password_pbkdf2 root \${GRUB2_PASSWORD}
  fi
fi
EOF

Devo anexar a primeira parte abaixo do EOF existente, substituir completamente o conteúdo existente ou algo mais?

Usando este guia , estou tentando adicionar uma senha de bootloader a uma instalação do CentOS7.

Quando solicitado, digite a senha que foi selecionada e insira o hash de senha retornado no(s) arquivo(s) de configuração grub2 apropriado(s) em /etc/grub.d imediatamente após a conta de superusuário. (Use a saída de grub2-mkpasswd-pbkdf2 como o valor de password-hash):

Eu criei o "superusers-accountpassword-hash" usando grub2-mkpasswd-pbkdf2, mas não estou vendo onde adicionar esta linha:

password_pbkdf2 superusers-accountpassword-hash

Os únicos arquivos em /etc/grub.d/ são binários. O guia diz para não usar /etc/grub.cfg já que ele é sobrescrito porgrub2-mkconfig -o /boot/grub2/grub.cfg

Para onde password_pbkdf2vai a diretiva?

Estou lançando uma instalação de teste do EL7 com o Apache 2.4. Copiei meu existente /etc/httpd/conf.d/ssl.confpara o novo sistema, configurei o selinux, verifiquei que todos os caminhos certificados eram kosher e systemctl httpd startiniciei o serviço. O Apache está rodando sem erros.

O problema é que meu arquivo ssl.conf é ignorado. Estou vendo a página padrão do Apache usando

Tentei mudar /etc/httpd/conf.d/ssl.confpara /etc/httpd/conf.modules.d/(primeiro removendo o arquivo 00-ssl.conf existente), com o mesmo resultado.

Onde estou errando?

Editar 1 O log de erros mostra isso:

AH01630: client denied by server configuration: /www/virtualhosts/example.com

Onde minha configuração ssl tem isso:

DocumentRoot /www/virtualhosts/example.com

e

ll /www/virtualhosts/example.com
total 4
-rw-r--r--. 1 apache apache 21 Dec 18 14:32 index.php

index.php consiste em:

<p>Hello World

Estou perdido.

Preciso definir permissões do selinux em um diretório httpd não padrão: /www/virtualhosts/site01, ect.

Então eu emito:

[mybox]# semanage fcontext -a -t http_sys_content_t "/www(/.*)?"

E pegue:

ValueError: Type http_sys_content_t is invalid, must be a file or device type

O que precisa acontecer para configurar o selinux para funcionar com meu diretório httpd não padrão?

Estou tentando configurar o php-mssql no RHEL7. freetdsnão está disponível no repositório RHEL padrão, então habilitei epelda seguinte maneira:

rpm -Uvh http://mirror.oss.ou.edu/epel/7/x86_64/e/epel-release-7-5.noarch.rpm
yum install freetds

Isso rende:

Error: Package: freetds-0.91-2.el6.x86_64 (epel)
           Requires: libgnutls.so.26()(64bit)
Error: Package: freetds-0.91-2.el6.x86_64 (epel)
           Requires: libgnutls.so.26(GNUTLS_1_4)(64bit)

RHEL instalado gnutls-3.3.8-12.el7_1.1.x86_64por padrão.

Existe um caminho através da floresta?

Eu tenho o DRAC5 instalado em um servidor PowerEdge executando o CentOS. Posso fazer SSH no DRAC e emitir comandos racadm.

quando eu emitir

connect com2

Eu vejo brevemente um prompt:

Um segundo depois, a tela fica em branco e minha sequência de teclas de saída não funciona (nem mais nada - a tela não responde a todas as teclas).

Depois de fechar o terminal e fazer login novamente no racadm para uma segunda tentativa com connect com2, ele mostra:

connect: com2 port is currently in use

Depois de redefinir o racadm, posso tentar conectar o com2 novamente, mas obtenho a mesma coisa acima (tela em branco/sem resposta).

Aqui está minha configuração:

# racadm getconfig -g cfgSerial
cfgSerialBaudRate=57600
cfgSerialConsoleEnable=1
cfgSerialConsoleQuitKey=^q
cfgSerialConsoleIdleTimeout=300
cfgSerialConsoleNoAuth=0
cfgSerialConsoleCommand=
cfgSerialHistorySize=8192
cfgSerialCom2RedirEnable=1
cfgSerialTelnetEnable=0
cfgSerialSshEnable=1

Gostaria de poder visualizar o console para inserir remotamente uma senha em um sistema criptografado.

Acabei de instalar o OpenManage 8 em um sistema CentOS 6.5. Eu acesso a página de login com https://1.2.3.4/1311e ela carrega sem problemas.

Insiro o nome do host do sistema (meu.domínio.tld), nome de usuário e senha e, em seguida, clico em Enviar. OpenManage retorna

Login failed.  
Hostname / IP address is Blank. 
Please enter a valid Hostname/IP address.

Tentei usar o endereço IP do sistema e verifiquei se estou inserindo um nome de usuário e senha válidos.

Coincidentemente, posso clicar em Manage Web Server e fazer login usando as mesmas credenciais (não sou solicitado a inserir um nome de host nessa página de login).

Por que o OpenManage está reclamando sobre um nome de host ausente quando estou absolutamente enviando um nome de host válido no formulário de login? Reiniciei o openmanage e tentei reiniciar o servidor também. O mesmo problema ocorre em vários navegadores e clientes (hostname em branco).

editar : acabei de remover/instalar yum srvadmin-all, ainda recebendo o mesmo problema.

Tanto o firefox quanto o chrome estão mostrando que os arquivos javascript do meu servidor são servidos como texto/html do tipo MIME. Os arquivos javascript possuem extensão .js.

Primeiro, o mime_module está instalado e ativo:

apachectl -M | grep mime
 mime_magic_module (shared)
 mime_module (shared)
Syntax OK

Em segundo lugar, eu tenho isso no meu arquivo conf:

AddType text/css .css
AddType text/javascript .js

Eu tentei adicionar isso:

<Files "*.js">
    ForceType text/javascript
</Files>

e reiniciei o apache, mas os arquivos javascript ainda aparecem como "text/html" no Chrome e no Firefox. Nada aparece em error.log e access.log não está retornando nada útil:

1.2.3.4 - - [03/Mar/2015:10:42:00 -0500] "GET /some/dir/js/app-min.js HTTP/1.1" 200 14642

Aqui estão os cabeçalhos em um dos arquivos .js (como visto no Firefox)

Connection: close
Content-Type: text/html; charset=UTF-8
Server: Apache
Strict-Transport-Security: max-age=63072000; includeSubDomains
Transfer-Encoding: chunked
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
X-Permitted-Cross-Domain-Policies: master-only
X-WebKit-CSP: default-src 'self'
X-XSS-Protection: 1; mode=block

Este arquivo é exibido como tipo htmlno inspetor do Firefox.

Aqui está o cabeçalho do mesmo arquivo servido pela instância apache do meu laptop:

Connection: Keep-Alive
Date: Tue, 03 Mar 2015 15:43:52 GMT
Keep-Alive: timeout=5, max=95
Server: Apache/2.4.7 (Ubuntu)

Este arquivo é exibido como tipo jsno inspetor do Firefox. Observe que a instância local do Apache (2.4) não está respondendo com Content-Type.

Por que o servidor principal está desafiando o AddType? Eu adicionei isso ao httpd.conf e ao ssl.conf (embora meu site force 443). Eu reiniciei o apache (sem erros de sintaxe).

Descobri que meu servidor não está servindo páginas compactadas.

Usando esta resposta , adicionei o seguinte ao meu arquivo httpd conf:

# Declare a "gzip" filter, it should run after all internal filters like PHP or SSI
FilterDeclare  gzip CONTENT_SET

# "gzip" filter can change "Content-Length", can not be used with range requests
FilterProtocol gzip change=yes;byteranges=no

# Enable "gzip" filter if "Content-Type" contains "text/html", "text/css" etc.
FilterProvider gzip DEFLATE resp=Content-Type $text/html
FilterProvider gzip DEFLATE resp=Content-Type $text/css
FilterProvider gzip DEFLATE resp=Content-Type $text/javascript
FilterProvider gzip DEFLATE resp=Content-Type $application/javascript
FilterProvider gzip DEFLATE resp=Content-Type $application/x-javascript

# Add "gzip" filter to the chain of filters
FilterChain    gzip

A seguir, emiti

apachectl configtest

que gerou este erro:

Comando inválido 'FilterDeclare', talvez digitado incorretamente ou definido por um módulo não incluído na configuração do servidor

Aqui está a saída dehttpd -l

Compiled in modules:
  core.c
  prefork.c
  http_core.c
  mod_so.c

Quais módulos preciso instalar para que a compactação de página funcione? Estou executando o CentOS 6.6.