dyr: (Default)
As already many of you knows, Google had supported two-factor authentication since last year. This authentication based on RFC 3246 and implement counter/time-based (COTP/TOTP, accordingly) one-time passwords. So it's time to use it to login on the our FreeBSD servers, where second part of two-factor will be based on your Android device with installed Google Authenticator .

The reciept is a pretty cool and simple.
  1. Install on the server "pam_google_authenticator" and, optionally, ibqrencode (it will show us QR-Code directly in console by...pseudo-text, looks really impressive.).
  2. After install, run "google-authenticator" under desired user (i.e. for "dyrez" - "sudo -u dyrez google-authenticator"). After a few simple questions, open Google Authenticator on your phone and choose "Add account" -> "Scan barcode". The barcode, as you already should have seen, will be on the screen (if you had installed libqrencode) or by inserting URL from screen to your browser (looks like "https://www.google.com/chart?chs=200x200&chld=M|0&cht=qr&chl=otpauth://")
  3. Edit /etc/pam.d/sshd -  add "auth sufficient /usr/local/lib/pam_google_authenticator.so" before "auth required pam_unix.so no_warn try_first_pass".
  4. ???
  5. PROFIT!
That's enough! Now you could login with using one-time codes generated on your phone, or by using your old-school UNIX password.


P.S. It's also an attempt to enhance my english skills, so any comments are welcome.
dyr: (Default)
Накипело.

Linux:
1. Неумение iptables работать с таблицами таким же образом, как в FreeBSD ipfw или pf. Например, невозможно написать аналогичную такой вот в PF:
nat on $ext_if from <allow-nat> to any -> $dst_nat static-port sticky-address round-robin
или вот такой в ipfw:
pipe tablearg ip from any to 'table(4)' xmit vlan3050 // Incoming traffic shaping

pipe tablearg ip from 'table(5)' to any xmit em0 // Outgoing traffic shaping
Причём второй пример аж по нескольким причинам:
- iptables не умеет создавать подписи к правилам
- iptables не умеет работать с таблицами, беря из них аргументы в качестве, как здесь, номера правила pipe для данных ip
- iptables не умеет шейпировать. Да, я знаю про tc...как прекрасно знаю и про то, что он не умеет шейпировать "маской", т.е. per-ip

У ipset аж три ветки (в Ubuntu до сих пор 2.5, в "продакшене" существуют 4 и 6 ветки, причём все отличия выглядят просто косметическими)

2. Отсутствие встроенных сетевых счётчиков пакетов в секунду (pps). Наличие лишь "абсолютных" счётчиков полнейший идиотизм
3. Невозможно обнулить сетевую статистику TCP/IP по "netstat -s". Ну это же кромешный пиздец!


FreeBSD:
1. Настройка bridge с vlan'ами настолько увлекательно непредсказуема сочетанием параметров в rc.conf (то vlan не сохраняется, то bridge не создаётся), что проще и легче оказалось создавать интерфейсы и бридж с помощью "ручного" rc.local.
2. Бага с обрезанием имён интерфейсов в команде "netstat -rn" ведёт свою историю уже лет десять, не меньше. Всё это время интерфейсы в выводе этой команды представлены в таком виде:
Routing tables



Internet:

Destination Gateway Flags Refs Use Netif Expire

default 217.119.16.33 UGS 1 167787316047 em0

10.1.0.0/16 10.78.77.9 UG1 0 0 vlan30

10.2.0.0/16 10.78.77.9 UG1 0 0 vlan30

10.12.0.0/16 10.78.77.9 UG1 0 0 vlan30

10.21.0.0/16 10.78.77.9 UG1 0 0 vlan30

10.48.0.0/16 10.78.77.9 UG1 0 0 vlan30

10.49.0.0/16 10.78.77.9 UG1 0 0 vlan30
,
где под именем "vlan30" на самом деле скрывается "vlan3050". Мелочь? Мелочь. Но она уже задолбала! Что стоит изменить одну цифру в соответствующем printf?!

3. PF. Идёт с великолепным ALTQ....который несмотря на многочисленные просьбы, так до сих пор и не умеет шейпировать по маске. Работа интерфейсов CARP, взятых как и PF, из OpenBSD, подчиняется вообще каким-то своим правилам - половина man'a просто не работает, частоту рассылки pfstated настроить тоже нельзя...Короче, всё криво. И ещё эта PF'ная принципиальная одноядерность!


В-общем, что-то меня всё стало раздражать.
dyr: (Default)
Проапгрейдил домашний сервер с FreeBSD 8.0-RELEASE до FreeBSD 9.0-BETA2, обновил системный раздел ZFS с 13 до 28 версии. Потом посмотрел какую скорость даёт имеющийся gmirror из двух gstripe, подумал, и перевёл их на ZFS, сделав stripe из двух mirrror:

root@server:/usr/home/dyr (10972) zpool status -v
  pool: storage
 state: ONLINE
 scan: resilvered 1,34T in 6h29m with 0 errors on Tue Sep 27 04:41:19 2011
config:

        NAME        STATE     READ WRITE CKSUM
        storage     ONLINE       0     0     0
          mirror-0  ONLINE       0     0     0
            ada4p4  ONLINE       0     0     0
            ada1p4  ONLINE       0     0     0
          mirror-1  ONLINE       0     0     0
            ada3p4  ONLINE       0     0     0
            ada0p4  ONLINE       0     0     0

errors: No known data errors

  pool: zroot
 state: ONLINE
 scan: scrub repaired 128K in 0h47m with 0 errors on Sun Sep 25 03:07:55 2011
config:

        NAME              STATE     READ WRITE CKSUM
        zroot             ONLINE       0     0     0
          mirror-0        ONLINE       0     0     0
            gpt/system-D  ONLINE       0     0     0
            gpt/system-C  ONLINE       0     0     0
            gpt/system-B  ONLINE       0     0     0
            gpt/system-A  ONLINE       0     0     0

errors: No known data errors


Скорость, как это не удивительно, выше, чем у gmirror+gstripe. Плюс все приятности ZFS вроде ненужности fsck, проверки checksum файлов от памяти до диска в процессе записи, поддержки компрессии и т.п.
В 8.0 и с 2Гб памяти ZFS был очень медленным. С тех пор я увеличил память вдвое, и вуаля - в девятке ZFS уже весьма юзабелен.
dyr: (Default)
I have done some MySQL benchmarking I've tested versions 5.0 and 5.1 in the Linux (Gentoo) and in the Unix (FreeBSD). The results are shocking (for me, don't know you ;)). Full test specification (hardware, software and so on) will be later, but now just looks at just one chart:

dyr: (Default)
Пришла мысль упорядочить немного список утилиток из портов, которые облегчают жизнь админа FreeBSD.
Ловите, дополняйте:

arpwatch для мониторинга изменений mac/ip-адресов
port-maintenance-tools - набор утилит для работы с портами (portupgrade, portinstall и др.)
portaudit - позволяет автоматически проверить перед установкой какого-либо порта, не числится ли он в базе уязвимостей.
screen - для работы с виртуальными консолями
mbmon, healthd для мониторинга температуры, вольтажа и оборотов
arping - "пингует" компьютеры arp-запросами, позволяя определить, находится ли комп в локальной сети даже если у последнего установлен файервол.
fastest_cvsup - нахождение самого быстрого cvsup сервера для обновления портов и/или сырцов системы.
cvsup-without-gui - собственно, сам клиент для обновления.
nmap - сетевой сканер портов.
sudo - для настройки рутовых привилегий, выдаваемых другим пользователям без необходимости сообщать рутовый пароль.
vim (vim-lite) - редактор. Совмещает удобства vi и привычки с "обычных" редакторов
yawho - показывает, кто сидит, откуда и что запущено и т.п. Напоминает "w", но поудобнее.
whowatch - очень удобная утилитка для просмотра в реальном времени процессов других залогиненных пользователей и элементарных операций (посылка сигналов kill, разлогинивание и т.д.)
mtr - утилита, обьединяющая наподобии виндового "pathping" команды traceroute и ping. Весьма удобна для проверки сети.
lynx-ssl - браузер с поддержкой ssl, работающий в текстовом режиме. Удобен. Полезен при проверке корректности html кода.
elinks - продвинутая версия lynx. Встроенный менеджер закачек, готовность к работе на русском языке без дополнительных телодвижений
ipcalc - Сетевой калькулятор. Противопоказан людям, готовящимся к сдачи CCNA и рассчитывающим все сети вручную ;-)
apg - Удобный генератор случайных паролей.
pwgen2 - Ещё один удобный генератор.
dyr: (Default)
В связи с полным отсутствием русскоязычных документов по установке системы мониторинга Zabbix, я опишу свой опыт установки и настройки.

Установка zabbix
Версии программного обеспечения: FreeBSD 5.4-Stable, MySQL 5.0.21, Apache 1.3.33, PHP4.

Read more... )

Profile

dyr: (Default)
dyr

May 2016

S M T W T F S
1234567
891011121314
15161718192021
2223242526 2728
293031    

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 21st, 2017 02:30 pm
Powered by Dreamwidth Studios