Ответы пользователя по тегу CentOS
  • Почему не работает Crontab в CentOS 7?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    А простите, с чего Вы решили, что crontab -e правит /etc/crontab? Команда сия правит рутовый персональный кронтаб, который лежит где-то в дебрях /var (где, искать ломы, но возможно /var/cron/tabs или что-то около этого)
    А раз не запустился, значит с его кронтабом что-то не то.
    Я не раз на такое натыкался, поэтому просто забил на crontab -e и просто правлю /etc/crontab при необходимости.
    Ответ написан
  • Ошибка Failed to start Internet Key Exchange (IKE) Protocol Daemon for IPsec, как ее утранить?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Лог от systemd совершенно бесполезен (как и сам systemd), нужен лог самого ike демона - что там у Вас стоит - strongswan?
    Ответ написан
  • Откуда взять данные для конфигурации сети в CentOS 7, и как подключить удаленный доступ к настроенному серверу CentOS 7 через ssh PuTTY?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Фигаж себе структура. Интересно накуа так? Или второй роутер - не роутер, а просто свитч? IP, маску и шлюз выдает какой-то из роутеров, нужно его настроить так, чтобы он выдавал по маку центоса нужные данные (надо полагать в настройках VB - "сетевой мост"?) DNS можно указать провайдерские или же 8.8.8.8
    Что касается ssh - она скорее всего не запущена. Открываете консоль, заходите рутом, запускаете сервис sshd. Если его нет (а такое может быть) - настраиваете сеть, устанавливаете сервис.

    Типовая админская работа.
    Ответ написан
  • Можно ли в CentOS добавлять репозитории вручную?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Конечно, можно.

    /etc/yum.repos.d - сюда кладутся файлы описания репы
    /etc/pki/rpm-gpg - сюда ключи

    на сайте epel например можно найти инструкцию по установке репы и даже готовый rpm-пакет
    Ответ написан
  • Как выбрать центр сертификации?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Если я чешу в затылке - не беда!
    Простой ответ - настроить и использовать собственный CA.

    Сложный ответ - мировые CA заточены под выпуск сертификатов совершенно определенных типов - с EKU ServerAuth (ну еще E-Mail Protection может быть). Если для Вашего mTLS этого достаточно - берите и выпускайте. Если нет - разворачивайте свой CA и устанавливайте в обеих точках сертификат корневого CA в доверенные - все равно ставите клиенту его сертификат.
    Что касается LE - он вообще генерит сертификаты только под ServerAuth и только на три месяца. Не для этого его пилили.
    Ответ написан
  • Поддерживает ли сервер OS Linux?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Йоу...

    Меня не обманывают мои глаза? Полляма за сервак без дисков и с предустановленной WINDOWS 10??? Что за бред? 64G памяти вовсе для сервера не озвездительное количество оной - средненько. Не мало, конечно, но и не много.
    Модель матери не указана. Сколько слотов памяти они уже заняли - непонятно (из всех)
    Процессор ДЕСКТОПНЫЙ. Что за БРЕД? Как эта чушка (с аудиопортами на морде) может называться сервером? Для чего она?
    Ответ написан
  • Как понять архитектуру серверов без документации к нему?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Начните с бэкапа серверов. Хорошо, если есть полный бэкап машины, особенно если она виртуалка. Если нет - обязательно бэкап /etc, возможно /opt/etc и /usr/local/etc (если они есть), в /usr/share и /usr/libexec могут быть полезные вещи, в /var (там не конфиги, а данные статуса, но про...ать их тоже может быть печально).
    Смотрите, какие сервисы подняты - в зависимости от версии CentOS это делается по-разному, каждый сервис - это собственный конфиг и куча всего, навешанного вокруг.
    Ответ написан
  • На что перевести VPS - centos 8 или?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Центос - наиболее стабильный из известных мне дистрибов. До сих пор поддерживается el6 (И он работает!). Если Ваша бубунта уже на systemd (а el8 - он-то точно на systemd) - то отличия будут только в месте расположения некоторых конфигов и организации некоторых других конфигов - но никто не помешает затащить конфиги от старых сервисов.
    Центос - из разряда "поставил и забыл". Если не трогать - работает годами.
    Ответ написан
  • Как ограничить доступ root?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Рута (юзера с uid = 0) ни в чем ограничить нельзя. От слова совсем.
    А вот запретить логин руту удаленно можно и даже нужно. В sshd_config:
    PermitRootLogin no

    Кроме того, можно запретить логин вообще всем, кроме допустим логина vasya:
    AllowUsers vasya
    и все. Совершенно неважно, знают они пароль, не знают они пароль - их будет посылать в любом случае.
    Ответ написан
  • Какие преимущества mikrotik перед шлюзом на centos?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Отсутствие винта. Ну то есть отсутствие шанса получить систему, повисшую в грабе из-за невосстановимого сбоя. Эта причина несущественна, если всегда на месте есть "руки", которыми можно хотя бы по телефону руководить, желательно с приложением к ним хоть немного думающей головы.
    Если ВМ на хосте, который настоящий сервер, а не "сервер-из-десктопа" - наличие аппаратного роутера позволит удаленно управлять хостом через KVM.
    Падает все. Однажды я был свидетелем, как новенький Dell за поллимона (в ценах 2013 года!) лег при просадке питания (и глупости местного админа, неправильно подключившего упсник). И того, как его подымали из Москвы по удаленке.
    Я считаю, что роутеру - роутерово. Я много лет жил в такой конфигурации - тырнет пришел в хост, роутером является ВМ на хосте. Это мне показалось неудобным, и когда появилась возможность (в виде RB450G) соскочить - я соскочил. Эта героическая машинка проработала два года без корпуса в помещении, где жило десять тысяч тараканов :D...
    Ответ написан
  • Как на CentOs 7 сделать "проброс" порта из интернета на другой сервер интернета (аля шлюз)?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Задача как задача, вполне себе. Видимо есть основания скрывать тот факт, что целевой сервер в РФ. Бывает. Есть такие -
    "...Где с умилением глядят
    На заграничные наклейки...
    А сало... русское едят! " (С) Михалков С.В. Две подруги.

    К баранам.

    Задача сводится к обычному нату, который меняет в пакете пришедшем на порт 3389 IP назначения с локального на некий удаленный - после чего ведро ессно этот пакет отправляет в мир на дефолтный шлюз.

    Во-первых - всем и каждому, кто впал в затуп и не знает, как проходит пакет по netfilter - рекомендую эту схему. Распечатать и повесить на рабочем месте.

    Сначала зададим допущения.
    IP сервера = 212.20.5.1 (много-много лет назад это был IP нашего сервера, он реально российский :) )
    IP VPS = 170.70.1.1 (взят с потолка)
    Политика по умолчанию для filter - ACCEPT (все, что не запрещено - разрешено. Очень опасная политика, вязта только для демонстрации, в жизни так делать нельзя. Мне просто неохота писать дополнительные правила по пропуску трафика)
    *filter
    :INPUT ACCEPT [0:0]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]


    NAT мы выполняем в цепочке prerouting таблицы nat (она идет до filter). Сюда пакет попадает сразу после mangle prerouting.
    *nat
    :PREROUTING ACCEPT [0:0]
    :POSTROUTING ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    -A PREROUTING -p tcp --dport 3389 -d 170.70.1.1 -j DNAT --to-destination 212.20.5.1

    Читается "если поступил пакет по протоколу tcp на порт 3389 на IP 170.70.1.1, то применить действие DNAT, заменив IP назначения на 212.20.5.1. Правило поместить в цепочку prerouting".

    Что теперь? А теперь, поскольку мы поменяли IP назначения и он теперь не локальный - ведро считает, что пакет нужно отправить (routing decision на схеме) - в цепочку forward. Сначала mangle forward, потом filter forward (это и есть основная таблица, которую обычно и зовут файрволлом, мы в ней пропускаем все).

    Потом mangle postrouting и nat postrouting. В nat postrouting нам нужно сделать небольшой камуфляж. В пакете IP назначения 212.20.5.1 - но IP источника - тот IP, с которого пакет пришел на VPS. Это нам не нужно и потому что задача - его скрыть и потому что при попадании пакета на 212.20.5.1 - он ответит ессно на этот IP. Поэтому выполняем следующее:
    -A POSTROUTING -o eth0 -j SNAT --to-source 170.70.1.1

    Читаем "если пакет уходит через интерфейс eth0, то применить действие SNAT и заменить IP источника на 170.70.1.1"
    Это стандартное правило NAT, оно присутствует всегда, если VPS является NAT хоть для чего-нибудь.

    Все. Пакет на 212.20.5.1 уходит от IP 170.70.1.1, тот отвечает по IP источника, VPS видит, что был NAT и отправляет пакет туда, откуда он пришел.
    Ответ написан
  • Как установить MySQL конкретной версии в Centos 7?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Может быть. Если пакет с данной версией был собран под el7. И если он не потащит зависимостями полсистемы. И если он вообще захочет поставиться, а не скажет - иди нафиг, у тебя стоит такой-то и такой-то.
    Ответ написан
  • Centos-root почтоянно забит, как его почитить?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Кто-то жрет место в /var/log скорее всего
    Ответ написан
  • Как в консоли Linux посмотреть детальную информацию о дисках, подключенных через RAID-контроллер?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Аппаратный RAID как правило не отдает "наверх" информацию о своих дисках. Можно поискать утиль на сайте производителя контроллера или им в саппорт написать, вполне возможно что и никак. Хотя под винду такие утили бывают.
    Ответ написан
  • Как настроить ssl сертификат для https?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Если я чешу в затылке - не беда!
    Добавить корневой от LE в хранилище корневых, естественно. Странно, конечно что его там нет. Либо, если корневой есть, а нет промежуточного (что бывает) - добавить промежуточный.
    Ответ написан
  • IPSEC. Racoon to strongswarn. Кто-нибудь мигрировал?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Ну я мигрировал. Ну как мигрировал - в одном месте был ракун и FreeBSD, в другом месте - был линух и шван. Переделывать нечего. Все пишется заново. Идеология меняется. Полностью.

    Настройки самого демона strongswan - это /etc/strongswan/strongswan.conf и куча субконфигов в strongswan.d. Например логи (отладочные!) я настраивал так:
    /etc/strongswan/strongswan.d/charon-logging.conf
    charon {
    
        # Section to define file loggers, see LOGGER CONFIGURATION in
        # strongswan.conf(5).
        filelog {
    
            # <filename> is the full path to the log file.
            /var/log/ipsec {
    
                # Loglevel for a specific subsystem.
                # <subsystem> = <default>
    
                # If this option is enabled log entries are appended to the existing
                # file.
                append = yes
    
                # Default loglevel.
                default = 2
                
                
                # job management do not need to logging usually
                job = 0
                
                # For debugging purpose
                asn = 1
                enc = 1
                ike = 4
                net = 4
                cfg = 3
    
                # Enabling this option disables block buffering and enables line
                # buffering.
                flush_line = yes
                # Prefix each log entry with the connection name and a unique
                # numerical identifier for each IKE_SA.
                ike_name = no
    
                # Prefix each log entry with a timestamp. The option accepts a
                # format string as passed to strftime(3).
                time_format =  %b %e %T
    
            }
    
        }
    }


    Это именно отладочный лог, для тестирования!

    Сертификаты узлов, ключи, CRL и прочее - лежат в /etc/strongswan/ipsec.d - там куча подкаталогов. Пароли и ключи сертификатов прописываются в /etc/strongswan/ipsec.secrets, сами соединения описываются в /etc/strongswan/ipsec.conf. Придется долго курить мануалы, которых на сайте швана - хоть #опой жуй, причем примеров там очень много.
    Ответ написан
  • Почему не работает curl с ssl на centOS + nss?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Ключ не соответствует сертификату.

    Команда, которую Вы нашли на SO - исключительно глупая, наверняка из контекста вырвали. Она не делает ничего. Вот просто ничего, создает копию файла и все. И портит его возможно.

    Как заставить? Ну, подать нормальный сертификат, где ключ соответствует сертификату ;)
    Ответ написан
  • CentOs8 ошибка All mirrors were tried при update/upgrade?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Странно, Колисниченко читали, а в гугле строчку проверить не смогли? All mirrors were tried означает, что все зеркала, с которого можно скачать данный пакет опробованы и скачать не удалось. Тырнет вообще работает? Если работает, значит данная репа недоступна. Не знаю, как там в el8 - после того как центос продался Поттерингу, он для меня перестал существовать, но в el6 первое дело - добавить репу EPEL и некоторые другие.

    Вот, например:
    > yum repolist
    Loaded plugins: fastestmirror, security, verify
    Loading mirror speeds from cached hostfile
     * base: mirror.docker.ru
     * centosplus: mirror.docker.ru
     * contrib: mirror.docker.ru
     * epel: mirror.linux-ia64.org
     * epel-source: mirrors.powernet.com.ru
     * extras: mirror.docker.ru
     * rpmforge: mirror.awanti.com
     * rpmfusion-free-updates: ftp.nluug.nl
     * rpmfusion-nonfree-updates: ftp.nluug.nl
     * updates: mirror.truenetwork.ru
     * webtatic: uk.repo.webtatic.com
    repo id                               repo name                                                           status
    CentALT                               CentALT Packages for Enterprise Linux 6 - x86_64                       319
    WANdisco-git                          WANdisco Git Repo                                                      417
    WANdisco-svn                          WANdisco SVN Repo                                                      349
    base                                  CentOS-6 - Base                                                      6,713
    centosplus                            CentOS-6 - Plus                                                        138
    contrib                               CentOS-6 - Contrib                                                       0
    elgis                                 EL GIS 6 - x86_64                                                      198
    elgis-plus                            EL GIS 6 Plus - x86_64                                                   0
    epel                                  Extra Packages for Enterprise Linux 6 - x86_64                      12,584
    epel-source                           Extra Packages for Enterprise Linux 6 - x86_64 - Source                  0
    extras                                CentOS-6 - Extras                                                       47
    lux                                   CentOS 6 - x86_64 - Lux                                                400
    nginx                                 nginx repo                                                             644
    rpmforge                              RHEL 6 - RPMforge.net - dag                                          4,718
    rpmfusion-free-updates                RPM Fusion for EL 6 - Free - Updates                                   221
    rpmfusion-nonfree-updates             RPM Fusion for EL 6 - Nonfree - Updates                                 60
    squid                                 Squid repo for CentOS Linux - x86_64                                   127
    updates                               CentOS-6 - Updates                                                     889
    webtatic                              Webtatic Repository EL6 - x86_64                                       418
    repolist: 28,242


    предлагает мне подписку

    Эээээ... beg your pardon, captain? Может у Вас платная шляпа?
    Ответ написан
  • Дать права новому пользователю как у рута Centos 8?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Не надо так делать.

    Почему?

    Потому что вот сидишь ты весь такой рут под такой типо админской учеткой и задаешь какой-нибудь вопрос. И тут тебе какой-нибудь тролль отвечает - зто все просто, все решается одной командой:
    cd / && rm -rf *

    И ты ее запускаешь...
    Ответ написан