Ответы пользователя по тегу Системное администрирование
  • Задача: Доступ к множеству устройств по SSH по доменным именам через сервер с 1 реальным IP. Возможно ли?

    merlin-vrn
    @merlin-vrn
    Прямо «как написано», конечно, сделать нельзя. Есть коммерческие SSH, которые умеют коннектиться через-сервер — в них коннктиться к шлюзу, а с него автоматически к нужному хосту.

    С OpenSSH можно сделать так: NAT и пробрасывать на разные хосты разные порты, скажем, 22000 на одно устройство, 22001 — на другое.
    А чтобы порты не запоминать, имена сделать разные — прописать в .ssh/config
    Host: bla1
    Port: 22100

    Host: bla2
    Port: 22101

    и так далее, а сами bla1 и bla2 сделать алиасами одного и того же белого адреса. Вот вам и будет — ssh bla1 попадёт на порт 22100 и пробросится на одно устройство, ssh bla2 — на порт 22001 и попадёт на второе, но, конечно, только на том компе, где config настроили.

    Лучше не сделаете.
    Ответ написан
    2 комментария
  • Postfix+Amavisd-new: «User unknown» или как не пропускать письма с несуществующими получателями

    merlin-vrn
    @merlin-vrn
    Простите, вы читали www.postfix.org/BACKSCATTER_README.html? Что именно было сделано согласно этой документации и что не получилось?
    Ответ написан
    Комментировать
  • CISCO UCS Embedded RAID и RedHat?

    merlin-vrn
    @merlin-vrn
    Вообще в 100% случаев моей практики драйверы RAID-контроллера отдельно линуксу были не нужны, т.к. они в него встроены ещё лет десять назад.

    Документация LSI 1.5-летней давности — это вполне нормально и актуально. Даже если у вас более новая железка, вполне вероятно, что документация ей всё равно хотя бы частично соответствует.
    Ответ написан
    Комментировать
  • Перенаправление email

    merlin-vrn
    @merlin-vrn
    Во-первых, трудно читать данные зоны DNS в таком виде. Всё-таки лучше ориджины в таких количествах не рисовать, и писать всё в формате зон BIND, являющимся индустриальным стандартом и описанном в бородатых RFC1034 и RFC1035.

    Правильно ли я понял ваши зоны:
    $ORIGIN domain.com
    domain.com. A <ip-адрес>
    domain.com. MX 0 domain.com.
    mail CNAME domain.com.
    imap CNAME domain.com.
    pop CNAME domain.com.
    smtp CNAME domain.com.


    а для нового домена вы сделали:
    $ORIGIN mydomain.org.
    mydomain.org. MX 0 mydomain.org.
    imap CNAME mydomain.org.
    mail CNAME mydomain.org.
    pop CNAME mydomain.org.
    smtp CNAME mydomain.org.


    Если да, то и не должно работать. Как минимум я не вижу A-записи, отвечающей mydomain.org, которая укажет, на какой всё-таки хост все эти cname и mx ссылаются, а значит, зона некорректна. Возможно, вы просто забыли её здесь указать.

    Во-вторых, в указанных RFC (и ещё в одном, про IPv6) прямо сказано, что в MX-записи указывается именно имя сервера, и соответствующая RR обязана быть либо A, либо AAAA-записи — никаких CNAME и тому подобного. Например, вот так можно (хотя и бессмысленно — если MX-записи нет, почтовые серверы обязаны делать фоллбек и пытаться отдать почту серверу по A-записи):
    domain.com MX 0 domain.com
    domain.com A 192.0.2.1


    А вот так — нельзя
    domain.com MX 0 192.0.2.1
    domain.com A 192.0.2.1


    domain.com MX 0 mail.domain.com
    domain.com A 192.0.2.1
    mail.domain.com CNAME domain.com


    Так что ваша предполагаемая причина вообще не сущестует, MX-запись содержит всегда имя и это не баг, а древняя фича. Это, если хотите, единственная «специальная версия SRV-записи», дожившая до наших дней (MX указывает положение почтового обменника, а для остальных сервисов специального типа записей нет — все они — ldap, kerberos, xmpp, sip — пользуются стандартными SRV).

    Третье. Я думаю, во второй зоне должно быть что-то вроде этого:
    mydomain.org. MX 0 domain.com.


    Мы указываем, что для отправки почты домену mydomain.org мы должны подключиться к хосту по имени domain.com; точка в конце имени означает, что имя абсолютное и ориджин к нему приписывать не нужно. Для работы почты остальное содержание зоны не имеет значения.

    Второй вариант — вы делаете абсолютно такую же зону, как в первом случае, с тем же самым IP-адресом. То же самое, но вам так больше зон менять в случае переезда.

    У нас вообще почтовик обслуживает несколько десятков доменов, для чего собственно просто ему дали отдельное имя (т.е. A-записи) mail.example.org. и mail2.example.org., а во всех нескольких десятках доменов указано another.org. MX 10 mail.example.org. и another.org. MX 20 mail2.example.org.
    Так при смене адреса любого из серверов mail или mail2 мы меняем только одну запись в одной зоне (было такое).

    Теперь мы должны в логах exim на сервере domain.com наблюдать, как к нам приходит почта для домена mydomain.or. Ну, а как он её будет обрабатывать — это вопрос конфигурации exim. Начиная с этого момента я помогать не могу, т.к. везде пользуюсь postfix ;)
    Ответ написан
    1 комментарий
  • mdadm — raid 1 — сделать spare рабочим

    merlin-vrn
    @merlin-vrn
    Если на единственной активной реплике есть ошибки чтения, репликация с неё будет постоянно перезапускаться и обрываться на первой ошибке, а второй диск будет постоянно считаться spare.

    Решал именно такую проблему. Мы вычислили адрес сектора, на котором ошибка, принудительно ремапили его с помощью hdparm и тогда репликация завершилась успешно. (Я тут даже вопрос задавал — как hdparm обрабатвает advanced format диски? Оказалось, правильно обрабатывает, зачищает все восемь секторов.)
    Ответ написан
    5 комментариев
  • LDAP сервер и аутентификация

    merlin-vrn
    @merlin-vrn
    Аутентификацию в системе?

    Общий план такой:
    1. Поднимаете директорию.
    2. В ней создаёте объекты класса posixGroup и posixAccount; к posixAccount приделывайте aux-классы а-ля simpeSecurityObject (содержит поле userPassword)
    3. Ставьте pam_ldap и настраивайте его на аутентификацию по директории. Там нужно будет прописать адрес сервера ldap, а также фильтры для выборки объектов из неё.

    по мере разворачивания придёт понимание того, что компьютерам тоже потребуются подобные записи в директории и соответственно пароли, как настраивать acl и тому подобное.

    Вообще если хотите разобраться как это устроено «с нуля» и до системы уровня MS AD, пара месяцев уйдёт. Директории — технология хорошая, но не очень-то простая для понимания.
    Ответ написан
    Комментировать
  • Графика через ssh?

    merlin-vrn
    @merlin-vrn
    ssh -Y target-machine xterm — и у вас на экране отображается xterm, выполняющийся на target-machine
    Ответ написан
    1 комментарий
  • Нужна ли статья о том как настролить Postfix для запуска нескольких его копий на одном сервере с индивидуальными настройками?

    merlin-vrn
    @merlin-vrn
    Вы имеете ввиду перевод статьи Деррика Веббера Multiple Postfix instances (ссылка найдена на postfix.org)?

    Вообще смысла цитировать официальное руководство Postifx нет. Так же хорошо всё равно не напишете.
    Ответ написан
  • Нужно ли при первоначальной настройке/установке сервера делать check consistency на рэйде?

    merlin-vrn
    @merlin-vrn
    Стоит делать не только при начальной установке сервера, но и время от времени (не реже раза в месяц).

    Кроме того, разумные RAID-контроллеры имеют настройку а-ля Patrol Read, которая помогает заранее обнаруживать сбои дисков (т.е. обнаруживать нечитаемость какого-то блока до того, как данные в этом секторе кому-то понадобятся), что повышает сохранность :)

    Прервать можно смело и без последствий, хотя при новом запуске проверка начнётся сначала. Это проверка, она (если всё хорошо) ничего не пишет на диски. Если в процессе проверки обнаружатся проблемы, вероятно, контроллер заменит диск на spare и начнёт ребилд, который хотя и можно прервать, но этого делать настоятельно не рекомендуется.

    А что за RAID у вас? Как оно само себя называет? Это fake, или чип встроен в плату, или же карточка отдельная стоит? Какого объёма диски?
    Ответ написан
    3 комментария
  • Узнать содержимое А-записи и сменить DNS-сервера у регистратора?

    merlin-vrn
    @merlin-vrn
    А NS-ки остались теми же, из хостер-панели записи не меняются.

    Что за бред? Если вам принадлежит домен, то вы можете указать там свои DNS-серверы, ни у кого не спрашивая разрешения. Настройте их и вперёд.

    И теперь за любым DNS-чихом приходится обращаться к ним.

    И часто у вас изменения в DNS?

    А вообще, если вы в вопросе настолько не разбираетесь, не лезьте.
    Ответ написан
    2 комментария
  • Почему вылетает "File system loop detected"?

    merlin-vrn
    @merlin-vrn
    делать бекап и e2fsck
    вообще странное сообщение, хардлинки на директории делать нельзя, а симлинки find умеет распознавать
    Ответ написан
    1 комментарий
  • На чем лучше хранить бекапы? И целесообразно ли это?

    merlin-vrn
    @merlin-vrn
    вообще либо внешние винты, либо raid1 из 1..3 ТБ дисков
    Ответ написан
    Комментировать
  • Удаленное администрирование ПК

    merlin-vrn
    @merlin-vrn
    tightvnc, если вам нужно конкретное название

    а вообще их куча — ultravnc, realvnc и т. д.

    для управления группами систем — italc, из проприетарных — ideal administration (всё одно — внутри tightvnc)
    Ответ написан
    Комментировать