» » Системное администрирование » Страница 184

 

LinkMeUp. Выпуск 11. Cisco TAC, CEF, FIB

Автор: admin от 25-01-2014, 08:10, посмотрело: 1239

Первый год жизни подкаста мы завершаем на крайне позитивной ноте — в гостях у нас Дмитрий Jdima и инженер Cisco TAC — Анатолий Цыганенко.

Всё, что вы хотели бы знать про работу центра технической поддержки, как в циско обрабатывают кейсы, и какими средствами анализа обладают инженеры — в первой части подкаста.
Далее будет качественный рассказ про механизмы Proccess Switching, Fast Switching и Cisco Express Forwarding. Мы погрузимся в RIB, FIB, реализацию всего этого в железе, посмотрим, как пакет обрабатывается на линейных, процессинговых платах и фабриках коммутации.
Довольно хардкорно получилось и по длительности и по глубине.

Новости выпуска



  • Самый что ни на есть настоящий Dual Stack IPv4/IPv6 от Вымпелкома: тест в Воронеже (link)

  • Автоматизированная система радиоконтроля АСРК-РФ будет проверять, кто незаконно засоряет радиоэфир (link)

  • Впервые для DDOS-атаки были использованы сервера для синхронизации времени (link)

  • Германское издание Spiegel опубликовало 50-страничный каталог жучков, которые могут заказывать и внедрять сотрудники АНБ (link)



  • Скачать файл подкаста.



    Под катом вы найдёте список аббревиатур, терминов и иллюстрации к подкасту.

    Категория: Админитстрирование » Системное администрирование

     

    Видеозаписи докладов потока «Облака» конференции FOSS Sea

    Автор: admin от 22-01-2014, 18:15, посмотрело: 3111

    Видеозаписи докладов потока «Облака» конференции FOSS Sea

    Команда проекта GeeksLab 30 ноября 2013 года в Одессе провела VI специализированную конференцию FOSS Sea: back-end на базе свободных и открытых технологий. Один из потоков мероприятия был посвящен облачным технологиям. В данном потоке с докладами выступили представители таких компаний как: HP, Microsoft, Яндекс, Mirantis, Infobox Cloud, Lohika и другие. Презентации и видеозаписи докладов под катом.

    Категория: Админитстрирование » Системное администрирование

     

    Создание надёжного iSCSI-хранилища на Linux, часть 2

    Автор: admin от 21-01-2014, 09:45, посмотрело: 1816

    Продолжаем


    Продолжаем создание кластера, начатое первой части.
    На этот раз я расскажу про настройку кластера.

    В прошлый раз мы закончили на том, что началась синхронизация DRBD.
    Если мы в качестве Primary сервера для обоих ресурсов выбрали один и тот же сервер, то после завершения синхронизации должны в /proc/drbd увидеть примерно такую картину:
    # cat /proc/drbd
    version: 8.4.3 (api:1/proto:86-101)
    GIT-hash: 89a294209144b68adb3ee85a73221f964d3ee515 build by root@debian-service, 2013-04-30 07:43:49
     0: cs:Connected ro:Secondary/Primary ds:UpToDate/UpToDate B r-----
        ns:0 nr:190397036 dw:190397036 dr:1400144904 al:0 bm:4942 lo:0 pe:0 ua:0 ap:0 ep:1 wo:d oos:0
     1: cs:Connected ro:Secondary/Primary ds:UpToDate/UpToDate B r-----
        ns:0 nr:720487828 dw:720485956 dr:34275816 al:0 bm:3749 lo:468 pe:0 ua:0 ap:0 ep:1 wo:d oos:0
    

    Самое интересное поле тут ds:UpToDate/UpToDate, означающее что и локальная и удаленная копия актуальны.

    После этого переведем ресурсы в secondary режим — дальше ими будет управлять кластер:
    # drbdadm secondary VM_STORAGE_1
    # drbdadm secondary VM_STORAGE_2
    

    Pacemaker


    Итак, менеджер кластера.

    Если коротко, то это мозг всей системы, который управляет абстракциями, называемыми ресурсами.
    Ресурсом кластера может быть, в принципе, что угодно: IP-адреса, файловые системы, DRBD-устройства, программы-службы и так далее. Довольно просто создать свой ресурс, что мне и пришлось сделать для управления iSCSI таргетами и LUN-ами, об этом далее.

    Установим:
    # apt-get install pacemaker
    

    Corosync

    Pacemaker использует инфраструктуру Corosync для взаимодействия между узлами кластера, поэтому для начала нужно будет настроить её.

    Corosync имеет достаточно широкий функционал и несколько режимов для поддержки связи между нодами (unicast, multicast, broadcast), имеет поддержку RRP (Redundant Ring Protocol), которая позволяет использовать несколько разных путей для общения между нодами кластера для минимизации риска получить Split-brain, то есть ситуации, когда связь между нодами полностью пропадает, и они обе считают что сосед умер. В результате обе ноды переходят в рабочий режим и начинается хаос :)

    Поэтому мы будем использовать как репликационный, так и внешний интерфейсы для обеспечения связности кластера.

    Категория: Админитстрирование » Системное администрирование

     

    Миграция виртуальных машин “на лету” без vMotion с помощью Veeam Backup & Replication

    Автор: admin от 20-01-2014, 08:35, посмотрело: 1873

    Недавно я столкнулся с такой задачей: нужно было выполнить миграцию “на лету” виртуальной машины (ВМ), при том, что функция vMotion в имеющейся версии VMware vSphere отсутствовала. Мне успешно удалось решить эту проблему, и под катом я хочу поделиться моим решением, так как, думаю, это может пригодиться еще кому-то.

    Миграция виртуальных машин “на лету” без vMotion с помощью Veeam Backup & Replication

    Категория: Админитстрирование » Системное администрирование

     

    OS X: настраиваем дисковые квоты локальным пользователям

    Автор: admin от 19-01-2014, 05:15, посмотрело: 1857

    OS X: настраиваем дисковые квоты локальным пользователям

    Введение

    Файловая система (ФС) HFS+ на OS X поддерживает кватирование пользователей и групп по ID на уровне томов. Соответствующие файлы .quota.user и .quota.group располагаются в корневом каталоге. В каждом из них содержится заголовок, идущая следом хэш-таблица с определением лимитов, а так же потребляемые значения на ID пользователя или группы.

    Категория: Админитстрирование » Системное администрирование

     

    Зачем вам вводить пароль в sudo?

    Автор: admin от 19-01-2014, 02:45, посмотрело: 680

    Если



    • Речь идёт о личном рабочем окружении. 1

    • Вы недостаточно параноик, чтобы довести дело до конца.

      • Все программы работают от вашего пользователя. 2

      • /home монтируется без noexec (хотя это почти не помогает и очень не удобно в большинстве случаев, но если у вас так — у вас, как у неплохого параноика, есть перспектива далеко зайти этим путём ;)


    • Вы регулярно администрируете систему из-под своего пользователя (с помощью того же sudo). 3

    • У вас в /etc/sudoers написано = (ALL) ALL, либо вы не уверены в том, что там написано (а там написано это).

    Категория: Админитстрирование » Системное администрирование

     

    DHCP Failover на коленке

    Автор: admin от 19-01-2014, 01:48, посмотрело: 1301

    DHCP Failover на коленке

    Одним из наиболее существенных нововведений в Windows Server 2012 лично для меня является новая фича – DHCP Failover. Этот механизм предоставляет возможность балансировки нагрузки и создания избыточности для DHCP сервиса без применения каких-либо кластерных технологий. Но что если, по каким-либо причинам, у вас нет возможности использовать Windows Server 2012 в вашей среде, как и все возможные кластерные технологии? В этом случае к нам на помощь приходит PowerShell. Описанное ниже решение просто, эффективно и основано на следующих компонентах: PowerShell 2.0, встроенная в Windows утилита netsh и стандартный системный планировщик.

    Как это работает...

    Категория: Админитстрирование » Системное администрирование

     

    Создание надёжного iSCSI-хранилища на Linux, часть 1

    Автор: admin от 18-01-2014, 19:35, посмотрело: 1950

    Прелюдия


    Сегодня я расскажу вам как я создавал бюджетное отказоустойчивое iSCSI хранилище из двух серверов на базе Linux для обслуживания нужд кластера VMWare vSphere. Были похожие статьи (например), но мой подход несколько отличается, да и решения (тот же heartbeat и iscsitarget), используемые там, уже устарели.

    Статья предназначена для достаточно опытных администраторов, не боящихся фразы «патчить и компилировать ядро», хотя какие-то части можно было упростить и обойтись вовсе без компиляции, но я напишу как делал сам. Некоторые простые вещи я буду пропускать, чтобы не раздувать материал. Цель этой статьи скорее показать общие принципы, а не расписать всё по шагам.

    Вводные


    Требования у меня были простые: создать кластер для работы виртуальных машин, не имеющий единой точки отказа. А в качестве бонуса — хранилище должно было уметь шифровать данные, чтобы враги, утащив сервер, до них не добрались.

    В качестве гипервизора был выбран vSphere, как наиболее устоявшийся и законченый продукт, а в качестве протокола — iSCSI, как не требующий дополнительных финансовых вливаний в виде коммутаторов FC или FCoE. С опенсурсными SAS таргетами довольно туго, если не сказать хуже, так что этот вариант тоже был отвергнут.

    Осталось хранилище. Разные брендовые решения от ведущих вендоров были отброшены по причине большой стоимости как их самих по себе, так и лицензий на синхронную репликацию. Значит будем делать сами, заодно и поучимся.

    В качестве софта было выбрано:

    • Debian Wheezy + LTS ядро 3.10

    • iSCSI-таргет SCST

    • DRBD для репликации

    • Pacemaker для управления ресурсами кластера и мониторинга

    • Подсистема ядра DM-Crypt для шифрования (инструкции AES-NI в процессоре нам очень помогут)


    В итоге, в недолгих муках была рождена такая несложная схема:
    Создание надёжного iSCSI-хранилища на Linux, часть 1

    Категория: Админитстрирование » Системное администрирование

     

    Netavis Observer — ПО IP-видеонаблюдения на базе Linux. Установка, настройка и небольшой взлом

    Автор: admin от 18-01-2014, 09:05, посмотрело: 2148

    Netavis Observer — программный продукт для организации видеонаблюдения с помощью IP-камер на базе Linux-сервера.


    Netavis Observer написан на Java, так же используются такие продукты как Apache Tomcat, Webmin, Munin, Mysql.

    Существует два варианта Netavis Observer — Bundled(поставляется в виде установочного iso-образа на базе Centos5 или Centos6) и Unbundled — набора rpm-пакетов для самостоятельной установки на сервер под управлением Centos или RedHat.

    Категория: Админитстрирование » Системное администрирование

     

    Атака с помощью вашего сервера времени: NTP amplification attack (CVE-2013-5211)

    Автор: admin от 17-01-2014, 12:20, посмотрело: 2026

    13 января Компьютерная команда экстренной готовности США (US-CERT) выпустила предупреждение о новом способе DDoS-атак. Зараженные компьютеры отправляют запрос monlist с поддельным IP-адресом отправителя к NTP-серверу. Запрос monlist возвращает список из последних 600 клиентов ntpd. Таким образом, небольшим запросом от зараженного компьютера к жертве отправляется большой поток UDP. В этом и заключается сущность амплификации.

    Атаке подвержены версии ntpd до 4.2.7p26 (стабильная сейчас 4.2.6p5).

    Проверить свой сервер на уязвимость можно выполнив команду
    ntpdc -c monlist адрес_сервера
    Если команда выдает список клиентов (а не «timed out, nothing received»), значит система уязвима.

    Как бороться

    Категория: Системное администрирование, Информационная безопасность