вторник, 11 декабря 2012 г.

Amazon EC2: обновление ядра linux в AMI

Одним из первых вопросов системных администраторов, которые начинают работать с сервисами Amazon, является: "а как обновить ядро в моем инстансе?".

До сравнительно недавнего времени ответ был один: "никак". Точнее, ядро можно было сменить, но только на одно из предоставляемых Amazon. Однако, ничто не стоит на месте. Появилось сразу два решения этой проблемы.

Первое: Амазон выпустил свой Amazon Linux (на базе RedHat Linux, но с массой изменений, в частности, kernel версии 3.х.х). В случае использования этого дистрибутива, проблемы нет вообще: обычное обновление инстанса через обычный yum с репозитариев Amazon.

Второе: Amazon наконец-то позволил обновлять ядра и сторонних дистрибутивов. Правда, не для запущенного инстанса, а для AMI, но все равно - это уже намного лучше, чем было. По крайней мере, если очень нужно, то можно сделать, хоть и с бОльшими трудозатратами.

Вот про этот второй способ я и расскажу.

пятница, 21 сентября 2012 г.

OSSEC 2.7 - продолжаем патчить segfault

Проблемы с ossec 2.7, к сожалению, не закончились. Сегодня поймал просто сказочную багу.

Согласно документации настроил проверку логов, используя wilcards:
<localfile>
<log_format>apache</log_format>
<location>/var/log/nginx/*.log</location>
</localfile>


Разумеется, файлов с логами было довольно много, порядка 20-30 штук.
При попытке запустить ossec ловим segfault на вычитке конфигурации! Честно говоря, я был в шоке.
Убедился, что segfault вызывает именно наличие wildcard, и полез дебажить и читать исходники.

четверг, 20 сентября 2012 г.

OSSEC - система IDS. Опыт начинающего :): ossec-logcollector segfault

Проблема детектирования вторжения и/или атаки рано или поздно встает перед любым админом.
Существует много разных IDS, базирующихся на разных принципах. От простых анализаторов логов до сложных аппаратно-программных комплексов.

Передо мной, собственно, поставили достаточно четкую задачу. Нужно пройти PCI DSS, в частности, решить проблему с широко известными в узких кругах пп.10.5 и 11.5 :)

Серверов много. Поэтому очень желательно решение с централизованным управлением и отчетами. Есть, конечно, коммерческие решения. Но они весьма и весьма недешевы. С другой стороны, меня заверили, что было немало прецедентов прохождения PCI с использованием OSSEC - Open Source Host-based Intrusion Detection System. Поэтому, закатав рукава, беремся за работу.

За основу была взята версия 2.7-beta. Выбор, может конечно, показаться несколько странным, но версия 2.6 имела ряд недостатков конкретно для существующего окружения и показала себя местами весьма нестабильной.

пятница, 13 июля 2012 г.

"Хозяйке на заметку" - Работаем вдвоем на одной консоли (шелл).Подводные камни при работе с ssh

Иногда в практике админа возникает необходимость проконтролировать, а что и как, собственно, делает пользователь и/или младший админ на консоли. Например, в процессе показа и обучения пользования ОС или какими-то ее особенностями. В частности, не так давно мне нужно было обучить junior админа некоторым небольшим фокусам в linux. Ну хорошо, если они (админ и обучаемый) сидят в одной комнате или хотя бы живут в одном городе. А если на разных континентах?

Очень удобно в таких случаях работать одновременно на одной консоли. Казалось бы - достаточно расшарить экран хотя бы по тому же скайпу. Но как быть, если учителю нужно набрать пару команд и показать результат и действия? Пользоваться платными сервисами для создания вебконференций? "Шурик, это же не наш метод!" (с) :) Все гораздо проще.

вторник, 3 апреля 2012 г.

Баг в Adobe flash под linux (цветопередача)

На днях сделал yum update, и был неприятно удивлен. На youtube.com (и только на нем!) возникли проблемы с цветопередачей. Видео начало очень напоминать кадры из фильма "Аватар" - те же синие лица :(

Гугление показало, что проблема не только у меня, множество жалоб после обновления. Проблема наблюдается как под Firefox, так и под Chrome.

Собственно, можно решить проблему, переключившись на youtube на HTML5 ( http://youtube.com/html5 ), но как-то этот новый режим работает не очень устойчиво ( у меня видео зачастую просто не воспроизводилось).

Рецепт (проверенный), как починить:

# mkdir /etc/adobe
# cat > /etc/adobe/mms.cfg
EnableLinuxHWVideoDecode=1
OverrideGPUValidation=true


Т.е. создаем файлик /etc/adobe/mms.cfg с указанным выше содержимым. Перезагружать бровзер мне не потребовалось.

среда, 14 марта 2012 г.

RHEL 5 SAN boot: подготовка HP ProLiant BL465c G7 к загрузке с SAN

В Enterprise системах надежность и минимизация времени простоя ставятся во главу угла. Кластерные системы это. конечно. замечательно, но в некоторых случаях использование кластеров невозможно. Это могут быть как софтверные ограничения, так и политика компании. Например, наши ДБА отказались от использования кластеров Oracle по причине некоторых ограничений в используемых приложениях (не совсем корректная работа с ДБ в режиме кластера).

Но что делать, если отдельный бокс (blade) вдруг поломается? Техника HP, конечно, весьма надежная, но, в моей практике был случай, когда блейд через почти два года аптайма повис и управлять им было невозможно до тех пор, пока его физически не вытащили из гнезда и не поставили на место. Все бы ничего, но до датацентра из самой ближней точки полтора часа на машине. Даунтайм совершенно неприемлемый.

Конечно, можно (и нужно) ставить "запасной" (standby) сервер. Вот только для его активации нужно время - перенастроить database, перенстроить приложения (а их очень немало).

И дело не только в аварии. Штатная операция по апгрейду (смене блейдов) выливается в массу затраченного времени, связанного с инсталляцией нового сервера. перенастройкой на него приложений, проверке всего и т.д. Идеально было бы просто переставить диски из старого сервера в новый, но так поступить нельзя по ряду причин (например, важная причина: старые диски уже отработали пару лет и неизвестно, сколько они проработают еще)

Ок, что же мы можем предпринять?

вторник, 14 февраля 2012 г.

Bonding в RHEL. Новые горизонты :)

В связи с изменениями в оборудовании (пора, пора апгрейдиться ;) ) пришлось менять и схему бондинга.
Мы перешли на HP Proliant 645c G7 (блейды-"половинки") и Flex-10 карты. Особенности такого оборудования - на бокс выделяется две физических сетевушки и шесть виртуальных (всего восемь), между которыми делится скорость в 10+10Gbit. Вполне очевидно, что оптимальная схема включения - две карты по 10Gbit.

В этой связи смысл привязывать свой VLAN к каждой карте ( как это описано в предыдущей статье ) несколько теряется. зато появляется возможность значительно упростить схему подключения, сведя ее к классической "active-backup".

Основная задача все та же - если у нас вылетает один сетефой интефейс (один flex-10), все должно работать :)

Итак, начнем.