Про SSL, часть вторая: получение и настройка OV сертификата

Решили мы однажды, на одном из серверов, сайт на SSL перетащить, ибо неприлично в наше время на голом http сидеть.
Сказано — сделано, купили OV сертификат (с валидацией организации), и вот что это значит.

В нашем случае (сертификат был от comodo.com), обязательными условиями было:

  1. наличие электронной почты привязанной к домену (у нас не было, т.к. доменов у нас 2, и почта как раз на втором)
  2. наличие у организации страницы на одном из справочных ресурсов http://ru.kompass.com или http://www.dnb.com
  3. возможность ответить на звонок по номеру телефона указанному на странице организации в вышеуказанном справочнике

После оплаты счета, в личном кабинете, на сайте нашего регистратора, появилась возможность выпустить сертификат, для этого необходим CSR (Certificate Signing Request), создать его можно самому (openssl), либо с помощью мастера в личном кабинете. Я выбрал openssl. Читать

Редкая ошибка MySQL

После установки mysql-community-server вместо mariadb-server на CentOS 7.4, приключилась доселе невиданная ошибка:

ERROR 3009 (HY000): Column count of mysql.user is wrong. Expected 45, found 42. Created with MySQL 50556, now running 50721. Please use mysql_upgrade to fix this error.

вылезло сие, при попытке добавить нового пользователя.

Лечение простое, под рутом:

mysql_upgrade —force -uroot -p

E: Не удалось получить file:/var/cache/apt-build/repository/dists/apt-build/main/binary-i386/Packages Файл не найден

Недавно решил развеять скуку, путем перекомпиляции основных пакетов в системе, в связи с чем поставил apt-build. Тулза эта старая, всем вроде известная, но есть ньюансы.

В общем после настройки, и сборки пакетов, в ответ на apt-build update (или apt-get update), система мне заявила:
E: Не удалось получить file://var/cache/apt-build/repository/dists/apt-build/main/binary-i386/Packages Файл не найден
И такого файла действительно нет. Сперва попробовал обновить индекс репозитория, но не помогло.

Как выяснилось суть беды в том, что система у меня 64 битная, и по умолчанию apt-build создает реп с пакетами исключительно amd64, а в /etc/apt/sources.list.d/apt-build.list автоматом добавилась такая строка:

deb [trusted=yes] file:/var/cache/apt-build/repository apt-build main

ну и в результате, apt-get при обновлении списка пакетов, ищет в репе нет только 64х, но 32х битные пакеты.

Пути решения 2, либо в настройках apt-get централизовано указать, что система у нас 64х битная, и ничего кроме как для себя — не качать. Но я так делать не рекомендую, ибо можно поиметь немало жопоболи при установке какого-нибудь пакета, который требует multiarch и 32х битных библиотек (например steam client).

Вместо этого, лучше поменять строку на:


deb [arch=amd64, trusted=yes] file:/var/cache/apt-build/repository apt-build main

Как побороть баг в newusers

Первый раз в жизни приключилась необходимость, экспортировать большое количество пользователей из одного дистрибутива, в другой. Сперва думал, как и чего наколхозить для достижения истинного дзена, но нашел утилиту newusers (нашел — громко сказано, она всегда рядом была, в пакете shadow) и возрадовался.

Прога умеет создавать пользователей руководствуясь списком в текстовом файле, где каждая строка имеет вид:

user_name:clear_text_password:number_uid:number_gid:text_comment:home_dir:user_shell

где:

  1. user_name — это имя пользователя (латиницей);
  2. clear_text_password — нешифрованный пароль;
  3. number_uid — цифровой идентификатор пользователя (должен быть больше UID_MIN и меньше UID_MAX в файле /etc/login.defs) ;
  4. number_gid — цифровой идентификатор группы (должен быть больше GID_MIN и меньше GID_MAX в файле /etc/login.defs) ;
  5. text_comment — Комментарий, или фио пользователя (можно кириллицей);
  6. home_dir — домашняя директория (скрипт создаст ее сам);
  7. user_shell — командная оболочка или например /usr/sbin/nologin, если в шелл пользователю нельзя;

Но радость была не долгой. Скормив проге список пользователей, получил в ответ:


root@server:/home/serp# newusers ./userlist.txt
*** Error in `newusers': free(): invalid next size (fast): 0x00000000012b23d0 ***
Aborted (core dumped)

Читать

Ошибка Apt BADSIG и кэширующий прокси сервер

На одном из серверов приключилась бесячая ошибка APT BADSIG. Стандартное заклинание не сработало. Перебрал вариантов кучу, в частности apt-cacher-cleanup.pl не работал по причине

Undefined subroutine &main::inet_aton called at /usr/share/apt-cacher/lib/apt-cacher.pl line 221.

Совершенно очевидно, что проблема в закешированном битом файле, что подтверждалось наличием 2 файлов в /var/lib/apt/lists/partial, причем, если их удалить, и сделать aptitude update, они снова появятся.

Простого пути сбросить кэш апт кэшера я не нашел.

В результате утомило меня это дело, и я просто снес его рабочие файлы.

/etc/init.d/apt-cacher stop
rm -R /var/cache/apt-cacher/*
mkdir -p /var/cache/apt-cacher/{headers,import,packages,private}
/etc/init.d/apt-cacher start

в результате чего, проблема волшебным образом решилась.

Может пригодится кому? 😉

Vipnet hw1000 factory defaults

Возникла вот необходимость сбросить на заводские настройки vipnet hw1000. Техподдержка протухла давно, спросить не у кого, но решение нашлось достаточно быстро.

Не секрет, что vipnet работает на модифицированном linux, следовательно, делаем загрузочную флешку с любимым дистром, загружаемся с нее.

root у них находится на /dev/sda2, boot на /dev/sda1, монтируем их куда удобно. Обратите внимание, что root отформатирован в reiserfs. Затем удаляем все из root. А потом распаковываем boot/fs_main.tgz в root. В архиве и находится искомый factory defaults.

Успех в планировании

Старый знакомый прислал ссылку на забавный пост: https://medium.com/@ivlad/, и это было бы очень смешно, если б не было так грустно.

Вот я себе не представляю, инженера который пытается лог скажем в пару гигабайт длинной (а учитывая, что там все в csv, он примерно такой у них и получался) запихать в Excel с целью сделать выборку для отчета, даже Билл Гейтс не на столько верит в свой продукт, как тот индивид.

Во первых, excel честно предупредит, что «ему столько не влезет, извините». Во вторых, есть такое понятие «инженерный подход». Т.е. прежде чем чтото куда то пихать, кто-то должен был посчитать, какое количество строк генерируется в минуту, сколько их получится за неделю и что целесообразно придумать для посчета статистики в данной ситуации.  А потом уже, можно сажать сотрудника, которому вменять в обязанности выполнение определенных действий.

Странное поведение приложения mail.ru под adroid

Пару дней назад случилось странное. С нашего почтового сервера (около 100 ящиков) улетело за 2 дня примерно 80 гигабайт исходящего траффика. Т.к. интернет в нашем городе дорогой (0.69 р. за метр) сумма получилась солидная.

Запросил детализацию у провайдера, оказалось, что весь трафик ушел с 143 TCP порта в сторону нескольких хостов, в WHOIS адреса числятся как «MAILRU-NET08». Никаких сборщиков почты у пользователей в нашем домене не настроено, это проверил в первую очередь. Собственно, после анализа предоставленной провайдером статистики вопросов только прибавилось. Читать