Jak (ne)poptávat správu Linux serveru

Jako na profesionála v oblasti správy serverů s operačním systémem Linux se na mě až příliš často obracejí potenciální zákazníci s požadavkem, který jako by vypadl z kopírky podle následujícího vzoru: „Máme Linux server, všechno nám tam funguje, jenom …“ Jak začnou takto, už tuším, že se bude jednat o „… jenom“ zakázku, jak ji nazývám. To „… jenom“ je jiný výraz pro „noční můra“.

Pokračovat ve čtení „Jak (ne)poptávat správu Linux serveru“

Použití programu GPG

V článku jsou vysvětleny základní příkazy potřebné pro používání programu GPG v prostředí příkazového řádku operačního systému Linux. Napsáním tohoto článku nechci nahrazovat manuálové stránky nebo snad kompletní dokumentaci programu GPG. Jsem praktik, sepisuji pro vás proto  jen základní úkony, které každý administrátor Linuxu občas potřebuje. Dokumentace k programu GPG je natolik rozsáhlá, že nastudování těchto parametrů, a jejich opětovné vyhledávání po nějakém čase, kdy jsem již přesnou syntaxi příkazů zapomněl, mě samotného stála dost času. Snad vám tento článek čas ušetří.

Při praktickém používání programu GPG nejčastěji využíváme následující příkazy.

Pro získání veřejnho klíče z výchozího keyserveru:
$ gpg –recv-keys ID_klíče

Pokračovat ve čtení „Použití programu GPG“

Může nastartovat svobodný software vaše podnikání?

Odpověď na tuto otázku je velice jednoduchá:

Svobodný software nebo také otevřený software vám ušetří hodně peněz.

Tedy, pokud máte potřebné informace, a postupujete plánovitě a s rozumem.

Přesto, prakticky vždy, když se někoho zeptám, jestli svobodný sofware využívají pro své podnikání, dostávám následující tři odpovědi:

  1. Když ale my máme všude Windows!
  2. Když my jsme už zkoušeli program XY a ono nám nefungovalo YZ …..!
  3. Když on u nás Linuxu (nebo svobodnému software) nikdo nerozumí!

Pokračovat ve čtení „Může nastartovat svobodný software vaše podnikání?“

SELinux na RHEL a CentOS prakticky IV.

Ve čtvrtém díle našeho seriálu se budeme věnovat podrobněji na příkazy využívající logy daemona auditd

Auditd a pokročilé nástroje SELinuxu

Tyto nástroje mohou vyřešit i problémy se SELinuxem, které nejsou řešitelné pomocí booleans ani změnou bezpečnostních kontextů příkazem semanage.

Daemon auditd implicitně  generuje log /var/log/audit/audit.log a s ním budeme pracovat.

 Příkazy audit2allow a audit2why

Audit2why je vlastně alias k příkazu audit2allow s parametrem -w. Příkaz:

# audit2allow -w -a

vám parsuje soubor audit.log a upozorňuje na potřebné akce.

Příkaz audit2allow má ale mnohem širší využití. Příkaz : Pokračovat ve čtení „SELinux na RHEL a CentOS prakticky IV.“

Samba Active Directory Server

Od poloviny prosince 2012 připravujeme a testujeme zákaznické řešení Active Directory Serveru na platformě Samba 4.

Ve stavu vhodném k nasazení u zákazníka bude k 1.2.2013. Cenový model je ještě připravován, ale je již nyní jisté, že bude pro zákazníky velice ekonomicky zajímavý.

Upgrade stávajících řešení na platformě Samba 3.X budou realizovány od 1.3.2013.

Pokud chcete bližší informace, kontaktujte nás.

Přístup pomocí SSH na server za NAT-em

S tímto problémkem jsme se v minulosti utkali již vícekrát. Většinou jsme to řešili port forwardingem na routeru/firewallu (klasika). Alternativou je řešení pomocí OpenVPN. To jsme také několikrát využili.

Výjimečně jsme potřebovali tunelovat SSH. Řešili jsme to tak trochu po svém, než jsem při hledání něčeho jiného (jak už to bývá) narazil na Rootu v Jendově blogu na jednodušší řešení.

Kouzlo je ve spuštění jediného příkazu na serveru za NAT-em:

# ssh -R 0.0.0.0:2222:localhost:22 tunel@xx.xx.xx.xx -n -N 
-o ConnectTimeout=20 ConnectionAttempts=1

Pokračovat ve čtení „Přístup pomocí SSH na server za NAT-em“

Quoty na Linuxu – rychlé zprovoznění a základy ovládání

Pro kolegy jsem připravil jednoduchý návod na zprovoznění kvót. Níže uvedený článek jsem použil jako zdroj, a dále jen svoje znalosti. Vše je jen v heslech:

# quotacheck -i -u[g] / # Vytvoří soubory quoty (aquota.user, ev. i aguota.group) v kořenovém adresáři.
Povolení skupinových kvót jako volitelné, bez hranatých závorek.

Pokračovat ve čtení „Quoty na Linuxu – rychlé zprovoznění a základy ovládání“

SELinux na RHEL a CentOS prakticky III.

Ve třetím díle seiálu o SELinuxu se podíváme podrobněji na příkaz semanage.

Syntaxe je:

 semanage {login|user|port|interface|fcontext} -l [-n]
 semanage login -{a|d|m} [-sr] login_name
 semanage user -{a|d|m} [-LrRP] selinux_name
 semanage port -{a|d|m} [-tr] [-p protocol] port | port_range
 semanage interface -{a|d|m} [-tr] interface_spec
 semanage fcontext -{a|d|m} [-frst] file_spec

Jak vidíte, prvním parametrem příkazu je právě jeden z následujích parametrů – login, user, port, interface, fcontext. Pokračovat ve čtení „SELinux na RHEL a CentOS prakticky III.“

SELinux na RHEL a CentOS prakticky II.

Pokračujeme druhým dílen na téma SELinux z rodiny RHEL, Fedora a CentOS.

Přehled základních příkazů SELinuxu

sestatus, getenforce, setenforce, seinfo, getsebool, setsebool

Příkaz sestatus

Příkaz vypíše základní informace o SELinuxu. Výpis vypadá nějak takto:

$ sestatus
SELinux status:			enabled
SELinuxfs mount:		/selinux
Current mode:			enforcing
Mode from config file:		enforcing
Policy version:			21
Policy from config file:	targeted
$

Pokračovat ve čtení „SELinux na RHEL a CentOS prakticky II.“

SELinux na RHEL a CentOS prakticky I.

Tyto články jsou určeny všem správcům serverů s instalovaným RHEL nebo CentOS, kteří vypínají SELinux. A raději by jej využili než vypínali.

Trochu jinak řečeno, ještě jsme (za 5 roků činnosti naší společnosti!) nepřebírali do správy server, který by měl SELinux zapnutý! Ale asi není důvod příliš hloubat nad tím, co je příčinou. Stačí se pokusit prostudovat 180 stránek oficiální dokumentace k SELinuxu od Red Hatu pro aktuální RHEL. A se zapnutým SELinuxem vám ledacos prostě  nechodí.  Když zrovna nejste na SELinux guru a přitom potřebujete problém produktivně vyřešit. Oficiální dokumentace je v této situaci naprosto strašidelné počtení.

Pokračovat ve čtení „SELinux na RHEL a CentOS prakticky I.“