Mick - Информационный ресурс » FreeBSD

Встановлення Oracle Linux 8.10

admin — Fri, 07 Mar 2025 12:05:54 +0000

Качаємо iso файл для встановлення ОС – https://yum.oracle.com/oracle-linux-isos.html, вибираємо FullISO Release 8.10 – link. Я використовую VMware Workstation 16 Player. Підключаємо і встановлюємо.

Документація – link. Мінімальні вимоги до апаратних ресурсів: 2 ядра, 3 Гб опративної пам’яті, 20Гб диска. Після встановлення оновлюємо усі пакети.

# sudo dnf update -y

або

[root@localhost ~]# sudo yum update -y
Last metadata expiration check: 2:11:21 ago on Fri 07 Mar 2025 02:25:06 PM EET.
Dependencies resolved.
Nothing to do.
Complete!

Налаштування локалі:

root@localhost ~]# cat /etc/locale.conf
LANG=”en_US.UTF-8″

Подивитися версію ОС

root@localhost ~]# cat /etc/oracle-release
Oracle Linux Server release 8.10

Дивимося які репозиторії встановлені:

mick@localhost ~]$ yum repolist
repo id repo name
ol8_UEKR7 Latest Unbreakable Enterprise Kernel Release 7 for Oracle Linux 8 (x86_64)
ol8_appstream Oracle Linux 8 Application Stream (x86_64)
ol8_baseos_latest Oracle Linux 8 BaseOS Latest (x86_64)

Файли конфігурації знаходяться тут

mick@localhost:~$ cd /etc/yum.repos.d/
mick@localhost:/etc/yum.repos.d$ ll
total 16
-rw-r–r–. 1 root root 4107 May 22 2024 oracle-linux-ol8.repo
-rw-r–r–. 1 root root 941 Feb 14 16:37 uek-ol8.repo
-rw-r–r–. 1 root root 243 May 23 2024 virt-ol8.repo

Установка PHP.

Перевірка які репозиторії стоять:

[mick@localhost ~]$ rpm -qa|grep release
oraclelinux-release-el8-1.0-38.el8.x86_64
oraclelinux-release-8.10-1.0.7.el8.x86_64
redhat-release-8.10-0.2.0.1.el8.x86_64

Перевіряємо які можливі версії PHP можливі для інсталяції:

[mick@localhost ~]$ dnf module list php
Oracle Linux 8 BaseOS Latest (x86_64) 26 MB/s | 91 MB 00:03
Oracle Linux 8 Application Stream (x86_64) 29 MB/s | 68 MB 00:02
Latest Unbreakable Enterprise Kernel Release 7 for Oracle L 30 MB/s | 57 MB 00:01
^TLast metadata expiration check: 0:00:10 ago on Wed 19 Mar 2025 05:04:02 PM EET.
Oracle Linux 8 Application Stream (x86_64)
Name Stream Profiles Summary
php 7.2 [d] common [d], devel, minimal PHP scripting language
php 7.3 common [d], devel, minimal PHP scripting language
php 7.4 common [d], devel, minimal PHP scripting language
php 8.0 common [d], devel, minimal PHP scripting language
php 8.2 common [d], devel, minimal PHP scripting language

Hint: [d]efault, [e]nabled, [x]disabled, [i]nstalled

7.2[d] – означає, що за замовченням буде встановлена версія 7.2. Якщо нам треба встановити іншу версію, нам треба скинути це значення за замовченням і встановити іншу версію. Якщо php ніяка не встановлена, то скидувати не треба, але якщо скинули – нічого страшного.

mick@localhost ~]$ sudo dnf module reset php
[sudo] password for mick:
Last metadata expiration check: 3:11:27 ago on Tue 25 Mar 2025 03:37:12 PM EET.
Dependencies resolved.
Nothing to do.
Complete!

Активуємо версію за замовчуванням php:8.2.

[mick@localhost ~]$ sudo dnf module enable php:8.2
[sudo] password for mick:
Last metadata expiration check: 3:48:22 ago on Tue 25 Mar 2025 03:37:12 PM EET.
Dependencies resolved.
============================================================================================
Package Architecture Version Repository Size
============================================================================================
Enabling module streams:
httpd 2.4
nginx 1.14
php 8.2

Transaction Summary
============================================================================================

Is this ok [y/N]: y
Complete!
[mick@localhost ~]$

Перевіряємо зміни і бачимо навпроти версії 8.2 значок [e]- активовано.

[mick@localhost ~]$ dnf module list php
Last metadata expiration check: 0:40:31 ago on Tue 25 Mar 2025 06:47:40 PM EET.
Oracle Linux 8 Application Stream (x86_64)
Name Stream Profiles Summary
php 7.2 [d] common [d], devel, minimal PHP scripting language
php 7.3 common [d], devel, minimal PHP scripting language
php 7.4 common [d], devel, minimal PHP scripting language
php 8.0 common [d], devel, minimal PHP scripting language
php 8.2 [e] common [d], devel, minimal PHP scripting language

Hint: [d]efault, [e]nabled, [x]disabled, [i]nstalled

Інсталюємо PHP і бачимо, що будуть встановлені 18 пакетів

[mick@localhost ~]$ sudo dnf install php
Last metadata expiration check: 3:54:46 ago on Tue 25 Mar 2025 03:37:12 PM EET.
Dependencies resolved.
=======================================================================================================================
Package Arch Version Repository Size
=======================================================================================================================
Installing:
php   x86_64 8.2.25-1.module+el8.10.0+90469+8883f508 ol8_appstream 1.8 M
Installing dependencies:
apr   x86_64 1.6.3-12.el8 ol8_appstream 129 k
apr-util x86_64 1.6.1-9.el8 ol8_appstream 106 k
httpd x86_64 2.4.37-65.0.1.module+el8.10.0+90523+b5e5f9e4.3 ol8_appstream 1.4 M
httpd-filesystem noarch 2.4.37-65.0.1.module+el8.10.0+90523+b5e5f9e4.3 ol8_appstream 44 k
httpd-tools x86_64 2.4.37-65.0.1.module+el8.10.0+90523+b5e5f9e4.3 ol8_appstream 112 k
mod_http2 x86_64 1.15.7-10.module+el8.10.0+90523+b5e5f9e4.3 ol8_appstream 155 k
nginx-filesystem   noarch 1:1.14.1-9.0.1.module+el8.0.0+5347+9282027e ol8_appstream 25 k
oracle-logos-httpd noarch 84.5-1.0.2.el8 ol8_baseos_latest 28 k
php-common x86_64 8.2.25-1.module+el8.10.0+90469+8883f508 ol8_appstream 746 k
Installing weak dependencies:
apr-util-bdb x86_64 1.6.1-9.el8 ol8_appstream 25 k
apr-util-openssl x86_64 1.6.1-9.el8 ol8_appstream 27 k
php-cli x86_64 8.2.25-1.module+el8.10.0+90469+8883f508 ol8_appstream 3.6 M
php-fpm x86_64 8.2.25-1.module+el8.10.0+90469+8883f508 ol8_appstream 1.9 M
php-mbstring x86_64 8.2.25-1.module+el8.10.0+90469+8883f508 ol8_appstream 528 k
php-opcache x86_64 8.2.25-1.module+el8.10.0+90469+8883f508 ol8_appstream 415 k
php-pdo x86_64 8.2.25-1.module+el8.10.0+90469+8883f508 ol8_appstream 133 k
php-xml x86_64 8.2.25-1.module+el8.10.0+90469+8883f508 ol8_appstream 189 k

Transaction Summary
=======================================================================================================================
Install 18 Packages

Total download size: 11 M
Installed size: 40 M
Is this ok [y/N]:

Downloading Packages:
(1/18): oracle-logos-httpd-84.5-1.0.2.el8.noarch.rpm 134 kB/s | 28 kB 00:00
(2/18): apr-util-bdb-1.6.1-9.el8.x86_64.rpm 348 kB/s | 25 kB 00:00
(3/18): apr-util-1.6.1-9.el8.x86_64.rpm 368 kB/s | 106 kB 00:00
(4/18): apr-1.6.3-12.el8.x86_64.rpm 446 kB/s | 129 kB 00:00
(5/18): apr-util-openssl-1.6.1-9.el8.x86_64.rpm 457 kB/s | 27 kB 00:00
(6/18): httpd-filesystem-2.4.37-65.0.1.module+el8.10.0+90523+b5e5f9e4.3.noarch.rpm 799 kB/s | 44 kB 00:00
(7/18): mod_http2-1.15.7-10.module+el8.10.0+90523+b5e5f9e4.3.x86_64.rpm 1.7 MB/s | 155 kB 00:00
(8/18): httpd-tools-2.4.37-65.0.1.module+el8.10.0+90523+b5e5f9e4.3.x86_64.rpm 1.0 MB/s | 112 kB 00:00
(9/18): nginx-filesystem-1.14.1-9.0.1.module+el8.0.0+5347+9282027e.noarch.rpm 444 kB/s | 25 kB 00:00
(10/18): httpd-2.4.37-65.0.1.module+el8.10.0+90523+b5e5f9e4.3.x86_64.rpm 6.5 MB/s | 1.4 MB 00:00
(11/18): php-common-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64.rpm 10 MB/s | 746 kB 00:00
(12/18): php-fpm-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64.rpm 15 MB/s | 1.9 MB 00:00
(13/18): php-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64.rpm 5.8 MB/s | 1.8 MB 00:00
(14/18): php-mbstring-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64.rpm 7.0 MB/s | 528 kB 00:00
(15/18): php-pdo-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64.rpm 2.2 MB/s | 133 kB 00:00
(16/18): php-cli-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64.rpm 10 MB/s | 3.6 MB 00:00
(17/18): php-opcache-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64.rpm 4.4 MB/s | 415 kB 00:00
(18/18): php-xml-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64.rpm 3.5 MB/s | 189 kB 00:00
———————————————————————————————————————–
Total 12 MB/s | 11 MB 00:00
Running transaction check
Transaction check succeeded.
Running transaction test
Transaction test succeeded.
Running transaction
Preparing : 1/1
Installing : php-common-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64 1/18
Running scriptlet: httpd-filesystem-2.4.37-65.0.1.module+el8.10.0+90523+b5e5f9e4.3.noarch 2/18
Installing : httpd-filesystem-2.4.37-65.0.1.module+el8.10.0+90523+b5e5f9e4.3.noarch 2/18
Installing : apr-1.6.3-12.el8.x86_64 3/18
Running scriptlet: apr-1.6.3-12.el8.x86_64 3/18
Installing : apr-util-bdb-1.6.1-9.el8.x86_64 4/18
Installing : apr-util-openssl-1.6.1-9.el8.x86_64 5/18
Installing : apr-util-1.6.1-9.el8.x86_64 6/18
Running scriptlet: apr-util-1.6.1-9.el8.x86_64 6/18
Installing : httpd-tools-2.4.37-65.0.1.module+el8.10.0+90523+b5e5f9e4.3.x86_64 7/18
Installing : php-cli-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64 8/18
Installing : php-mbstring-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64 9/18
Installing : php-opcache-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64 10/18
Installing : php-pdo-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64 11/18
Installing : php-xml-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64 12/18
Running scriptlet: nginx-filesystem-1:1.14.1-9.0.1.module+el8.0.0+5347+9282027e.noarch 13/18
Installing : nginx-filesystem-1:1.14.1-9.0.1.module+el8.0.0+5347+9282027e.noarch 13/18
Installing : php-fpm-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64 14/18
Running scriptlet: php-fpm-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64 14/18
Installing : oracle-logos-httpd-84.5-1.0.2.el8.noarch 15/18
Installing : mod_http2-1.15.7-10.module+el8.10.0+90523+b5e5f9e4.3.x86_64 16/18
Installing : httpd-2.4.37-65.0.1.module+el8.10.0+90523+b5e5f9e4.3.x86_64 17/18
Running scriptlet: httpd-2.4.37-65.0.1.module+el8.10.0+90523+b5e5f9e4.3.x86_64 17/18
Installing : php-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64 18/18
Running scriptlet: httpd-2.4.37-65.0.1.module+el8.10.0+90523+b5e5f9e4.3.x86_64 18/18
Running scriptlet: php-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64 18/18
Running scriptlet: php-fpm-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64 18/18
Verifying : oracle-logos-httpd-84.5-1.0.2.el8.noarch 1/18
Verifying : apr-1.6.3-12.el8.x86_64 2/18
Verifying : apr-util-1.6.1-9.el8.x86_64 3/18
Verifying : apr-util-bdb-1.6.1-9.el8.x86_64 4/18
Verifying : apr-util-openssl-1.6.1-9.el8.x86_64 5/18
Verifying : httpd-2.4.37-65.0.1.module+el8.10.0+90523+b5e5f9e4.3.x86_64 6/18
Verifying : httpd-filesystem-2.4.37-65.0.1.module+el8.10.0+90523+b5e5f9e4.3.noarch 7/18
Verifying : httpd-tools-2.4.37-65.0.1.module+el8.10.0+90523+b5e5f9e4.3.x86_64 8/18
Verifying : mod_http2-1.15.7-10.module+el8.10.0+90523+b5e5f9e4.3.x86_64 9/18
Verifying : nginx-filesystem-1:1.14.1-9.0.1.module+el8.0.0+5347+9282027e.noarch 10/18
Verifying : php-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64 11/18
Verifying : php-cli-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64 12/18
Verifying : php-common-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64 13/18
Verifying : php-fpm-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64 14/18
Verifying : php-mbstring-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64 15/18
Verifying : php-opcache-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64 16/18
Verifying : php-pdo-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64 17/18
Verifying : php-xml-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64 18/18

Installed:
apr-1.6.3-12.el8.x86_64
apr-util-1.6.1-9.el8.x86_64
apr-util-bdb-1.6.1-9.el8.x86_64
apr-util-openssl-1.6.1-9.el8.x86_64
httpd-2.4.37-65.0.1.module+el8.10.0+90523+b5e5f9e4.3.x86_64
httpd-filesystem-2.4.37-65.0.1.module+el8.10.0+90523+b5e5f9e4.3.noarch
httpd-tools-2.4.37-65.0.1.module+el8.10.0+90523+b5e5f9e4.3.x86_64
mod_http2-1.15.7-10.module+el8.10.0+90523+b5e5f9e4.3.x86_64
nginx-filesystem-1:1.14.1-9.0.1.module+el8.0.0+5347+9282027e.noarch
oracle-logos-httpd-84.5-1.0.2.el8.noarch
php-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64
php-cli-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64
php-common-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64
php-fpm-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64
php-mbstring-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64
php-opcache-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64
php-pdo-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64
php-xml-8.2.25-1.module+el8.10.0+90469+8883f508.x86_64

Complete!

Перевіряємо встановлену весрсію

mick@localhost ~]$ php -v
PHP 8.2.25 (cli) (built: Oct 22 2024 15:12:03) (NTS gcc x86_64)
Copyright (c) The PHP Group
Zend Engine v4.2.25, Copyright (c) Zend Technologies
with Zend OPcache v8.2.25, Copyright (c), by Zend Technologies

Дивимося які пакети інстальовано і берігаємо їх у файл packages.txt.

mick@localhost ~]$ sudo dnf list installed | grep php | tee packages.txt
[sudo] password for mick:
php.x86_64 8.2.25-1.module+el8.10.0+90469+8883f508 @ol8_appstream
php-cli.x86_64 8.2.25-1.module+el8.10.0+90469+8883f508 @ol8_appstream
php-common.x86_64 8.2.25-1.module+el8.10.0+90469+8883f508 @ol8_appstream
php-fpm.x86_64 8.2.25-1.module+el8.10.0+90469+8883f508 @ol8_appstream
php-mbstring.x86_64 8.2.25-1.module+el8.10.0+90469+8883f508 @ol8_appstream
php-opcache.x86_64 8.2.25-1.module+el8.10.0+90469+8883f508 @ol8_appstream
php-pdo.x86_64 8.2.25-1.module+el8.10.0+90469+8883f508 @ol8_appstream
php-xml.x86_64 8.2.25-1.module+el8.10.0+90469+8883f508 @ol8_appstream

Встановлення PHP OCI8 на Oracle Linux 8

Документація:

https://docs.oracle.com/en/database/oracle/oracle-database/21/lacli/install-instant-client-using-rpm.html

https://yum.oracle.com/oracle-linux-php.html#php-oci8

https://martincarstenbach.com/2021/05/21/installing-instant-clients-on-oracle-linux-8-in-oracle-cloud-infrastructure/

Модуль PHP-OCI потрібен для взаємодії PHP і БД і входить в склад Oracle Client.

PHP-OCI знаходиться в репозиторії Oracle Linux 8 (x86_64) Development, спочатку підключаємо його.

[mick@localhost ~]$ sudo dnf install oraclelinux-developer-release-el8
[sudo] password for mick:
Last metadata expiration check: 1:06:23 ago on Tue 13 May 2025 03:19:30 PM EEST.
Dependencies resolved.
===============================================================================================================================================
Package Architecture Version Repository Size
===============================================================================================================================================
Installing:
oraclelinux-developer-release-el8 x86_64 1.0-7.el8 ol8_baseos_latest 16 k

Transaction Summary
===============================================================================================================================================
Install 1 Package

Total download size: 16 k
Installed size: 18 k
Is this ok [y/N]: y
Downloading Packages:
oraclelinux-developer-release-el8-1.0-7.el8.x86_64.rpm 141 kB/s | 16 kB 00:00
———————————————————————————————————————————————–
Total 124 kB/s | 16 kB 00:00
Running transaction check
Transaction check succeeded.
Running transaction test
Transaction test succeeded.
Running transaction
Preparing : 1/1
Installing : oraclelinux-developer-release-el8-1.0-7.el8.x86_64 1/1
Verifying : oraclelinux-developer-release-el8-1.0-7.el8.x86_64 1/1

Installed:
oraclelinux-developer-release-el8-1.0-7.el8.x86_64

Complete!

Перевірямо чи з’явився він. Він є, також можна запустити команду yum repolist і подивитися в папці /etc/yum.repos.d/ створився новий файл репозиторію oraclelinux-developer-ol8.repo.

mick@localhost:~$ rpm -qa |grep release
oraclelinux-release-el8-1.0-38.el8.x86_64
oraclelinux-developer-release-el8-1.0-7.el8.x86_64
oraclelinux-release-8.10-1.0.7.el8.x86_64
redhat-release-8.10-0.2.0.1.el8.x86_64

Дивимся на сайті Оракл яка остання версія Оракл клієнта - https://www.oracle.com/database/technologies/instant-client/linux-x86-64-downloads.html. Остання версія – Version 23.8.0.0.0.

Згідно з офіційного сайту https://yum.oracle.com/oracle-instant-client.html зараз актуальні версії 19, 21с, 23ai.

Перевіряємо чи встановлений Клієнт чи ні.

mick@localhost:~$ dnf search instantclient
Last metadata expiration check: 0:32:40 ago on Tue 13 May 2025 04:42:01 PM EEST.
=============================================== Name Matched: instantclient ===============================================
oracle-instantclient-release-23ai-el8.src : Oracle Software yum repository configuration
oracle-instantclient-release-23ai-el8.x86_64 : Oracle Software yum repository configuration
oracle-instantclient-release-el8.src : Oracle Instant Client yum repository configuration
oracle-instantclient-release-el8.x86_64 : Oracle Instant Client yum repository configuration

Тут ми бачимо, що знайдено 2 файла репозиторію, які не встановлено. Для 23-ї версії пакет репозиторію – oracle-instantclient-release-23ai-el8, для 21с – пакет oracle-instantclient-release-el8, для 19 – oracle-release-el8.

Встановлюємо репозиторій для 23-версії.

mick@localhost:~$ sudo dnf install oracle-instantclient-release-23ai-el8
[sudo] password for mick:
Oracle Linux 8 Development Packages (x86_64) 28 MB/s | 202 MB 00:07
Last metadata expiration check: 0:00:55 ago on Tue 13 May 2025 05:42:52 PM EEST.
Dependencies resolved.
===========================================================================================================================
Package Architecture Version Repository Size
===========================================================================================================================
Installing:
oracle-instantclient-release-23ai-el8 x86_64 1.0-4.el8 ol8_baseos_latest 17 k
Installing dependencies:
yum-utils noarch 4.0.21-25.0.1.el8 ol8_baseos_latest 75 k

Transaction Summary
===========================================================================================================================
Install 2 Packages

Total download size: 92 k
Installed size: 41 k
Is this ok [y/N]: y
Downloading Packages:
(1/2): oracle-instantclient-release-23ai-el8-1.0-4.el8.x86_64.rpm 171 kB/s | 17 kB 00:00
(2/2): yum-utils-4.0.21-25.0.1.el8.noarch.rpm 551 kB/s | 75 kB 00:00
—————————————————————————————————————————
Total 643 kB/s | 92 kB 00:00
Running transaction check
Transaction check succeeded.
Running transaction test
Transaction test succeeded.
Running transaction
Preparing : 1/1
Installing : yum-utils-4.0.21-25.0.1.el8.noarch 1/2
Installing : oracle-instantclient-release-23ai-el8-1.0-4.el8.x86_64 2/2
Running scriptlet: oracle-instantclient-release-23ai-el8-1.0-4.el8.x86_64 2/2
Verifying : oracle-instantclient-release-23ai-el8-1.0-4.el8.x86_64 1/2
Verifying : yum-utils-4.0.21-25.0.1.el8.noarch 2/2

Installed:
oracle-instantclient-release-23ai-el8-1.0-4.el8.x86_64 yum-utils-4.0.21-25.0.1.el8.noarch

Complete!

Перевіряємо чи встановився пакет репозиторію – все успішно.

mick@localhost:~$ sudo dnf list installed | grep instantclient
oracle-instantclient-release-23ai-el8.x86_64 1.0-4.el8 @ol8_baseos_latest

Перенвіряємо чи зявився файл репозиторію в каталозі реопозиторіїв – є файл oracle-instantclient-23ai-ol8.repo.

mick@localhost:~$ ll /etc/yum.repos.d/
total 24
-rw-r–r–. 1 root root 286 Jun 20 2024 oracle-instantclient-23ai-ol8.repo
-rw-r–r–. 1 root root 694 Jan 15 2022 oraclelinux-developer-ol8.repo
-rw-r–r–. 1 root root 4107 May 22 2024 oracle-linux-ol8.repo
-rw-r–r–. 1 root root 941 Feb 14 16:37 uek-ol8.repo
-rw-r–r–. 1 root root 243 May 23 2024 virt-ol8.repo

Встановлюємо Оракл Клієнт oracle-instantclient-basic з попередньо встановленого репозиторію. Згідно документації майбутні оновлення оракл клієнта будуть витягуватися саме з цього репозиторію для цієї 23 версії. Якщо в майбутньому вийде наприклад 24 версія, то треба переключати на новий репозиторій, щоб встановити 24 версію.

mick@localhost:~$ sudo dnf install oracle-instantclient-basic
Last metadata expiration check: 0:00:28 ago on Tue 13 May 2025 05:52:48 PM EEST.
Dependencies resolved.
==================================================================================================================================
Package Architecture Version Repository Size
==================================================================================================================================
Installing:
oracle-instantclient-basic x86_64 23.7.0.25.01-1.el8 ol8_oracle_instantclient23 79 M

Transaction Summary
==================================================================================================================================
Install 1 Package

Total download size: 79 M
Installed size: 318 M
Is this ok [y/N]: y
Downloading Packages:
oracle-instantclient-basic-23.7.0.25.01-1.el8.x86_64.rpm 26 MB/s | 79 MB 00:03
———————————————————————————————————————————-
Total 26 MB/s | 79 MB 00:03
Running transaction check
Transaction check succeeded.
Running transaction test
Transaction test succeeded.
Running transaction
Preparing : 1/1
Installing : oracle-instantclient-basic-23.7.0.25.01-1.el8.x86_64 1/1
Running scriptlet: oracle-instantclient-basic-23.7.0.25.01-1.el8.x86_64 1/1
Verifying : oracle-instantclient-basic-23.7.0.25.01-1.el8.x86_64 1/1

Installed:
oracle-instantclient-basic-23.7.0.25.01-1.el8.x86_64

Complete!

Корисні відео:

https://www.youtube.com/watch?v=akJJjp8j91Y&t=312s

Оновлення безкоштовного сертифікату letsencrypt на 90 днів.

admin — Sat, 05 Aug 2023 09:16:04 +0000

Безкоштовний сервіс https://letsencrypt.org/ru/ дає безкоштовно на 90 днів сертифікат для веб сервера, по закінченню сроку його треба оновлювати.

Для оновлення використовується команда certbot з параметром renew. Якщо використовується фаервол, то обов’язково треба відкрити сервіс http або порт 80 для вільного доступу, оскільки при подовженні генерується певний файл,який має бути доступний з нашого сайту для серверів letsencrypt.

Перевіряємо фаєрвол:

# firewall-cmd –permanent –list-all

В services немає http, додаємо його:

# firewall-cmd –permanent –zone=public –add-service=http

# firewall-cmd –reload

І знову перевіряємо чи дозволений сервіс http:

# firewall-cmd –permanent –list-all

Якщо не відкривати сервіс http , то будемо мати таку помилку:

Оновлюємо сертифікат командою certbot renew:

Сертифікат успішно оновлений, через 90 днів повторюємо процедуру. Оновлення можна автоматизувати, але для цього порт 80 має бути відкритий постійно ,це зменшує безпеку сервера.

Вимикаємо доступність сервісу http:

#firewall-cmd –permanent –zone=public –remove-service=http

#firewall-cmd –reload

© mick, 2023.

Обновление Centos 8 до CentOS 8 Stream и установка Zabbix 6.2

admin — Fri, 28 Oct 2022 07:01:05 +0000

Обновление Centos

Имеем Centos 8.4. Поддержка CentOS 8 заканчивается в 2021 году. После того, как Red Hat выкупили CentOS, было объявлено о создании нового релиза. Релиз был назван CentOS Stream.Вскоре Red Hat объявили о прекращении финансовой поддержки CentOS, и стало ясно, что её закрывают, оставляя CentOS Stream. Наши приложения размещены на сервере CentOS 8, а выпуски обновлений операционной системы прекратились. И значит, пришло время обновить свой сервер до CentOS Stream release 8.

Проверяем какая версия ОС установлена.

cat /etc/centos-release или cat /etc/os-release

Результат вывода = Centos Linux release 8.4.

Обновляем пакеты dnf update и видим ошибку в консоли.

Это означает, что система не может установить обновения из устаревшего репозитория 8.4, т.к. последний версия репозитория 8.6, которой нет в системе. Чтобы обновиться до ветки Stream нам нужно закачать новые репозитории ветки Stream. Кроме того в логах /var/log/dnf.log:

dnf.exceptions.RepoError: Failed to download metadata for repo ‘appstream': Cannot prepare internal mirrorlist: No URLs in mirrorlist
2022-10-10T08:11:43+0300 CRITICAL Error: Failed to download metadata for repo ‘appstream': Cannot prepare internal mirrorlist: No URLs in mirrorlist

Это означает, что по путям, где находятся репозитарии, уже ничего не находится, поскольку текущая версия уже не поддерживается. Нам нужно поменять URL на актуальные.

sudo sed -i -e “s|mirrorlist=|#mirrorlist=|g” /etc/yum.repos.d/CentOS-*
sudo sed -i -e “s|#baseurl=http://mirror.centos.org|baseurl=http://vault.centos.org|g” /etc/yum.repos.d/CentOS-*

Проверяем, заходим /etc/yum.repos.d,открываем любой файл с названием CentOS и видим, что URL изменился.

[baseos]
name=CentOS Linux $releasever – BaseOS
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=BaseOS&infra=$infra
baseurl=http://vault.centos.org/$contentdir/$releasever/BaseOS/$basearch/os/

Теперь качаем и устанавливаем новые репозитории

dnf swap centos-{linux,stream}-repos

Указываем системе использовать новые репозитории

dnf swap centos-{linux,stream}-repos

Синхронизируемся с новым репозиторием.

dnf distro-sync

После успешного выполнения проверяем cat /etc/centos-release или cat /etc/os-release версию ОС = CentOS Stream release 8

Делаем ребут. Если в логам не видим ошибок .

Шпаргалка по использованию dnf:

# dnf –version Проверка версии DNF
# dnf repolist Вывод списка включенных репозиториев DNF
# dnf repolist all Просмотр всех включенных и отключенных репозиториев DNF
# dnf list Вывод списка всех доступных и установленных пакетов, используя DNF
# dnf list installed Вывод списка всех установленных пакетов
# dnf list available Вывод списка всех доступных пакетов
# dnf search nano Поиск пакета с использованием DNF
# dnf provides /bin/bash Просмотр описание файл/субпакет, к какому пакету принадлежит файл, что он делает?
# dnf info nano Просмотр деталей пакета
# dnf install nano Установка пакета с DNF
# dnf update systemd Обновление пакета с использованием DNF
# dnf check-update Проверка наличия обновлений системы с помощью DNF.
# dnf update или # dnf upgrade Обновление всех системных пакетов

Некоторые источники URL:

https://ruvds.com/ru/helpcenter/kak-zaupdeitit-centos-8-do-centos-stream/

https://stackoverflow.com/questions/70926799/centos-through-a-vm-no-urls-in-mirrorlist

Установка Zabbix

Заходим на официальный сайт Zabbix, на котором есть краткая инструкция по установке https://www.zabbix.com/ru/download?zabbix=6.2&os_distribution=centos&os_version=8&components=server_frontend_agent&db=mysql&ws=apache

Выбираем версию 6.2, дистрибутив Centos,версия ОС 8Stream, компонент Заббикс Server,Frontend,Agent, база данных MySQL,веб сервер Apache.

Далее следуем инструкции с оф.сайта, скачиваем репозиторий Zabbix

# rpm -Uvh https://repo.zabbix.com/zabbix/6.2/rhel/8/x86_64/zabbix-release-6.2-3.el8.noarch.rpm
# dnf clean all

После выполнения заходим в /etc/yum.repos.d и видим текстовый файл zabbix.repo , в котором прописан URL на офф. ресурсы Забикса.

Версия 6.2 Забикса работает на PHP 7.4, смотрим какая у нас версия PHP:

#dnf module list php

В системе версия 7.2. Переключаемся на 7.4.

# dnf module switch-to php:7.4

Проверяем и видим, что PHP 7.4 присутствует.

Переходим к установке Забикс сервера, веб интерфейса и агента, все по инструкции:

# dnf install zabbix-server-mysql zabbix-web-mysql zabbix-apache-conf zabbix-sql-scripts zabbix-selinux-policy zabbix-agent

Забикс будет работать на БД MySQL. Если на сервере БД нет, ее нужно установить. Потом создаем БД zabbix, пользователя zabbix, даем пользователю zabbix все привелегии на БД zabbix.

# mysql -uroot -p
password
mysql> create database zabbix character set utf8mb4 collate utf8mb4_bin;
mysql> create user zabbix@localhost identified by ‘password';
mysql> grant all privileges on zabbix.* to zabbix@localhost;
mysql> set global log_bin_trust_function_creators = 1;
mysql> quit;

Пароль на БД password нужно установить свой, потом его нужно будет прописать в конфиг забикс -сервера.

Некоторые команды для работы с MySQL:

SELECT user FROM mysql.user; # Список пользователей БД
SELECT user,host FROM mysql.user; # Список пользователей БД+ с каких IP подключения
show databases; # Показать существующие БД
CREATE USER ‘new_user’@’localhost’ IDENTIFIED BY ‘password'; #Создание пользователя
GRANT ALL PRIVILEGES ON database_name.* TO ‘new_user’@’localhost'; # Назначение привелегий пользователю на БД

Создание пользователя в БД. %=любой IP. Вместо % можно вписать конкретный IP, тогда, доступ будет только из него.

mysql> CREATE USER ‘root’@’%’ IDENTIFIED BY ‘PASSWORD';
mysql> GRANT ALL PRIVILEGES ON *.* TO ‘root’@’%’ WITH GRANT OPTION;
mysql> FLUSH PRIVILEGES;

Импортируем дефолтную БД в в нашу созданную БД zabbix, нужно будет ввести созданный пароль на БД zabbix.

# zcat /usr/share/zabbix-sql-scripts/mysql/server.sql.gz | mysql –default-character-set=utf8mb4 -uzabbix -p zabbix

После выполнения отключаем опцию log_bin_trust_function_creators:

# mysql -uroot -p
password
mysql> set global log_bin_trust_function_creators = 0;
mysql> quit;

Заходим в конфиг сервера забикс /etc/zabbix/zabbix_server.conf и вводим пароль БД.

DBPassword=password

Запускаем сервер и агент Забикса, рестартуем appache и активируем автозагрузку.

# systemctl restart zabbix-server zabbix-agent httpd php-fpm
# systemctl enable zabbix-server zabbix-agent httpd php-fpm

Проверяем статус работы забикс -сервера.

sudo systemctl status zabbix-server

Сервер использует 10051 порт, агент 10050 порт.

они должны быть разрешены в фаерволе.

sudo firewall-cmd –permanent –zone=public –add-port=10050/tcp
sudo firewall-cmd –permanent –zone=public –add-port=10051/tcp
sudo firewall-cmd –reload

Проверяем внесение изменений.

firewall-cmd –permanent –list-all

При установке забикса создается файл конфигурации /etc/httd/conf.d/zabbix.conf в котором прописывается алиас /zabbix. При открытии http://YouIP/zabbix увидим отображение веб страницы Забикса. Если у нас есть доменное имя, можем сконфигурировать Virtualhost:

ServerName your_domain
ServerAlias your_IP
DocumentRoot /usr/share/zabbix
ErrorLog /var/log/zabbix/error.log
CustomLog /var/log/zabbix/access.log combined

При первом открытии страницы в браузере вводим логин Admin, пароль zabbix, далее увидим используемые параметры PHP, потом нужно ввести пароль в БД MySQL для пользователя zabbix.

Источники:

https://uh.ua/kb/vps/software-installation/zabbix.html

Некоторые настройки Apache

admin — Tue, 02 Mar 2021 15:56:12 +0000

Конверирование сертификатов для работы с Apache.

В Apache под Linux применяются формат сертификатов PEM. Они могут иметь расширение .pem, .crt, .cer, и .key (файл приватного ключа). Это ASCII файлы, закодированные по схеме Base64. Текст кода файла сертификата начинается с тега “—– BEGIN CERTIFICATE —–” и заканчивая тегом “—– END CERTIFICATE —–“.Для установки SSL сертификата на Apache, сертификаты и приватный ключ должны быть в разных файлах.

Если нам выдан PXS сертификат, имющий расширение .pfx или .p12, то для работы в Apache нам его нужно конвертировать в PEM сертификат. Формат SSL сертификата PKCS 12 или, он же PFX сертификат – бинарный формат, в котором в одном зашифрованном файле хранится не только наш личный сертификат сервера, промежуточные сертификаты центра сертификации, но и наш закрытый ключ. Файлы формата PFX используются на Windows серверах для импорта и экспорта файлов сертификатов и нашего приватного ключа.

Используем утилиту openssl, чтобы вытащить открытую часть pfx-сертификата, после ввода нужно будет ввести пароль к сертификату:

openssl pkcs12 -in mysert.p12 -clcerts -nokeys -out mysert.crt

Извлекаем закрытую часть сертификата, поместив её в отдельный запароленный файл:

openssl pkcs12 -in mysert.p12 -nocerts -out key-encrypted.key

После выполнения команды вводим пароль для .p12-сертификата, потом новый пароль для защиты .key-файла. Наличие mysert.crt и key-encrypted.key достаточно для настройки веб-сервера.

Закрытый ключ сертификата key-encrypted.key с парольной защитой не удобно использовать, т.к. Apache будет спрашивать пароль при каждом рестарте сервиса. Обойти проблему можно, сняв пароль с закрытого ключа:

openssl rsa -in key-encrypted.key -out key-decrypted.key

Конфиг Apache находится здесь /etc/httpd/conf/httpd.conf, в нем должна быть строчка, которая подключает папку для конфигов Virtualhost:

IncludeOptional conf.d/*.conf

Заходим в настройки VirtualHost нашего сайта (/etc/httpd/conf.d/dpiweb.conf):

ServerName isexperts.vodafone.ua
ServerAlias isexperts.vodafone.ua
LogLevel warn
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3 +TLSv1.2
SSLCipherSuite HIGH:3DES:!aNULL:!MD5:!SEED:!IDEA
SSLCertificateFile /home/dpiweb/sert_isexperts/certificate.crt
SSLCertificateKeyFile /home/dpiweb/sert_isexperts/key-decrypted.key
DocumentRoot “/opt/http/dpiweb/isexperts”

order allow,deny
#deny from 172.20.7.
allow from all
AllowOverride all
Require all granted
#Options None

После внесения изменений рестартуем Апач /usr/bin/systemctl restart httpd под root или если есть права sudo: sudo /usr/bin/systemctl restart httpd

Проверка с консоли установленного сертификата.

openssl s_client -purpose sslclient -connect sblmweb1.corp.vodafone.ua:8443|openssl x509 -noout –text

Ответ:

depth=2 C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Domain Validation Secure Server CA
verify return:1
depth=0 CN = my.vodafone.ua
verify return:1
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
69:7f:da:2d:30:b7:83:10:f3:fb:7e:30:c3:a5:7d:02
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA
Validity
Not Before: Apr 19 00:00:00 2022 GMT
Not After : May 19 23:59:59 2023 GMT
Subject: CN=my.vodafone.ua
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)

Проверка работы клиента TimesTen на сервере Linux.

Клиент TemesTen лежит здесь /opt/oracle/timesten/. После инсталяции бинарник лежит тут: /opt/oracle/timesten/tt1122/bin/ttlqslcs. При инсталяции в .bash_profile прописываются переменные:

PATH=$PATH:$HOME/.local/bin:$HOME/bin
LD_LIBRARY_PATH=/opt/oracle/timesten/TimesTen/tt1122/lib:/opt/oracle/timesten/TimesTen/tt1122/ttoracle_home/instantclient_11_2:$LD_LIBRARY_PATH
ANT_HOME=/opt/oracle/timesten/TimesTen/tt1122/3rdparty/ant
ODBCINI=/opt/oracle/timesten/TimesTen/tt1122/network/admin/odbc.ini
SYSTTCONNECTINI=/opt/oracle/timesten/TimesTen/tt1122/network/admin/ttconnect.ini
export PATH=$PATH:/opt/oracle/timesten/TimesTen/tt1122/bin/

export PATH LD_LIBRARY_PATH ANT_HOME ODBCINI SYSTTCONNECTINI

Параметры подключения прописываются в /opt/oracle/timesten/TimesTen/tt1122/network/admin.odbc.ini:

[sprcachedb1]
TTC_SERVER=172.20.136.133
TTC_SERVER_DSN=sprcachedb
UID=user
PWD=****
[sprcachedb2]
TTC_SERVER=172.20.136.134
TTC_SERVER_DSN=sprcachedb
UID=user
PWD=****
[sprcachedb3]
TTC_SERVER=172.20.136.135
TTC_SERVER_DSN=sprcachedb
UID=user
PWD=****
[sprcachedb4]
TTC_SERVER=172.20.126.27
TTC_SERVER_DSN=sprcachedb
UID=user
PWD=****
[sprcachedb_test1]
TTC_SERVER=172.20.136.39
TTC_SERVER_DSN=sprcachedb_test1
UID=user
PWD=****

Проверяем:

[]$ ttIsqlCS

Copyright (c) 1996, 2015, Oracle and/or its affiliates. All rights reserved.
Type ? or “help” for help, type “exit” to quit ttIsql.

Command> connect sprcachedb_test1;
Connection successful: DSN=sprcachedb_test1;TTC_SERVER=172.20.136.39;TTC_SERVER_DSN=sprcachedb_test1;UID=user;DATASTORE=/var/timestendata/sprcachedb_test1;DATABASECHARACTERSET=UTF8;CONNECTIONCHARACTERSET=US7ASCII;LOGFILESIZE=1024;LOGBUFMB=1024;LOGBUFPARALLELISM=32;LOGDIR=/var/timestenlog;PERMSIZE=50000;TEMPSIZE=4096;CONNECTIONS=1000;CKPTFREQUENCY=2400;CKPTLOGVOLUME=50;RECOVERYTHREADS=10;PLSQL_MEMORY_SIZE=115;QUERYTHRESHOLD=1;ORACLENETSERVICENAME=SPR;
(Default setting AutoCommit=1)
Command> quit
Disconnecting…
Done.
[]$

Коннект успешный.

Создание самоподписных сертификатов для веб-сервера

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/pki/tls/private/apache-selfsigned.key -out /etc/pki/tls/certs/apache-selfsigned.crt

Рестарт Apache

systemctl restart httpd

Проверка синтаксиса конфига веб-сервера

apachectl configtest

Переадресация HTTP на HTTPS

ServerName your_domain_or_ip
Redirect / https://your_domain_or_ip/

Проверка ошибок при старте или изменения конфига

systemctl status httpd.service

Добавление в автозагрузку Apache
sudo systemctl enable httpd

Вопросы на собеседовании в дежурную смену ИТ.

admin — Mon, 01 Jun 2015 16:42:06 +0000

1. Расчет количества IP в сети

Для расчета количества IP в сети есть все возможные on-line калькуляторы (http://ip-calculator.ru/ и др), под unix системы есть команда ipcalc. Возможностей получить требуемую информацию много, однако стоит знать как высчитать вручную. Имеем сеть 192.168.1.7/30.

IP-адрес состоит из 4 октетов, каждый из которых состоит из 8 бит. Всего 4*8=32 бит. Каждый октет состоящий из 8 бит имеет максимальное значение 255 (2 в 0-й степени+ 2 в 1-й степени+ 2 во 2-й степени+ …2 в 7-й степени=255). Отсчет начинается не с единицы, а с нуля.

/30 – это маска подсети, в которой задействовано 30 из 32 битов. В числовом значении это 255.255.255.252. 30 бит это 8+8+8+6, 6 бит – это 2 в 7-й степени + 2 в 6-й степени + 2 в 5-й степени + 2 в 4-й степени + 2 в 3-й степени+ 2 во 2-й степени = 252.

Маска /29 – это 8+8+8+5 = 255.255.255.248.

Количество IP адресов в сети /30 = 2 во 2-й степени = 4 (2 бита), для сети /29 = 2 в 3-й степени =8 IP(3 бита), для сети /28 – 2 в 4-й степени = 16 IP(4 бита) и т.д.

Для определения IP адресов в сети необходимо IP сети и маску перевести в двоичнй вид.

11000000.10101000.00000001.00000111 IP

11111111.11111111.11111111.11111100 Маска

Поскольку маска имеет 2 бита (выделено красным), то в IP меняем 2 последних бита и пишем всевозможные варианты. Под название сети выделяется IP с наименьшим значением двух последних бит ( 2 последних бита заменяются нулями), под широковещательные пакеты используется максимальное значение двух последних бит(2 последних бита заменяются единицами) :

11000000.10101000.00000001.00000100 – 192.168.1.4 Название сети.

Далее возможные варианты изменения последних 2-х битов в порядке возрастания : 01,10,11, получаем:

11000000.10101000.00000001.00000101 – 192.168.1.5 (IP min, он же IP клиентского ПК).

11000000.10101000.00000001.00000110 – 192.168.1.6 (IP max, он же IP шлюза).

11000000.10101000.00000001.00000111 – 192.168.1.7 (IP широковещательный).

Итого: данная подсеть 192.168.1.7/30 имеет 4 IP адреса, один задействован под номер сети, второй под широковещательные пакеты, третий под адрес шлюза, четвертый – для клиентского ПК. В данной подсети может работать только 1 клиентский ПК.

2. Этапы прохождения e-mail от отправителя к получателю.

Прохождение писем происходит по SMTP протоколу ( Simple Mail Transport Protocol). Предположим мы отправляем письмо с почтового клиента (например Outlook) с адреса user1@i.ua на user2@yandex.ua. В почтовом клиенте обычно прописывается почтовый сервер интернет-провайдера, его адрес предоставляет провайдер. Создав письмо и нажав кнопку “Отправить” почтовая программа по протоколу SMTP обращается на почтовый сервер интернет-провайдера, а тот аналлизирует адрес получателя user2@yandex.ua, разбивает его на 2 части : до @ и после. Далее наш почтовый сервер обращается в ДНС и спрашивает – дай список mx-записей для yandex.ua. ДНС ему отвечает:

yandex.ua MX preference = 10, mail exchanger = mx.yandex.ru

Эта запись означает, что всю почту для @yandex.ua обслуживает единственный сервер сервер mx.yandex.ru. Если бы было 2 записи, то запросы идут на тот, у которого значение MX preference наименьшее. Под Windows есть команда nslookup -q=any yandex.ua , она выдаст вышеуказанную строчку (если вместо mx указать any ДНС выдаст всю информацию по yandex.ua.

Получив сервер получателя наш почтовый сервер по 25 порту по SMTP обращается к mx.yandex.ru (узнает у ДНС его IP) и передает сообщение. Сервер получателя забирает письмо и ложит его в папку user2.

Определения.

ДНС (DNS) – Domain Name Server – сервер доменных имен. Служит для предоставлении информации о соответствии символьного названия домена и его IP адреса, а также для определения почтовых серверов, обслуживающих почту для указанных доменов.

Пример.

nslookup -q=a yandex.ua

Name:yandex.ua

Addresses:87.250.251.11, 93.158.134.8, 77.88.21.11, 87.250.250.8

Видим, что yandex.ua работает на 4-х IP в связи с большой популярностью ресурса.

NAT – Network Address Translation – механизм преобразования IP-адресов. Применяется на маршрутизаторах. При отправке пакета NAT изменяет IP и порт отправителя на IP и порт маршрутизатора, при получении ответа NAT делает обратное преобразование. Применяется для организации работы нескольких рабочих станций из серого диапазона IP при ограниченном количестве белых IP.

DHCP – Dynamic Host Configuration Protocol. Протокол, позволяющий компьютерам автоматически получать IP адреса, маску, шлюз, ДНС. Облегчает работу системных администраторов.

mick, 2015.

В Установка, настройка небольшого интернет сервера на FreeBSD 9.2

admin — Wed, 11 Sep 2013 13:18:00 +0000

В прошлых статьях я описал по отдельность настройки некоторого софта для конкретных целей. Статьи касались 5 и 6 версии FreeBSD, сейчас уже выпущена 9-я и 10-я версия. Поэтому я решил собрать всю информацию вместе и систематизировать. ТЗ. Нам нужен сервер, который будет выступать интернет шлюзом. В сервере 2 сетевых карты, к первой подключен эзернет от модема провайдера, вторая соединена со свичем, к которому подключены пользователи. Сервер будет выдавать динамически ip-адреса, на нем будет установлен фаервол, котрый будет резать ненужный входящий и исходящий трафик по просьбе руководства( world of tanks, countre strike,…). Весь веб трафик будет завернут на веб-сервер и на основании его логов будет построена статистика кто какие ресурсы посещал. Также сервер будет выполнять несколько несвойственным ему функций, нужных именно мне

1. Установка и обновление системы.

Скачиваем установочный образ FreeBSD-9.2-RC3-i386 с ftp7.ua.freebsd.org, устанавливаем. Описывать установку не буду, т.к. она подробно описана в хенбуке. В приведенных ниже ссылках указаны лишь параметры, которые нужно добавить, все остальное убрано для компактности. Для начала проверяем ДНС сервера, если пусто – вводим:

root@inet:/usr/home/mick # cat /etc/resolv.conf
nameserver 195.64.225.197
nameserver 195.64.225.199

При установке какого-либо софта из портов запросы на дистрибутив идет по умолчанию на freebsd.org, мы же укажем системе пусть сначала ищет на украинских зеркалах, находящихся в сети ua-ix. Ранее когда инет по ua-ix был бесплатен, а за зарубежный трафик платили за мегабайты, эта опция была актуальна, сейчас трафик неограниченный, выиграш разве что в скорости.

root@inet:/usr/home/mick # cat /etc/make.conf
MASTER_SITE_BACKUP?= \
ftp://ftp7.ua.freebsd.org/pub/FreeBSD/distfiles/${DIST_SUBDIR}/ \
ftp://ftp5.ua.freebsd.org/pub/FreeBSD/distfiles/${DIST_SUBDIR}/ \
ftp://ftp3.ua.freebsd.org/pub/FreeBSD/distfiles/${DIST_SUBDIR}/ \
ftp://ftp.freebsd.org/pub/FreeBSD/ports/distfiles/${DIST_SUBDIR}/
MASTER_SITE_OVERRIDE?= ${MASTER_SITE_BACKUP}

Теперь сделаем локализацию системы, укажем системе, что язык наш русский и кодировка по умолчанию KOI8-R. Локализацию можно делать на уровне всей системы или только для конкретного юзера. Делаем для всей системы. Устанавливаем переменные окружения LANG и MM_CHARSET в инициализационных файлах оболочки.

root@inet:/usr/home/mick # cat /etc/profile
LANG=ru_RU.KOI8-R; export LANG
MM_CHARSET=KOI8-R; export MM_CHARSET

root@inet:/usr/home/mick # cat /etc//usr/share/skel/dot.profile
LANG=ru_RU.KOI8-R; export LANG
MM_CHARSET=KOI8-R; export MM_CHARSET

Или:

root@inet:/usr/home/mick # cat /etc/csh.login
setenv LANG ru_RU.KOI8-R
setenv MM_CHARSET KOI8-R

root@inet:/usr/home/mick # cat /usr/share/skel/dot.login
setenv LANG ru_RU.KOI8-R
setenv MM_CHARSET KOI8-R

Добавляем в /etc/rc.conf указываем местоположение кодовой таблицы (keymaps), консольных шрифтов для русского языка и кнопки переключения языка клавиатуры (правый shift):

root@inet:/usr/share/syscons/fonts # cat /etc/rc.conf
#RU
keymap=”/usr/share/syscons/keymaps/ru.koi8-r”
keychange=”61 ^[[K”
scrnmap=”koi8-r2cp866″
font8x8=”/usr/share/syscons/fonts/cp866-8.8.fnt”
font8x14=”/usr/share/syscons/fonts/cp866-8.14.fnt”
font8x16=”/usr/share/syscons/fonts/cp866-8.16.fnt”
root@inet:/usr/share/syscons/fonts #

Еще нужно установить тип терминала вместо xtrem – cons25r:

root@inet:/usr/home/mick # cat /etc/ttys
ttyv0 “/usr/libexec/getty Pc” cons25r on secure

Перелогиниваемся, нажимаем паравый Shift и в консоли можем писать по русски. Для наглядости запустим mc (у кого нет ставим из портов /usr/ports/misc/mc) и видим, что менюшки все на русском языке.

Ну вот сделали небольшой тюнинг, перейдем к обновлению системы (мир и ядро). После выхода релиза накапливаются некоторые патчи, изменения, которые со временем входят в следующий релиз. Обновление мира состоит закачке исходников, компиляции и установки из них свежих бинарных файлов пользовательских програм (grep, cat, vi,..). Поскольку релиз 9.2 вышел 2 недели назад, то мне нет смысла пересобирать мир, но я ниже укажу порядок действий как это делать. Для начала нужно закачать исходники. Можно использовать CVS или SVN репозитории. SVN более новая разработки, которая имеет широкие возможности, но я буду использовать CVS, т.к. он не требует установить большое количество дополнительного ПО как SVN и для небольшого сервера он вполне подойдет. В системе установлена программа csup, можно установить из портов cvsup: net cvsup-without-gui (без GUI интерфейса, консольная версия). Принцип действия у их одинаковый, разница в том, что csup написана на C. Конфиг берем отсюда /usr/share/examples/cvsup/ и редактируем под собственные потребности. Директива *default release=cvs tag=RELENG_9 говорит о том, что исходники будут обновлены до 9-й версии STABLE.

root@inet:/etc/my_config # cat stable-supfile
*default host=cvsup6.ua.FreeBSD.org
*default base=/var/db
*default prefix=/usr
*default release=cvs tag=RELENG_9
*default delete use-rel-suffix
*default compress
src-all

Конфиг готов, я положил его в /etc/my_my_config, запускаем. Ключ -g указывает запускать без GUI, L2 – максимальный уровень вывода на экран – будет выводиться все действия:

root@inet:~ # csup -g -L 2 /etc/my_config/stable-supfile

После запуска мы увидим процесс закачки обновлений, займет около получаса при хорошей скорости Интернета. Смотрим размер du -h /usr/src 820M. Исходники закачались.

Собираем World (мир). Рекомендуется вернуть дефолтный /etc/make.conf. Порядок действий:

cd /usr/src
rm -R /usr/obj ( удаляем все /usr/obj – тут хранятся компиллированные файлы из которых потом инсталлирует мир)
make cleandir && make cleandir ( рекмендуют делать именно 2 раза)
make -sj4 buildworld

Перед сборкой желательно зайти в однопользовательский режим.

mount -u /
mount -a
/usr/src/usr.sbin/mergemaster -p
cd /usr/src
make installworld
mergemaster
reboot
cd /usr/src
make delete-old

В процессе инсталляции рекомендуется запускать программу mergemaster. Она сравнивает текущие конфигурационные файлы /etc с /usr/src/etc и если есть разница предлагает на выбор или оставить старый или новый или объединить. Желательно использовать новые файлы, но если работает какое-либо ПО, то нужно проанализировать новые изменения на предмет работоспособности. По хорошему старый /etc желательно сохранить.

Сборка ядра. В ядре хранятся модули программ и поддержка аппаратных устройств. Программы, встроенные в ядро работают быстрее, чем подгружаемые модули. По умолчанию в системе используется ядро GENERIC, местоположение /usr/src/sys/i386/conf. Но хранить там собственное ядро нежелательно, поскольку может быть удалено при последующих обновлениях. Мы создадим свою папку с файлами конфигураций/etc/my_config , скопируем сюда GENERIC, переименуем его и добавим нужные нам опции.

#mkdir /etc/my_config
# cd /usr/src/sys/i386/conf
#cp GENERIC /etc/my_config/
# mv /etc/my_config/GENERIC /etc/my_config/MICKIPFW
#ln -s /etc/my_config/MICKIPFW (создаем символическую ссылку на файл /etc/my_config/MICKIPFW)

В файл ядра добавляем следующие опции:

ident MICKIPFW
#
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPFIREWALL_FORWARD
options IPDIVERT
options DUMMYNET
options IPFILTER
options IPFILTER_LOG

Эти опции для работы нужны для работы фаервола, о котором речь пойдет позже.

cd /usr/src
rm -R /usr/obj
make cleandir && make cleandir
make -sj4 builkernel KERNCONF=MICKIPFW
make installkernel KERNCONF=MICKIPFW
reboot

Если в процессе сборки и установки никаких ошибок не возникло после ребута командой uname -a увидим, что новое ядро работает. При инсталяции /boot/kernel переименовывается в /boot/kernel.old. Если после инсталяции система не грузится можно при загрузке указать грузиться с /boot/kernel.old и стартанет старое ядро.

Обновление портов.

Обновлять порты можно с пмощью cvsup или portsnap. Будем использовать второй вариант, поскольку cvsup утсаревшее ПО. При первом запуске:

root@inet:/usr/home/mick # portsnap fetch
Looking up portsnap.FreeBSD.org mirrors… 7 mirrors found.
Fetching public key from ec2-eu-west-1.portsnap.freebsd.org… done.
Fetching snapshot tag from ec2-eu-west-1.portsnap.freebsd.org… done.
Fetching snapshot metadata… done.
Fetching snapshot generated at Fri Sep 13 03:04:34 EEST 2013:
ced2dfabe1a0a7ca68bedad7f042f8d1c0a9ac7882e963 26% of 69 MB 181 kBps 05m47s
root@inet:/usr/home/mick # portsnap extract

В дальнейшем:

root@inet:/usr/home/mick # portsnap fetch
root@inet:/usr/home/mick # portsnap update

Можно в крондобавить раз в неделю запускать portsnap fetch && portsnap update. Есть еще хорошая програмка portupgrade(/usr/ports/ports-mgmt/portupgrade), которая может обновлять порты до последних версий.

Команда pkg_version -v показывает какие установлены программы и нужно ли их обновлять.

portupgrade -nr port_name – информация о будущей установки пакета и какие зависимости будут установлены.

portupgrade -ir port_name – опция -i – указывает спрашивать пользователя, если есть выбор при установке, опция -r – обновлять все зависимости при установке.

Есть еще интерессная программа portdowngrade, которая позволяет инсталлировать прошлые версии программ.

2.Установка и настройка DHCP-сервера.

Наш сервер будет выдавать динамически IP-адреса для пользователей. Для этих целей устанавливает порт /usr/ports/net/isc-dhcp42-server/. Дефолтный конфиг нам не подходит, там много лишнего, вот мой конфиг, лежит /usr/local/etc/dhcp.conf:

option domain-name-servers 195.64.225.197,195.64.225.199; # определяем ДНС сервера провайдера
default-lease-time 43200;#время аренд ip адреса
max-lease-time 43200;#максимальное время аренд ip адреса
authoritative; # наш сервер является авторизованных главным сервером для нашей сети
log-facility local7; # куда пишем логи
subnet 192.168.210.0 netmask 255.255.255.0 {
range 192.168.210.100 192.168.210.200;
option routers 192.168.210.1;
option broadcast-address 192.168.210.255;
}#Тут определяем нашу подсети, диапазон выделяемых ip,щлюз, бродкаст, эти все данные сервер будет выдавать пользователям.
host Xerox_sekretar {hardware ethernet 9c:93:4e:08:1b:83; fixed-address 192.168.210.2;}
host dlink2 {hardware ethernet 00:17:9a:83:3f:5e; fixed-address 192.168.210.3;}
host 1C {hardware ethernet 20:cf:30:8a:d5:2c; fixed-address 192.168.210.6;}
host icc-bd {hardware ethernet 8c:89:a5:68:85:13; fixed-address 192.168.210.7;}
host Admin {hardware ethernet 48:5b:39:d2:a7:58; fixed-address 192.168.210.8;}
host Sekretar {hardware ethernet 00:0d:87:d4:c9:2f; fixed-address 192.168.210.10;}
host Kosiuk {hardware ethernet 00:22:15:8e:72:1f; fixed-address 192.168.210.11;}
host Lytkina {hardware ethernet 00:1e:68:fb:7a:4a;fixed-address 192.168.210.12;}
host Suprunyuk {hardware ethernet 00:30:67:3e:c6:11;fixed-address 192.168.210.13;}
host Novohatska {hardware ethernet c8:60:00:d0:0a:dd;fixed-address 192.168.210.14;}
host Tarnavska {hardware ethernet 00:0a:48:0d:33:5a;fixed-address 192.168.210.15;}
host Xerox_lytkina {hardware ethernet 00:00:aa:cc:91:74;fixed-address 192.168.210.16;}
host Xerox_bugalt {hardware ethernet 00:00:aa:cc:26:22;fixed-address 192.168.210.17;}
host Pasechnik {hardware ethernet 00:23:08:b7:57:47;fixed-address 192.168.210.18;}
host Zavhoz {hardware ethernet 00:50:8d:68:cc:3b;fixed-address 192.168.210.19;}
host Tereshkovich {hardware ethernet 20:16:d8:85:61:c5;fixed-address 192.168.210.20;}
host Khalak {hardware ethernet 8c:89:a5:d9:ca:a7;fixed-address 192.168.210.21;}
host Dlink1 {hardware ethernet 00:17:9a:75:a0:f5;fixed-address 192.168.210.22;}
host Stepnyk {hardware ethernet 00:15:af:45:5a:11;fixed-address 192.168.210.23;}
host Suhareva {hardware ethernet 50:46:5d:73:4f:dd;fixed-address 192.168.210.25;}
host Gorbatsevich {hardware ethernet 00:15:af:59:a7:40;fixed-address 192.168.210.26;}
host Kabanets {hardware ethernet c8:60:00:d0:09:da;fixed-address 192.168.210.27;}

В директиве host указывается какой ip назачать для конкретного mac-адреса сетевой. Это нам нужно в дальнейшем, когда будет строиться статистика по использованию веб-траффика по каждому сотруднику. Конфин настроили, добавляем в /etc/rc.conf:

#DHCP
#ifconfig_re1=”DHCP”
dhcpd_enable=”YES”                          # dhcpd enabled?
dhcpd_flags=”-q”                            # command option(s)
dhcpd_conf=”/usr/local/etc/dhcpd.conf”      # configuration file
dhcpd_ifaces=”re1″                             # ethernet interface(s)
dhcpd_withumask=”022″                       # file creation mask

Добавляем в /etc/syslog.conf нижеуказанные строчки и создаем файл var/log/dhcpd.log.

local7.* /var/log/dhcpd.log

Ребутим машину или рестартим службу /etc/syslogd restart && /usr/local/etc/rc.d/isc-dhcpd start. На клиентах должен повиться ip, в логах /var/log/dhcp.log:

Sep 13 22:36:17 inet dhcpd: DHCPREQUEST for 192.168.210.11 from 00:22:15:8e:72:1f via re1
Sep 13 22:36:17 inet dhcpd: DHCPACK on 192.168.210.11 to 00:22:15:8e:72:1f via re1
Sep 13 22:37:53 inet dhcpd: DHCPINFORM from 192.168.210.11 via re1
Sep 13 22:37:53 inet dhcpd: DHCPACK to 192.168.210.11 (00:22:15:8e:72:1f) via re1

В /var/db/dhcpd/dhcpd.leases:

lease 192.168.210.11 {
starts 2 2013/09/10 11:48:41;
ends 2 2013/09/10 14:12:41;
cltt 2 2013/09/10 11:48:41;
binding state active;
next binding state free;
rewind binding state free;
hardware ethernet 00:22:15:8e:72:1f;
uid “\001\310`\000\320\012\335″;
client-hostname “Novohatska”;

3. Настройка IPNAT и IPFW.

Ранее, когда мы обирали вое ядро были включены в ядро IPFW и IPFILTER. Ели этого не делать работать будет как модуль, но скорость будет ниже. Итак, что мы включили в ядро:

PFIREWALL – включение в ядро ipfw;
IPFIREWALL_VERBOSE – ведение логов ipfw;
IPFIREWALL_VERBOSE_LIMIT=100 – максимальное количество записей в секунду в логах;
IPFIREWALL_DEFAULT_TO_ACCEPT – если нет правил – пакеты все проходят;
IPFIREWALL_FORWARD – для настройки форварда пакетов (необходим для transparent squid);
IPDIVERT – включение natd в ядро;
DUMMYNET – системное средство применяется для регулирования трафика, шейпера;
IPFILTER – включение в ядро ipfilter;
options IPFILTER_LOG – включение записи логов.

Для того, чтобы пользователь смогли выходить в интернет нужно пробрасывать пакеты с внутреннего интерфейса на внешний. Сделать это можно посредством опции DIVERT демона NATD или IPNAT. Я использую IPNAT. Прописываем в /etc/rc.conf следующее:

gateway_enable=”YES”
firewall_enable=”YES”
firewall_script=”/etc/my_config/ipfw.rules”
firewall_quiet=”NO”
firewall_logging=”YES”
ipnat_enable=”YES”
ipnat_rules=”/etc/ipnat.rules”
ipmon_enable=”YES”
ipmon_flags=”-Dva /var/log/ipmon.log”
#natd_enable=”YES”
#natd_interface=”re0″
#natd_flags=””

Тут gateway_enable=”YES” указывает серверу быть шлюзом интернета, эта запись меня меняет значение с 0 на 1 параметра ip.fw net.inet.ip.fw.enable.

root@inet:/var/log # sysctl -a | grep net.inet.ip.fw.enable:
net.inet.ip.fw.enable: 1

Далее в rc.conf прописан запуск IPFW со списком правил /etc/my_config/ipfw.rules. Стартует IPNAT с конфигом /etc/ipnat.rules, IPMON, который пишет логи в /var/log/ipmon.log (нужно создать вкучную). В /etc/ipnat.rules прописаны правила:

root@inet:/var/log # cat /etc/ipnat.rules
map re0 192.168.210.0/24 -> 195.64.226.196/32 portmap tcp/udp 40000:60000

Тут указано, что пакеты пришедшие на внешний интерфейс re0 с подсети внутренней сети 192.168.210.0/24 перенаправлять на внешний ip при этом порты подменяются на высокие в диапазоне 40000-60000. Если пользователь в браузере введет какой-либо сайт его запрос обратиться на шлюз по умолчанию ,IPNAT увидит, что пакет хочет на внешний интерфейс, подменит адрес внутренний ip отправителя на внешний ip сервера и подменит порт на из высокого диапазона. IPMON все эти действия запишет в /var/log/ipmon.log. Если использовать natd, то нужно раскомментировать его в /etc/rc.cong и добавить в правилах фаервола директивой DIVERT форвард пакетов на внешний интерфейс.

Теперь рассмотрим правила /etc/my_config/ipfw.rules. Идея следующая – сначала разрешаем нужные нам сервисы, все остальное запрещаем.

#!/bin/sh
#Назначаем переменные, путь к ipfw, внешний,внутренний интерфейс, внешний,внутренний ip, список ip, которым разрешен доступ на SSH.
cmd=”/sbin/ipfw”
if_ext=”re0″
if_int=”re1″
ip_ext=”195.64.226.196″
ip_int=”192.168.210.1″
sshpass=”178.137.X.X,195.238.X.X”

${cmd} 1 add allow ip from 178.137.X.X to any
${cmd} 2 add allow ip from any to 178.137.X.X

# Проверяем – соответствует ли пакет динамическим правилам:
${cmd} 3 add check-state

# Разрешаем весь траффик по внутреннему интерфейсу (петле)
${cmd} 10 add allow ip from any to any via lo0
${cmd} 11 add deny ip from any to 127.0.0.0/8
${cmd} 12 add deny ip from 127.0.0.0/8 to any

# запреты:
# режем частные сети на внешнем интерфейсе
${cmd} 20 add deny ip from any to 10.0.0.0/8 in via ${if_ext}
${cmd} 21 add deny ip from any to 172.16.0.0/12 in via ${if_ext}
${cmd} 22 add deny ip from any to 192.168.0.0/16 in via ${if_ext}
${cmd} 23 add deny ip from any to 0.0.0.0/8 in via ${if_ext}
# рубим траффик к частным сетям через внешний интерфейс
# заметтьте – эти правила отличаются от тех что были выше!
${cmd} 24 add deny ip from 10.0.0.0/8 to any out via ${if_ext}
${cmd} 25 add deny ip from 172.16.0.0/12 to any out via ${if_ext}
${cmd} 26add deny ip from 192.168.0.0/16 to any out via ${if_ext}
${cmd} 27 add deny ip from 0.0.0.0/8 to any out via ${if_ext}

# рубим автоконфигуреную частную сеть
${cmd} 30 add deny ip from any to 169.254.0.0/16 in via ${if_ext}
${cmd} 31 add deny ip from 169.254.0.0/16 to any out via ${if_ext}

# рубаем мультикастовые рассылки
${cmd} 40 add deny ip from any to 240.0.0.0/4 in via ${if_ext}
${cmd} 41 add deny ip from 224.0.0.0/4 to any out via ${if_extt}

# рубим фрагментированные icmp
${cmd} 50 add deny icmp from any to any frag
# рубим широковещательные icmp на внешнем интерфейсе
${cmd} 51 add deny log icmp from any to 255.255.255.255 in via ${if_ext}
${cmd} 52 add deny log icmp from any to 255.255.255.255 out via ${if_ext}

# разрешаем все установленные соединения (если они установились –
# значит по каким-то правилам они проходили:)
${cmd} 60 add allow tcp from any to any established

# разрешаем весь исходящий траффик (серверу-то в инет можно? :))
${cmd} 70 add allow ip from ${ip_ext} to any out xmit ${if_ext}

# разрешаем DNS снаружи (нам же надо узнавать IP по именам машин?)
${cmd} 80 add allow udp from any 53 to any via ${if_ext}

# разрешаем UDP (для синхронизации времени – 123 порт)
${cmd} 90 add allow udp from any to any 123 via ${if_ext}

# разрешаем ftp снаружи (оба правила – для пасивного режима)
# для узнавания портранджа по которому будет работать, лезем в
#/usr/home/lissyara/>sysctl net.inet.ip.portrange.first
# net.inet.ip.portrange.first: 49152
# /usr/home/lissyara/>sysctl net.inet.ip.portrange.last
# net.inet.ip.portrange.last: 65535
${cmd} 100 add allow tcp from any to ${ip_ext} 21 via ${if_ext}

# разрешаем некоторые типы ICMP траффика – эхо-запрос,
# эхо-ответ и время жизни пакета истекло
${cmd} 110 add allow icmp from any to any icmptypes 0,8,11

# открываем снаружи SSH порт – если надо будет ходить на машину по ssh
${cmd} 120 add allow tcp from ${sshpass} to ${ip_ext} 443 via ${if_ext}

#Разрешено все внутри сети
${cmd} 130 add allow ip from any to any via ${if_int}

#Запрещено весь отальной траффик
${cmd} 900 add deny ip from any to any 137,138,30311
${cmd} 901 add deny udp tcp from any to any
${cmd} 902 add deny log logamount 10000 tcp from any to any

В самом конфиге все прозрачно описано, был взят с сайта www.lissyara.su. В первом правиле я разрешил все для своего домашнего ip. Далее режем на внешнем интерфейсе что не должно появиться, разрешаем все внутри сети, снаружи ДНС, сиснхронизацию времени, FTP, SSH. В 900 правиле режутся порты,137,139,30311, в 901 udp пакеты – те, которые я не хочу видеть в логах. Все остальное пишется в логи, при этом игнорируется значение, указанное в ядре IPFIREWALL_VERBOSE_LIMIT=100 – 100 строк в логе. Опция logamount 10000разрешает 10000 записей. Когда идет атака на сервер записи в логах могу разростись до больших значений и когда достигнут значения 100( указано в ядре) данные не пишутся. В кроне прописываем:

root@inet:/var/log # cat /etc/crontab | grep ipfw
* */3 * * * root “/sbin/ipfw zero”

Опция zero обнулит счетчик ipfw, тогда в логи снова будут писать данные. Сделано на всякий случай, если количество записей после последнего обнуления достигнут 10000. Пропишем ротацию логов:

root@inet:/var/log # cat /etc/newsyslog.conf | grep security
/var/log/security 600 10 500 * JC

Логи ipfw пишутся в /var/log/security, в /etc/newsyslog.conf указываем, что хранить не 10 файлов, при достижении размера файла 500 кб архивировать. Рестартуем сервер или службы /etc/rc.d/ipfw restart, /etc/rc.d/syslogd restart, /etc/rc.d/syslogd restart. Влогах может появиться запись last message repeated 45 times. Это определяется строкой в ядре IPFIREWALL_VERBOSE_LIMIT=100. При получении одинаковых 145 сообщений 100 запишется и в конце last message repeated 45 times.

4.Установка и настройка прокси-сервера SQUID.

Для того, чтобы собирать статистику по веб-трафику пользователей, нужно все запросы на 80 и 443 порт пропускать через прокси-сервер, далее анализатором логом парсить данные в таблицы и черз http просматривать. В качестве прокси используем /usr/ports/www/squid. При установке выбираем с какими опциями собран порт. Мы используем IPNAT для редиректа портов, поэтому обязательно нужно собирать с опцией IPFILTER. У меня собрано с такими опциями:

root@inet:/usr/ports/www/squid # make showconfig
===> The following configuration options are available for squid-2.7.9_4:
ARP_ACL=off: Enable ACLs based on ethernet address
AUFS=off: Enable the aufs storage scheme
CACHE_DIGESTS=off: Enable cache digests
CARP=on: Enable CARP support
COSS=off: Enable the COSS storage scheme
DELAY_POOLS=on: Enable delay pools
DNS_HELPER=off: Use the old ‘dnsserver’ helper
FOLLOW_XFF=off: Follow X-Forwarded-For headers
HTCP=on: Enable HTCP support
IDENT=on: Enable ident (RFC 931) lookups
IPFILTER=on: Enable transp. proxying with IPFilter
KERB_AUTH=on: Install Kerberos authentication helpers
KQUEUE=on: Use kqueue(2) instead of poll(2)
LARGEFILE=off: Support log and cache files >2GB
LDAP_AUTH=off: Install LDAP authentication helpers
NIS_AUTH=on: Install NIS/YP authentication helpers
PF=off: Enable transparent proxying with PF
PINGER=on: Install the icmp helper
REFERER_LOG=off: Enable Referer-header logging
SASL_AUTH=on: Install SASL authentication helpers
SNMP=off: Enable SNMP support
SSL=off: Enable SSL support for reverse proxies
STACKTRACES=off: Create backtraces on fatal errors
STRUCT_HTTP=off
USERAGENT_LOG=off: Enable User-Agent-header logging
VIA_DB=off: Enable forward/via database
WCCP=on: Enable Web Cache Coordination Prot. v1
WCCPV2=off: Enable Web Cache Coordination Prot. v2
===> Use ‘make config’ to modify these settings

Опции сборки порта также можно посмотреть в файле /var/db/ports/www_squid/options или /usr/ports/www/squid сделать make config. Добавляем squid_enable=”YES” в /etc/rc.conf. Настраиваем конфиг /usr/local/etc/squid/squid.conf:

#2013-09-18_http://www.lissyara.su/articles/freebsd/programms/squid+ad/
http_port 192.168.210.1:8080 transparent
error_directory /usr/local/etc/squid/errors/Russian-1251
# список слов, которые будучи обнаруженными в URL вызывают обработку без кэширования
hierarchy_stoplist cgi-bin ?
# список ACL которые вызывают несовпадение с кэшем,
# и, запрос с ответом кэшироваться не будут
acl QUERY urlpath_regex cgi-bin \?
# собственно – правило что не кэшируем
no_cache deny QUERY
# сколько отдаём ему памяти (реально пожрёт втрое больше)
cache_mem 512 MB
# Директория для кэша, числа – размер кэша в Mb,
# число директорий первого уровня, число директорий второго уровня в каждой директории первого.
cache_dir ufs /var/squid/cache 3000 16 256
# лог доступа
cache_access_log /var/squid/logs/access.log squid
cache_log /var/squid/logs/cache.log
# лог активности менеджера хранилища. Показывает, какие
# объекты были сохранениы/удалены из кэша и как долго.
# мне он не нужен, а места занимает прилично.
cache_store_log none
pinger_program /usr/local/libexec/squid/pinger
cache_swap_high 95
cache_swap_low 90
maximum_object_size 4096 KB
minimum_object_size 0 KB
cache_mgr admin@medigran.com.ua
visible_hostname medigran.com.ua
tcp_outgoing_address 195.64.226.196
udp_outgoing_address 195.64.226.196
#ACL
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl office src 192.168.210.0/24
acl manager proto cache_object
acl shaper src 192.168.210.200
acl admins src 192.168.210.8
acl SSL_ports port 443 563 5190
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl access_denied dstdomain “/usr/local/etc/squid/access_denied”
http_access deny access_denied all
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow admins all
http_access allow office all
http_access deny all
#
#Delay Pool
#Задаем количество пулов -2
delay_pools 2
# задется сначала номер пула(2), потом клас его клас 1
delay_class 1 1
#первое значение – сколько байт скачается на максимальной скорости,второе – скорость последующая в байтах 1Мбит=128кбайт=131072 байт
#delay_parameters 1 -1/-1 снятие всех ограничений
#Класы: 1. Ограничение общей скорости для всех хостов из группы.Самій распространенный, его и используем.
#2.Общая скорсоть для всей сети и конкретно по каждому пользователю
#3. Ограничивает общая скорость для сети, для группы ipи на конкретный ip
delay_parameters 1 1000/131072
#доступ или запрет по конкретному пулу
delay_access 1 allow shaper
delay_access 1 deny all
#
delay_class 2 1
delay_parameters 2 1310720/1310720
delay_access 2 allow office
delay_access 2 deny all

В конфиге указано, что логи будут складываться в /var/squid/logs/access.log , через прокси разрешен доступ на некоторые порты (safe_ports), в файле /usr/local/etc/squid/access_denied описывается список запрещенных сайтов, создано 2 пула для ограничения скорости для конкретных пользователей. Для создания кеша в консоли выполняем squid -z . В /etc/rc.conf пишем squid_enable=”YES”. Ребутаем или стартуем /usr/local/etc/rc.d/squid start. Если мы в свойствах обозревателя укажем наш прокси мы попадем в интернет и в логах отобразится запись. Но нам нужно сделать прозрачный без прописывания прокси, для этого IPNAT будет форвардить весть http траффик на 8080 порт нашего прокси сервера:

root@inet:/ # cat /etc/ipnat.rules
map re0 192.168.210.0/24 -> 195.64.226.196/32 portmap tcp/udp 40000:60000
rdr re1 0/0 port 80 -> 192.168.210.1 port 8080 tcp
root@inet:/ # /etc/rc.d/ipnat reload
787 entries flushed from NAT table
2 entries flushed from NAT list

5.Установка и настройка анализатора логов Lightsquid и веб-сервера Apache.

Для анализа логов устанавливаем /usr/ports/www/lightsquid/. Порт не собирался и выдавал ошибку. Смотрим в .usr/ports/UPDATING, там указано “20130612:Please rebuild all Perl ports and all ports that depend on it”. Поменялась конфигурация perl, его нужно переустановить. Делаем portupgrade -rf perl, после чего lightsquid успешно установился.Открываем конфиг /usr/local/etc/lightsquid/lightsquid.cfg и правим:

#!/usr/bin/perl
# ——————– GLOBAL VARIABLES —————————

#где находятся cfg
$cfgpath             =”/usr/local/etc/lightsquid”;
#где находятся шаблоны
$tplpath             =”/usr/local/www/lightsquid/tpl”;
#где смотреть языки
$langpath            =”/usr/local/share/lightsquid/lang”;
#куда будет слаживаться статистика
$reportpath          =”/usr/local/www/lightsquid/report”;
#откуда парсить
$logpath             =”/var/squid/logs”;
#где брать данные о предобразовании ip в имена
$ip2namepath         =”/usr/local/libexec/lightsquid”;

#path to `lockfile`
$lockpath            =$reportpath;

#удалить старый лок-файл, если он старше $maxlocktime second
$maxlocktime         = 30*60;

#if 1 – lightparser generate some statistic
$debug               = 0;
#if 1 – lightparser generate skip details, 2 …, 3 …, ….
$debug2              = 0;

# ——————– LightParser VARIABLES —————————
#тип логов, 0 -родной, 1 – httpd
$squidlogtype        = 0;

#не учитывать указанные сайты в статистике
#$skipurl             = ‘zdd\.com|192\.168\.1\.|cnn\.com';
$skipurl             = ‘zzz\.zzz';

#ip2name использовать шаблон /usr/local/libexec/lightsquid/ip2name.list. В єтом файле указываем my $ipfile = “/etc/hosts”.Преобразовывать ip в имена
$ip2name=”list”;

#Если нужно – преобразование text в число
%month2dec = ( Jan => 1, Feb => 2, Mar => 3, Apr => 4, May => 5,Jun => 6,
Jul => 7, Aug => 8, Sep => 9, Oct => 10, Nov => 11,Dec => 12);

# ——————– Common (Parser & Web) VARIABLES ———————-
#create & use time report statistic (logsize = logsize*2) ;-))
$timereport          = 1;

# ——————– WEB VARIABLES —————————————-

#язык интерфейса – bg,eng,fr,hu,it,pt_br,ru,sp
$lang                =”ru”;

#имя шаблона, смотреть `tpl/$templatename/`
$templatename        =”base”;
#$templatename        =”ric”;
#$templatename        =”base.css”;

#define type of decimal output
#fine 123456789 -> 123,456,789
#class 123456789 ->       117.7 G
$DecOutType=”class”;

# define delimiter for thousands (in `fine` mode)
# = ” ” -> 12 345 678
# = “,” -> 12,345,678
# = “” ->   12345678
$decdelimiter        = ” “;

#if you dont need Group mode, do =0
$showgrouplink       = 1;

#if not zero, groups look like “01. Group1″, if zero – “Group1″
$showgroupid         = 1;
$showoversizelink    = 1;

#show how many data user send to internet
$showputpost         = 0;
#if putpost higer this variable (in percent), highlight it
$putpostwarninglevel =15;

#использование .realname files
$userealname         = 1;

#большие файлы 2Mб
$bigfilelimit        = 2*1024*1024;

#Лимит трафик для пользователя( в статистике показано – превысил)
$perusertrafficlimit = 1000*1024*1024;

# недельный режим отображения
$weekendmode=”both”;

#сколько сайтов показывать в Top
$topsiteslimit       = 500;

#сколько сайтов показывать в .pthcrjq cnfnbcnbrt
$usertimelimit       = 200;

#if you want user traffic GRAPHIC report, set it in 1
#WARNING !!!, need libgd, GD.PM & other external modules !!!
#please run check-setup.pl for check library !!!!
$graphreport         = 1;

#Максимальное значение в графическом отчете
# for user month report (0.05*(…) = 50mb)
$graphmaxuser=0.05*(1024*1024*1024);
# for all user month report (1.05*(…) = 1 Gb)
$graphmaxall =0.80*(1024*1024*1024);

#Тема для графиков, бывает “orange”,”blue”,”green”,”yellow”,”brown”,”red”
$barcolor=”orange”;

После всех изменений парсим:

14:25 mick@[/usr/ports]# /usr/local/www/lightsquid/lightparser.pl
14:25 mick@[/usr/ports]# cd /usr/local/www/lightsquid/ && ./check-setup.pl
LightSquid Config Checker, (c) 2005-9 Sergey Erokhin GNU GPL

LogPath   : /var/squid/logs
reportpath: /usr/local/www/lightsquid/report
Lang      : /usr/local/share/lightsquid/lang/ru
Template : /usr/local/www/lightsquid/tpl/base
Ip2Name   : /usr/local/libexec/lightsquid/ip2name.list

all check passed, now try access to cgi part in browser

Заносим в /etc/crontab:

14:27 mick@[/usr/local/www/lightsquid]# cat /etc/crontab | grep light
#Squid & lightsquid
*/10 * * * * root /usr/local/www/lightsquid/lightparser.pl
1 0 * * * root /usr/local/www/lightsquid/lightparser.pl && /usr/local/sbin/squid -k rotate

Тут каждые 10 минут lightparser.pl парсит лог сквида, в 00:01 парсится лог сквида, создается новый файл текущего дня и заносится статистика за период 00:00-00:01 после выполнения ротируется лог сквида. Если ротацию производить например утром в 08.00, то парсер увидит, что в логе данные начинаются с 08:00 и старые данные затрет и статистика начнется с 08.00, т.е. потеряем данные. Статистика у нас есть, теперь мы должны ее визуально увидеть черед браузер. Для этого установим веб-сервер /usr/ports/www/apache22. В /etc/rc.conf добавляем apache22_enable=”YES”. Открываем конфиг апача /usr/local/etc/apache22/httpd.conf и правим конфиг. Ниже укажу только те строки которые меняем, остальное остается по умолчанию без изменений:

Listen *:80 – слушать 80 порт на всех интерфейсах, если нужно на конкретном , то пишем IP:80

ServerName www.stat.medigran.com:80 – указываем имя сервера, без этого служба не стартует

AllowOverride None
Order deny,allow
# Deny from all # комментируем мы, строка по умолчанию раскомментирована.

Alias /lightsquid/ “/usr/local/www/lightsquid/”

AddHandler cgi-script .cgi
AllowOverride All

Последний блок – мы прописываем алиас /lightsquid по которому будет доступна статистика.Стартуем веб-сервер, открываем в браузере http://IP/lightsquid и смотрим статистику.

Настройка OpenVpn.

admin — Tue, 20 Mar 2012 14:14:28 +0000

За основу взята статья mak_v_ по первой ссылке. Задача – организовать доступ по защищенному шифрованному каналу к серверу. Сервер – FreeBSD 6.3-RELEASE-p3, два интерфейса:
ed0 – внешний, смотрящий к провайдеру IP 111.111.111.111/30;
em0 – внутренний, смотрящий в локальную сеть IP 192.168.210.1/24.
Удаленные клиенты – Windows XP.
Схема работы – любой сетевой трафик, принимаемый и посылаемый сетевухой инкапсулируется в зашифрованый пакет и доставляется получателю, у него он инкапсулируется и доставляется в локальную сеть. Почему OpenVPN – есть похожий порт /usr/ports/net/mpd5 с помощью которого можно организовать защищенный канал, но он работает на протоколе GRE, который не имеет понятия о портах, посему организовать тунель из под NAT невозможно, только с честных IP.
Основные плюсы OpenVPN:
– кроссплатформенный, работает Windows 2000/XP/2003/Vista, Linux, Free/Net/OpenBSD, Mac OS X и Solaris;
– поддержка режимов маршрутизации (routed) и мостов (bridged), т.е. тунелирует и IP-пакеты и Ethernet-фреймы;
– для транспорта использует tcp или udp – может работать поверх Nat.
– клиентам по умолчанию назначают динамические IP-номера, но можно и прописать по каждому статически;
– ассиметрическое шифрование с использованием статических ключей SSL/TLS-сертификатов.

Устанавливаем из портов:
# cd /usr/ports/security/openvpn
# make install clean
В make.conf нужно проследить, чтобы не стояла опция NOPORTDOCS=true(по умолчанию ее нет). Создаем папку /usr/local/etc/openvpn и туда копируем комплект скриптов для создания cертификатов /usr/local/share/doc/openvpn/easy-rsa:
# mkdir /usr/local/etc/openvpn
# cp /usr/local/share/doc/openvpn/easy-rsa /usr/local/etc/openvpn
Теперь нам нужно изменить файлик vars, в котором определяются переменные, необходимые для создания скриптов, я изменил только следующие параметры:

export KEY_COUNTRY=Ua
export KEY_PROVINCE=none
export KEY_CITY=Kiev
export KEY_ORG=”OpenVPN-Firmaname”
export KEY_EMAIL=”admin@firma.com.ua”

В дальнейшем все команды будем выполнять в шеле sh. Определяем переменные оболочки:
# sh
# cd /usr/local/etc/openvpn/easy-rsa
# . ./vars
NOTE: when you run ./clean-all, I will be doing a rm -rf on /usr/local/etc/openvpn/easy-rsa/keys
# sh clean-all
Скрипт clean-all проверяет наличие папки /usr/local/etc/openvpn/easy-rsa/keys, если ее нет – она создается, если есть – очищается от содержимого. Теперь создаем корневой и серверный (X.509) сертификат:
# sh build-ca
# sh build-key-server server
На все вопросы отвечаем enter-ом, кроме поля Common Name – пишем server. При создании серверного сертификата указываем пароль и подписываем этот сертификат корневым – два раза отвечаем yes.

Создаем сертификат и ключ для клиента:
# sh build-key user1
# sh build-key user2 …
Ответы на вопросы – аналогично ответам при создании серверного сертификата, только поле Common Name для user1 указываем user1, для user2 указываем user2 и т.д. Этих ключей можно создавать столько сколько клиентов. !!! Если ключ создается позже, по мере необходимости, то перед созданием нужно запускать . ./vars для того ,чтобы определить переменные.

Для более надежной защиты данных при установке соединения клиента с сервером создаем ключ Диффи-Хельмана:
# sh build-dh

Создаем статический ключ HMAC (shared secret) – применяется клиентом и сервером для снижения вероятности проведения DoS-атаки на сервер:
# openvpn –genkey –secret keys/ta.key
# exit

Ключи и сертификаты создали. Теперь определим что нужно серверу, а что клиенту

Серверу	Клиенту
ca.crt – главный сертификат
dh1024.pem – ключ Диффи Хельмана
server.crt – сертификат сервера	user1.crt – сертификат клиента
server.key – ключ сервера	user1.key – ключ клиента
ta.key – TLS-ключ	ta.key – TLS-ключ

Теперь настроим сервер. Берем дефолтный конфиг, копируем его в нашу созданную папку openvpn и правим.
# cp /usr/local/share/doc/openvpn/sample-config-files/server.conf /usr/local/etc/openvpn/server.conf
# ee server.conf

# На каком IP будет открыт порт для подключенияч клиентов к серверу, если не указывать слушается порт на всех интерфейсах.
;local a.b.c.d

# Какой порт.
port 2000

# Тип пакета tcp или udp.
proto tcp

# Указание типа девайса: tun используется для постоения маршрутизированного ip-тунеля, tap – для ethernet тунеля, используется для режима моста, когда объединяются 2 сети. В нам случае использем tun, т.к. наш сервер будет принимать подключения от многих клиентов, которых нужно зароутить в локальную сеть, при этом отображаться компьютеры в пределах рабочей группы не будут, т.к. запросы по ходят по бродкастах, которые не могут быть зароучены, открыть сетевые папки можно будет только по IP. Для отображения компов рабочей группы нужно использовать режим моста.
dev tun

# Для Window можно задать название TAP-Win32-адаптера, если он у Вас не один, например, в сетевых подключения обычно адаптер называется “Подключение по локальной сети 2(3,4,…)”, меняем название на VPN1, в конфиге указываем dev-node VPN1 и именно этот адаптер будет использоваться при подключениях. Мне это не нужно.
;dev-node MyTap

# Указание размещения SSL/TLS корневого сертификата, сертификата сервера и его ключ, ключ Диффи-Хельмана.
ca /usr/local/etc/openvpn/easy-rsa/keys/ca.crt
cert /usr/local/etc/openvpn/easy-rsa/keys/server.crt
key /usr/local/etc/openvpn/easy-rsa/keys/server.key
dh /usr/local/etc/openvpn/easy-rsa/keys/dh1024.pem

# Задаем виртуальную подсеть, из которой будут выделять IP клиентам, только для режима routed, если режим bridged – нужно закоментировать. Сервер берет из себе первый IP-номер – 192.168.210.1.
server 192.168.220.0 255.255.255.0

# Файлик(кеш), в котором будет храниться соответствие клиент <-> виртуальный IP, в случае, когда VPN-сервер временно недоступен, чтобы потом, когда он появится, клиенты смогли получить тот же IP, а не из диапазона 192.168.220.0/24. Дальше по конфигу у меня каждый клиент будет иметь свой собственный IP, поэтому опция для меня безполезна.
ifconfig-pool-persist ipp.txt

# эта опция для режима bridged, если routed – закоментировать. Задание IP/mask на мост и указание диапазона IP, которые будут выдаваться кдиентам.
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.10

# Сеть за VPN 192.168.210.0/24, сеть VPN 192.168.220.1, чтобы клиенты VPN видели сеть локальной сети нужно им задать маршрут, push – команда передается на выполнение клиенту.
push “route 192.168.210.0 255.255.255.0″

# Задание директории для дополнительных настроек для определенных клиентов, предварительно нужно создать папку /usr/local/etc/openvpn/client. У нас есть сертификат с именем user1, создаем в этой папке файлик с таким же названием user1 и в нем прописываем привязку к определенному IP :ifconfig-push 192.168.220.6 192.168.220.5. Помним, что каждому клиенту выдается не один IP, а подсеть /30, имеющая 4 адреса. Сервер имеет 192.168.210.1, посему занята сеть 192.168.210.1-192.168.210.4, следующий клиент будет иметь диапазон 192.168.210.5-192.168.210.8. Вышеуказанной строчкой клиенту присваивается 6-й, серверу 5-й номер.
client-config-dir client

# Задание маршрута сервер-клиент – чтобы сервер видел клиентов.
route 192.168.220.0 255.255.255.252

# Эта опция меняет клиентам маршрут по умолчанию на IP VPN-сервера, весь IP-трафик пойдет через VPN-сервер, что не очень мне хочется.
;push “redirect-gateway”

# Опция передает некие сетевые параметры клиентам
;push “dhcp-option DNS 10.8.0.1″
;push “dhcp-option WINS 10.8.0.1″

# По умолчанию клиенты видят только сервер, опция позволяет клиентам видеть друг друга.
client-to-client

# Эта опция позволяет подключаться по одному ключу и сертификату многим клиентам – считаю это непривильным, каждый клиент должен иметь свой ключ и сертификат,но для тестирования можно использовать.
;duplicate-cn

# Опция keepalive посылает ping каждые 10 сек., если через 120 секун ответ не получен считается хост недоступен.
keepalive 10 120

# Дополнительная защита (можно и без нее). Создается так называемый “HMAC firewall” для защиты от Dos-атак и флуда udp-порта. Генерируется ключ, который прописывается у клиента и сервера. Определяем TLS аутентификацию для сервер (на клиенте – tls-client).
tls-server

# Указываем местоположение ключа с цифрой 0 для сервера и 1 для клиента.
tls-auth /usr/local/etc/openvpn/easy-rsa/keys/ta.key 0

# Указание используемого криптографического сертификата(нужно указать также и на клиенте)
cipher BF-CBC

# Дополнительная опция – в конфиге нет. Таймаут до реконекта 120 секунд.
tls-timeout 120

#Аутентификация MD5 (в конфиге опции нет).
auth MD5

# Использование сжатия в VPN-канале(нужно также указать и на клиенте).
comp-lzo

# Максимальное число одновременно подключенных клиентов.
max-clients 100

# Запуск не от root, а от nobody.
user nobody
group nobody

# Не перечитывать ключи и не переоткрывать TUN/TAP интерфейсы после рестара
persist-key
persist-tun

# Логирование – предварительно нужно создать эту директорию и файлы.
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log

# Уровень логов, 0 – ничего не писать, только фатальные ошибки, 4 – общие сведения, 5 и 6 – для отладки соединения, 9 – все логи.
verb 5

# Если идут в логи 20 однотипных сообщений – в лог пишется только одно.
;mute 20

Лог подключения:
Mon Dec 01 12:39:01 2008 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Mon Dec 01 12:39:01 2008 Control Channel Authentication: using ‘ta.key’ as a OpenVPN static key file
Mon Dec 01 12:39:01 2008 Outgoing Control Channel Authentication: Using 128 bit message hash ‘MD5′ for HMAC authentication
Mon Dec 01 12:39:01 2008 Incoming Control Channel Authentication: Using 128 bit message hash ‘MD5′ for HMAC authentication
Mon Dec 01 12:39:01 2008 LZO compression initialized
Mon Dec 01 12:39:01 2008 Control Channel MTU parms [ L:1538 D:162 EF:62 EB:0 ET:0 EL:0 ]
Mon Dec 01 12:39:01 2008 Data Channel MTU parms [ L:1538 D:1450 EF:38 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Dec 01 12:39:01 2008 Local Options hash (VER=V4): ’03fa487d’
Mon Dec 01 12:39:01 2008 Expected Remote Options hash (VER=V4): ‘1056bce3′
Mon Dec 01 12:39:01 2008 UDPv4 link local (bound): [undef]:2000
Mon Dec 01 12:39:01 2008 UDPv4 link remote: 62.244.4.14:2000
Mon Dec 01 12:39:01 2008 TLS: Initial packet from 62.244.4.14:2000, sid=6d5eaf80 41eea419
Mon Dec 01 12:40:01 2008 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Dec 01 12:40:01 2008 TLS Error: TLS handshake failed
Mon Dec 01 12:40:01 2008 TCP/UDP: Closing socket
Mon Dec 01 12:40:01 2008 SIGUSR1[soft,tls-error] received, process restarting
Mon Dec 01 12:40:01 2008 Restart pause, 2 second(s)
Mon Dec 01 12:40:03 2008 Re-using SSL/TLS context
Mon Dec 01 12:40:03 2008 LZO compression initialized
Mon Dec 01 12:40:03 2008 Control Channel MTU parms [ L:1538 D:162 EF:62 EB:0 ET:0 EL:0 ]
Mon Dec 01 12:40:03 2008 Data Channel MTU parms [ L:1538 D:1450 EF:38 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Dec 01 12:40:03 2008 Local Options hash (VER=V4): ’03fa487d’
Mon Dec 01 12:40:03 2008 Expected Remote Options hash (VER=V4): ‘1056bce3′
Mon Dec 01 12:40:03 2008 UDPv4 link local (bound): [undef]:2000
Mon Dec 01 12:40:03 2008 UDPv4 link remote: 62.244.4.14:2000
Mon Dec 01 12:40:03 2008 TLS: Initial packet from 62.244.4.14:2000, sid=f53d1cb3 edf5f0b2
Mon Dec 01 12:40:03 2008 VERIFY OK: depth=1, /C=Ua/ST=none/L=Kiev/O=OpenVPN-Firma/CN=server/emailAddress=admin@firma.com.ua
Mon Dec 01 12:40:03 2008 VERIFY OK: nsCertType=SERVER
Mon Dec 01 12:40:03 2008 VERIFY OK: depth=0, /C=Ua/ST=none/O=OpenVPN-Icc/CN=server/emailAddress=admin@icc.ukraine.com.ua
Mon Dec 01 12:40:06 2008 Data Channel Encrypt: Cipher ‘BF-CBC’ initialized with 128 bit key
Mon Dec 01 12:40:06 2008 Data Channel Encrypt: Using 128 bit message hash ‘MD5′ for HMAC authentication
Mon Dec 01 12:40:06 2008 Data Channel Decrypt: Cipher ‘BF-CBC’ initialized with 128 bit key
Mon Dec 01 12:40:06 2008 Data Channel Decrypt: Using 128 bit message hash ‘MD5′ for HMAC authentication
Mon Dec 01 12:40:06 2008 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Mon Dec 01 12:40:06 2008 [server] Peer Connection Initiated with 62.244.4.14:2000
Mon Dec 01 12:40:07 2008 SENT CONTROL [server]: ‘PUSH_REQUEST’ (status=1)
Mon Dec 01 12:40:07 2008 PUSH: Received control message: ‘PUSH_REPLY,route 192.168.210.0 255.255.255.0,route 192.168.220.1,ping 10,ping-restart 120,ifconfig 192.168.220.5 192.168.220.6′
Mon Dec 01 12:40:07 2008 OPTIONS IMPORT: timers and/or timeouts modified
Mon Dec 01 12:40:07 2008 OPTIONS IMPORT: –ifconfig/up options modified
Mon Dec 01 12:40:07 2008 OPTIONS IMPORT: route options modified
Mon Dec 01 12:40:07 2008 TAP-WIN32 device [Подключение по локальной сети 3] opened: \\.\Global\{7ED2932F-F6C8-4B84-843E-8A26FA3D85D0}.tap
Mon Dec 01 12:40:07 2008 TAP-Win32 Driver Version 8.4
Mon Dec 01 12:40:07 2008 TAP-Win32 MTU=1500
Mon Dec 01 12:40:07 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.220.5/255.255.255.252 on interface {7ED2932F-F6C8-4B84-843E-8A26FA3D85D0} [DHCP-serv: 192.168.220.6, lease-time: 31536000]
Mon Dec 01 12:40:07 2008 Successful ARP Flush on interface [3] {7ED2932F-F6C8-4B84-843E-8A26FA3D85D0}
Mon Dec 01 12:40:07 2008 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Mon Dec 01 12:40:07 2008 Route: Waiting for TUN/TAP interface to come up…
Mon Dec 01 12:40:08 2008 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Mon Dec 01 12:40:08 2008 Route: Waiting for TUN/TAP interface to come up…
Mon Dec 01 12:40:09 2008 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Mon Dec 01 12:40:09 2008 Route: Waiting for TUN/TAP interface to come up…
Mon Dec 01 12:40:10 2008 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Mon Dec 01 12:40:10 2008 Route: Waiting for TUN/TAP interface to come up…
Mon Dec 01 12:40:11 2008 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
Mon Dec 01 12:40:11 2008 Route: Waiting for TUN/TAP interface to come up…
Mon Dec 01 12:40:12 2008 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Mon Dec 01 12:40:12 2008 route ADD 192.168.210.0 MASK 255.255.255.0 192.168.220.6
Mon Dec 01 12:40:12 2008 Route addition via IPAPI succeeded
Mon Dec 01 12:40:12 2008 route ADD 192.168.220.1 MASK 255.255.255.255 192.168.220.6
Mon Dec 01 12:40:12 2008 Route addition via IPAPI succeeded
Mon Dec 01 12:40:12 2008 Initialization Sequence Completed

Источник информации:
1. http://www.lissyara.su/?id=1549
2. http://amhost.net/doc/openvpn/
3. http://bozza.ru/?c=340&p=content

Настройка удаленного доступа к серверу через терминал.

admin — Tue, 20 Mar 2012 14:13:15 +0000

Как то раз после неудачного правила ipfw потерял я ssh, вот и надумал сделать удаленный доступ через модем к серверу. На сервере через порт COM1 подключен модем GVC R21 Vector на чипе Rockwell, на клиенской машине Windows XP и модем IDC 2814BXL+. Сначала делаем необходимые настройки на сервере – открываем /etc/ttys и смотрим в serial terminals – меняем строку 1 на 2
ttyd0 “/usr/libexec/getty std.9600″ dialup on secure #1
ttyd0 “/usr/libexec/getty std.115200″ xterm on secure #2
Тут указано название терминального устройства (/dev/ttyd0), запускается процесс getty, который отвечает за чтение имени пользователя и запуск программы login. Скорость устанавливается 115200 кбит/сек. Тип терминала – xterm, можно указать dialup , но при этом не будет работать mc. On – порт включен. Secure – безопасный порт – дает возможность подключаться под root. Если поставить insecure – залогиниться можно будет только под обычным пользователем. После внесения изменений необходимо их применить – перезапустить процес init – отвечает за контроль над всеми процессами и инициализацию системы при загрузке в том числе и за чтение /etc/ttys и запуск getty на доступных терминалах:
# kill -HUP 1 ( kill -1 1)
У init pid всегда 1 – это первый процесс. -HUP и -1 это одно и то же. Для проверки что init перечитал конфигурацию необходимо перед и после измением запустить ps ax|grep getty посмотреть какой pid соответствует ttydo – они должны отличаться.

Теперь переходим к настройке модема – подключаемся на COM-порт:
# cu -l /dev/cuad0 -s 115200
Connected
atz
OK
ate1
OK
atl1m1s0=3+ms=v34
OK
at&w
OK
~~.
[EOT]
CU – команда подключения к удаленным девайсам – в данном сдучае /dev/cuad0 – COM1. Опцией -s 115200 задана скорость по порту, если ее не указать скорость будет 9600 по умолчанию. Изначально командой atz сбросили модем в настройки по умолчанию, в некоторых модемах не видно какие команды в консоли пишешь – для их отображения используется команда ate1. Далее командой l1 устанавливаем минимальный уровень громкости динамика (допустимые значения 0-минимум, 1 – минимум, 2 – средняя, 3 – максимум) и m1 – включение звука до обнаружения несущей (0 – звук откл, 2 – звук всегда включен, 3 – звук выкл во время набора и вкл до обнаружения несущей, есть еще 4,5,6 см.мануал) и протокол передачи данных V34 (+ms=11) – он более предпочтителен на плохих и шумных АТС. s0=3 – поднять трубку после 3-х гудков. Командой at&w записываем изменения, если этого не сделать – то после пропадания питания все настройки обнулятся. ~~. – выход из cu – если по ssh, ~. – выход из cu – если непосредственно с сервера.

Теперь на виндовом клиенте – я использую putty (версия 0.60, в версии 0.58 нет возможности связываться по COM-порту), но можно и под Гипертерминалом (Пуск – Стандартные – Связь – гипертерминал. Подключаем можем на COM-порт, ставим драйвера и проверяем видет ли он в системе – кнопка “Опросить модем” в свойствах драйвера модема Далее открываем putty и заполняем поля:
– устанавливаем галочку Serial;
– Serial line – COM1 или COM2;
– Saved sesions – что угодно, напимер modem;
Жмем save и 2 раза кликаем на modem – получем консоль на модем, пишем:
ate1
OK
atl1m1+ms=11
OK
at&w
atdt2000000
Ну и далее после соединения вводим логин-пароль и мы на сервере. Полезные команды (проверены на IDC 2814BXL+):
ata/ – отобразить последнюю введенную команду;
+++ – переход в командный режим – когда получили доступ к сервеу этой кандой можем перейти в режим ввода AT-команд без прерывания связи;
ato – выход из режима команд обратно в режим передачи данных;
ato1 – выход из режима команд обратно в режим передачи данных с тестированием линии и оптимизацией параметров;
at%S0 – информация о скорости подключения, протоколах,…
ath – положить трубку – разрыв связи.
В модемах IDC можно сохранить 2 профиля настроек, для этого в командном режиме вводим команды и в конце at&w0 – запись 1-го профиля, at&w1 – запись 2-го профиля. Однажды записанный профиль будет устанавливаться модемом всякий раз при включении питания. Для указания какой из 2-х профилей необходимо загружить вводим команду at&Yn, гле n – номер профиля 0 или 1. Для сброса параметров с вызовом профиля 0 используется команда atz0. at&F – вернуться к стандартному профилю. Заводские установки пишутся в оба профиля 0 и 1.
at&V0 – для просмотра сохраненнго профиля 0 .
&Yn – выбор автоматические загружаемого профиля.
at%R – вывод содержимое всех S-регистров.
S-регистры:
S7 – по умолчанию 30 сек – время ожидания несущей. Время, в течении которого модем ожидает ответного сигнала удаленного модема. Время отсчитывается после набора последней цифры (рекомендуемое значение 60 сек;
S9 – по умолчанию 6*0,1 сек – время реакции на обнаружение несущей. Время, в течении которого должна присутствовать несущая, после которого модем переходит к процедуре установления соединения ( рекомендуемое значение 200);
S10 – по умолчанию 14*0,1 сек – аремя ожидания несущей, в случае ее потери. Максимальное время от потери несущей до отключения модема (рекомендуемое значение 255).

Источник информации:
1. http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/term.html

Настройка Samba.

admin — Tue, 20 Mar 2012 14:11:14 +0000

Задача – сделать файловый сервер, к которому будут иметь доступ все клиенты из локалки, при этом в логи нужно писать кто что удалил и проверять трафик на лету на вирусы. Маны на английском языке можно посмотреть в архиве дистрибутива в директории doc. Заходим в /usr/ports/net/samba3 и инсталируем порт. В окошке конфигурации нужно выбрать с какими опциями собираем, тут нужно поставить галочку на Syslog, т.к. нам интересно логгировать кто что делает с папками. Текущая версия 3.0.32. Добавляем /etc/rc.conf автозагрузку samba.

# cd /usr/ports/net/samba3
# make install clean
# echo ‘samba_enable=”YES”‘ >>/etc/rc.conf

После установки дефолтный конфиг будет находиться /usr/local/etc/smb.conf. Конфиг состоит из двух секций [global] – глобальные настройки, [homes] – расшаренные папки. Ниже приведен мой конфиг:

[global]
interfaces = 192.168.210.0/24
workgroup = ICC_GROUP
netbios name = Icc_Ukraine
server string = Icc Ukraine
security = share
log file = /var/log/samba/log.%m
log level = 0 vfs:2
max log size = 0
os level = 65
domain master = yes
local master = yes
preferred master = yes
load printers = No
dns proxy = No
unix charset = koi8-u
dos charset = cp866
display charset = cp866
preserve case=yes
short preserve case=yes
wins support = yes

[Test_vscan_clamav]

path = /mnt/share1
vfs object = vscan-clamav
vscan-clamav: config-file = /usr/local/etc/samba-vscan/vscan-clamav.conf
guest ok = yes
writable = yes
create mask = 0644
directory mask = 0755

[Temp2_full_audit ]

path = /mnt/da1s/server
guest ok = yes
writable = yes
create mask = 0644
directory mask = 0755
vfs objects = full_audit
full_audit:failure = mkdir rmdir open close read pread write pwrite rename unlink
full_audit:success = mkdir rmdir open close read pread write pwrite rename unlink
full_audit:prefix = %m|%I|%U

Ну а теперь подробнее:
interfaces = 192.168.210.0/24 – на каком интерфейсе слушается, у меня стоит на сервере, где имеется 2 сетевухи, с этим параметром samba будет работать на внутреннем;
workgroup, netbios name, server string – название рабочей группы, имя компа в сети и его описание;
security = share – режим доступа к папкам -открытый, без ограничения, бывают режимы user, domen, ADS, server – об этом можно почитать в HOWTO;
log file = /var/log/samba/log.%m – местоположение отладочной информации,%m – по каждому пользователю будет отдельный файл;
log level = 0 vfs:2(синоним debuglevel) – тут указывается уровень отладки 0 (только ошибки), для vfs модуля -2 – что отвечает значению 2 не знаю, 1 – это ошибки и предупреждения;
max log size = 0 – тут указывает размер в килобайтах отладочных файлов, 0 – размер не ограничивается;
os level = 65
domain master = yes Основной мастер просмотра;
local master = yes # Локальный мастер просмотра;
preferred master = yes # Предпочитаемый сервер просмотра;
Существует служба просмотра Windows, которая определяет какие шары есть в сети. Вместо того, чтобы каждый клиент производил просмотр самостоятельно в Windows сетях есть имеется основной сервер просмотра (master browsers) и дополнительный (backup browsers), которые предоставляет список просмотра клиентам. Samba может выступать как основным, так и дополнительным сервером просмотра. В конфиге включается основной серевер просмотра (domain master), его функции – собирать списки просмотра с локальных мастеров просмора. Для одной рабочей группы только один сервер Samba может быть мастер просмотра. Доменный мастер просмотра предпочтитильно должен быть и локальным мастером просмотра (local master). Если предпочитаемый сервер просмотра включен (preferred master), то после запуска nmbd иницирует выборы сервера просмотра. Тот у кого значение os level больше выиграет, при значении 65 Samba выигрывает у любых Windows-машин.
dns proxy = No – отключение перенаправление в ДНС, если имя не найдено в базе WINS, кроме того при перенаправлении в ДНС порождается еще один процесс nmbd, а это не очень хорошо;
unix charset = koi8-u
dos charset = cp866
display charset = cp866 # Кодировки взависимости от клиента;
preserve case=yes
short preserve case=yes # эти 2 параметры определяют сохранение регистра в названии файлов при записи новых файлов;
wins support = yes # Samba будет выступать еще и WINS-сервером

На этом глобальные параметры заканчиваются, дальше идут описания шар. Тут применяются так называемые vfs objects (Virtual File System) – модули, которые отвечают за определенную работу системы ввода-вывода. В этом примере используем модуль full_audit для логирования действий пользователя с сетевой папкой и vscan-clamav для проверки на вирусы антивирусом Clamav сетевых папок. Сами модули находятся в /usr/local/lib/samba. Но тут есть один минус – к Samba-шарам можно подключать несколько модулей, их можно перечислить через проблел в vfs objects, но модуль vscan-clamav работает только тогда, когда он один прописан или же стоит последним, при этом модули, перечисленные до него не работают. Устанавливаем порт /usr/ports/security/samba_vscan. Текущая версия 0.3.6_c2. Также ставим Clamav /usr/ports/securiyu/clamav. Текущая версия 0.94_1. Добавляем в /etc/rc.conf:
clamav_freshclam_enable=”YES”
clamav_clamd_enable=”YES”
Сначала смотрим в конфиг антивируса /usr/local/etc/clamd.conf – он вполне работоспособный без изменений, я изменил только следующее:
#LogFile /var/log/clamav/clamd.log
LogSyslog yes
LogFacility LOG_LOCAL1
LogVerbose yes
LocalSocket /var/run/clamav/clamd
Смотрим конфиг /usr/local/etc/samba-vscan/vscan-clamav.conf – тоже конфиг рабочий, поменял только следующее:
infected file action = quarantine
quarantine directory = /tmp/smb_infected
clamd socket name = /var/run/clamav/clamd
Тут задано действие – переместить зараженные файлы в /tmp/smb_infected. Все остальные опции можно таже поменять, но это дело вкуса. Тут важно, чтобы LocalSocket и clamd socket name совпадали. Тут еще минус у samba-vscan, что он не понимает LogFacility, пишет в логи в /var/log/messages через уровень *.notice. Сделано так в /etc/syslog.conf:
local1.* /var /log/clama/clamd.log
*.notice убрано из /var/log/messages
*.notice;local0.none;local2.none;local3.none /var/log/notice.log
!smbd_vscan-clamav
*.* /var/log/clamav/ smbd-vscan.log
В /etc/newsyslog.conf:
/var/log/clamav/clamd.log 644 5 5000 * ZC
/var/log/clamav/smbd-vscan.log 644 5 5000 * ZC
/var/log/notice.log 644 5 5000 * ZC

И не забываем предварительно создать файлы логов, делаем рестарт:
# /etc/rc.d/syslogd restart
# /usr/local/etc/rc.d/samba restart

Смотрим в логи и наблюдаем что пишется:
Oct 15 12:29:49 server smbd_vscan-clamav[65225]: samba-vscan (vscan-clamav 0.3.6c beta5) connected (Samba 3
.0), (c) by Rainer Link, OpenAntiVirus.org
Oct 15 12:29:49 icc smbd_vscan-clamav[65225]: INFO: connect to service Test_vscan_clamav by user nobody

В рассмотренном примере при заходе в папку Test_vscan_clamav весь трафик с папкой будет проверяться на вирусы. В описании шары:
[Test_vscan_clamav] – так будет отображаться название шары в рабочей группе;
patch – физческое расположение разшаренной папки;
guest ok = yes – доступ разрешен для всех;
writable = yes – разрешена запись;
create mask = 0644 – маска для записываемых файлов;
directory mask = 0755 – маска для записываемых директорий.

Теперь рассмотрим как работает модуль full_audit. Читаем мануал man vfs_full_audit, как видно мониторить им можно очень много параметров, но нам столько не нужно, поэтому, ограничимся теми, что указаны в конфиге:
full_audit:failure – параметры мониторинга ошибок;
full_audit:success – параметры мониторинга удачных действий;
mkdir – создание директории;
rmdir – удаление директории;
open – в какую папку заходили или открывали файл;
close – с какой папки вышли или закрыли файл;
read, pread – чтение(открытие) файла;
write,pwrite – запись (изменение) файла/папки;
rename – переименование файла/папки;
unlink – удаление.
full_audit:prefix = %m|%I|%U – переменные, используемые в samba – о них можно почитать в мане man smb.conf.
%m – NetBios-имя клиентской машины;
%I – IP-номер клиентской машины;
%U – пользователь, под которым залогинился на локальную машину;
full_audit: facility = local4 – пишем в LOCAL4 syslog;
full_audit: priority = INFO – приоритет INFO.
Лирическое отсупление – в Syslog пишутся логи от источников, которые имеют категорию(facility) и приоритет (priority). Категория – ряд определенных значений от разных источников (почта, ядро, крон,…). Существуют зарезервированые категории local0-local7, которые ни к какому сервису не прикручены, а сделаны для нужд администраторов. Приоритет – уровень важности события, есть 8 уровней – debug, info, notice, warning, err, crit, alert, emerg.

Теперь пишем в /etc/syslog.conf:
local4.info /var/log/audit.log
Рестартуем syslog и смотрим в логи:
#/etc/rc.d/syslogd restart
# tail -f /etc/syslog.conf
Oct 17 11:46:26 icc smbd_audit: adm|192.168.210.8|admin|close|ok|01-July-2008/var_named_etc/namedb/putty
.exe
Oct 17 11:46:26 icc smbd_audit: adm|192.168.210.8|admin|open|ok|r|01-July-2008/var_named_etc/namedb/putty.exe
Oct 17 11:46:26 icc smbd_audit: adm|192.168.210.8|admin|pread|ok|01-July-2008/var_named_etc/namedb/putty.exe
Oct 17 11:46:26 icc smbd_audit: adm|192.168.210.8|admin|pread|ok|01-July-2008/var_named_etc/namedb/putty.exe
Oct 17 11:46:41 icc smbd_audit: adm|192.168.210.8|admin|close|ok|01-July-2008/var_named_etc/namedb/putty.exe
Oct 17 11:46:41 icc smbd_audit: INFO: disconnected

Источник информации:
1. http://www.opennet.ru/base/net/samba_full_audit.txt.html
2. http://www.security-teams.net/board/index.php?showtopic=4707
3. http://www.debryansk.ru/~tereshin/sambadoc/BROWSING.koi8-r.html

Apache + PHP .

admin — Tue, 20 Mar 2012 14:09:51 +0000

Ставим веб-сервер /usr/ports/www/apache22 (текущая версия apache-2.2.9), ставится без проблем, в меню выбра я убрал только IPV6.

# cd /usr/ports/www/apache22
# make install clean (или portinstall apache22)

Далее ставим PHP5 /usr/ports/lang/php5 (текущая версия php-5.2.6), в меню выбора убираем IPV6 и устанавливаем галочку напротив APACHE – Build Apache module.

# cd /usr/ports/lang/php5
# make install clean

Теперь открываем конфиг апача /usr/local/etc/apache22/httpd.conf и проверяем, там должнен быть прописан модель php – LoadModule php5_module libexec/apache22/libphp5.so. Также сюда добавляем обработчик PHP:

AddType application/x-httpd-php .php
AddType application/x-httpd-php-source .phps

Добавляем в rc.conf автозапуск апача – apache22_enable=”YES”, перегружаемся или запускаем скрипт запуска – /usr/local/etc/rc.d/apache22 start. Если никаких ошибок нет, то проверим работает ли PHP. Для этого создаем файл info.php такого содержания:
phpinfo();
?>
и ложим его директорию где лежит index.html – по умолчанию /usr/local/www/apache22/data. Теперь в браузере вводим http://ip/php.info и если видим страничку параметров PHP – значит все успешно установилось.