pátek 24. prosince 2010

pátek 10. prosince 2010

ESXi 4.1 status Unmanaged

Na serveru s VMware ESXi 4.1.0, 260247 provozuji podporovaný OS FreeBSD-7.3-RELEASE. Mám instalované tooly z portů open-vm-tools-nox11. V vSphere klientovi vidím
status toolů Unmanaged. Pátral jsem po tom čím to a proč tento nový status.

open-vm-tools-nox11-313025_1 Open VMware tools for FreeBSD VMware guests

Zde je odpověď:
http://communities.vmware.com/thread/281949

Stávající mnou známé statusy:

OK
Not instaled
Not running
Out of date
Unmanaged
Running (Current)

pátek 3. prosince 2010

Zabbix a snmpbuilder

Pokud se člověk nějakou dobu hrabe v monitorovacím nástroji ZABBIX, brzo dojde do stadia, že SNMP je fajn protokol pro získání monitorovacích údajů, ale pokud k zařízení nemám patřičný Template v Zabbixu tak je to hodně práce s laděním. Aplikace snmpwalk mi předá hodně, ale sestavit XML soubor s template je obtížnější.

Nástrojů pro vytvoženích vlastních Template je více, snmpbuilder mi přišel jako nejlepší. Bohužel je to zatím neoficiální rošíření, které napsal někdo s nicname giapnguyen. Je to kus php kódu, který se po drobných zásazích dá integrovat do zabbix-frontend.

SNMP Builder dělá to, že si načítá námi předložené MIB soubory a kontaktuje server nebo zařízení pomocí protokolu SNMP a dané entity porovnává s MIB souborem. Pokud hodnota existuje, máme možnost si ji přidat do námi vytvořeného Template.

Pro funkční použití je třeba mít od výrobce HW potřebné a přesné MIB soubory a hlavně SNMP na straně zařízení musí dané hodnoty korektně poskytovat.

Osobně jsem k tomuto nástroji došel při potřebě monitorovat RSA - Remote Supervisor Adapter nebo IMM karty u IBM serverů. Bohužel SNMP poskytuje málo hodnot a MIB soubory nemám asi ty správné.

Každopádně, za předpokladu že máme přesné MIB soubory a plně funkční SNMP službu, máme při monitorování vyhráno.

Pevně věřím že se časem tento nástroj dostane do oficiální verze ZABBIX serveru.

syslinux - pxeboot

Nedávno mi kolega ukazova, jak zprovoznil bootování po firemní sítí realizované na Windows serveru s bootováním do WinPE a do instalace driverů. Danou problematiku ladil i v testovacím prostředí ve VMware Workstation s linuxovým bootováním pomocí syslinux a pxeboot.

Bootování ze sítě jsem chtěl mít doma už dávno. A tak jsem pátral, zda syslinux je i pro muj sklepní kartón PC. Port existuje a tím se odstartovala realizace v domácí síti.

Potřebné nástroje:
dhcp
Domácí DHCP server provozuji na FreeBSD s tím, že jeho konfiguraci mám uloženou v LDAP. Využívám experimentální podpory. Na dané téma jsem si již něco poznamenával. Nyní jsem jen daný port povýšil na novější verzi.

isc-dhcp41-server-4.1.2,1 The ISC Dynamic Host Configuration Protocol server

cat /var/db/ports/isc-dhcp41-server/options
# This file is auto-generated by 'make config'.
# No user-servicable parts inside!
# Options for isc-dhcp41-server-4.1.2,1
_OPTIONS_READ=isc-dhcp41-server-4.1.2,1
WITH_DHCP_PARANOIA=true
WITH_DHCP_LDAP=true
WITH_DHCP_LDAP_SSL=true

Pro bootování ze sítě jsem přidal jen v dokumentaci popisované volby. Vše editováno v phpLDAPadmin :-)

filename "pxelinux.0";
next-server 192.168.0.1;

tftp
Trivial FTP server je součástí systému FreeBSD 8.x, pouštím pomocí inetd.

rc.conf
inetd_enable="YES" # Run the network daemon dispatcher (YES/NO).
inetd_program="/usr/sbin/inetd" # path to inetd, if you want a different one.
inetd_flags="-wW -C 60" # Optional flags to inetd

inetd.conf
tftp dgram udp wait root /usr/libexec/tftpd tftpd -l -s /tftpboot

syslinux
Syslinux je instalován z portů. Soubory potřebné pro fungování je nutné ručně vykopírovat do kořene tftp serveru a tím je /tftpboot

cd /usr/ports/sysutils/syslinux/
make install clean

syslinux-4.03 Syslinux for FreeBSD

Konfigurace syslinux a pxeboot je vcelku jednoduchá a je velmi dobře zdokumentována na stránkách projektu. Vyladit svou konfiguraci pro jednotlivé boot volby chvilku dá, ale není to nic složitého. Zajimavé jsou volby s podmínkami, kdy se nám dle architektury CPU zavede buť i386 nebo i64 systém. Bohužel nevyzkoušeno.

[root@sklep ~]# cat /tftpboot/pxelinux.cfg/default
#
# Default
#
DEFAULT menu.c32
PROMPT 0
MENU WIDTH 80
MENU MARGIN 10
MENU PASSWORDMARGIN 3
MENU ROWS 12
MENU TABMSGROW 18
MENU CMDLINEROW 18
MENU ENDROW 24
MENU PASSWORDROW 11
MENU TIMEOUTROW 20
MENU TITLE Main Menu
LABEL local
MENU LABEL Local ^Boot
localboot 0
LABEL memtest86+
MENU LABEL ^Memtest86+
kernel memtest86+.bin.foo
LABEL systemrescuecd
MENU LABEL ^SystemRescueCD x86 1.6.3
kernel rescuecd
append initrd=initram.igz dodhcp netboot=http://192.168.0.1:80/sysrcd.dat
LABEL freebsd
MENU LABEL ^FreeBSD 8.1 RELEASE
kernel memdisk
append initrd=FreeBSD-8.1-RELEASE-i386-bootonly.img harddisk
LABEL hdt
MENU LABEL ^Hardware Detect Tool
LINUX memdisk
INITRD hdt.img
# EOF

U SystemRescueCD je popis zavádění systému popsán zde. Velké soubory není vhodné servírovat pomocí tftp, proto se používá buť http, což je zrovna můj případ nebo nfs. Pro FreeBSD se musí vytvořit *.img soubor z malého boot.iso obrazu, návod pro starší systém je zde. Je třeba vytvořit větší soubor, protože od verze FreeBSD-6.2 se iso sobor pro FreeBSD-8.1 poněkud zvětšil. Návod je jasný a plně funkční. Snad jen na domácím ntb mi boot po nahrání kernelu vytuhne :-(. Ale na obouch stolních PC to funguje vše jak ma.

Dále si budu zprovozňovat dalši systémy, které chci bootovat ze sítě. Např. u Ubuntu je mechanismus verze od verze jiny. Vodítkem je tato nebo tato dokumentace, která není úplně aktuální.

Pro testování HW je vhodné použít např. Memtest86+ nebo Hardware Detection Tool (HDT).

Je mi jasné, že bootování ze sítě má vhodné nasazení a použití hlavně ve velkých sítích, ale našlo si cestu i ke mě domu :-)

středa 1. prosince 2010

zabbix bind9

Již dříve jsem se rozepsal o bind95. Tato verze podporuje konfiguraci, která nám na webovém rozhraní prezentuje stav DNS serveru, jeho cache počty dotazů za sekundu atd.

Protože jsem chtěl tyto hodnoty sledovat, inspiroval jsem se tímto příspěvkem do fora ZABBIX, kde je stručný popis, jak bind95 monitorovat.

Důležitá je tato volba v /etc/bind/named.conf.option

statistics-channels {
inet 127.0.0.1 port 8053 allow { 127.0.0.1; };
inet 192.168.1.10 port 8058 allow { 192.168.1.42/32; };
};


Pro stažení scriptů z repository použijeme svn

cd /usr/local && svn co http://svn.fisher.hu/bind9getstats

Na DNS serveru nastavíme v /etc/zabbix/zabbix_agentd.conf sledované hodnoty, které nám předají dané scripty.

UserParameter=bind9.queries,/usr/local/bind9getstats/bin/bind9getqueries.sh
UserParameter=bind9.memuse,/usr/local/bind9getstats/bin/bind9memuse.sh


Pak už jen stačí jen importovat template z fora zabbix_export.xml, který můžeme dále modifikovat a přidávat další sledované hodnoty.

pondělí 22. listopadu 2010

vSphere Command-Line Interface

Na adrese http://communities.vmware.com/community/developer se náchází spousta vývojářských nástrojů pro práci s VMware produkty. Již delší dobu jsem si chtěl zprovoznit Command-Line Interface Díky tomuto nástroji se dá spousta věcí zautomatizovat. Potřebné balíky do Ubuntu pro instalaci.

sudo apt-get install libssl-dev perl-doc liburi-perl libxml-libxml-perl libcrypt-ssleay-perl

tar -zxvf VMware-vSphere-CLI-4.1.0-254719.x86_64.tar.gz
cd vmware-vsphere-cli-distrib/
sudo ./vmware-install.pl
...
version 0.78 or newer
UUID 0.03 or newer


Pár ukázek:

esxcfg-nas -l --server esxi.domena.cz --username root
Enter password:
VMNFS is /data from 192.168.10.42 mounted

esxcfg-cfgbackup --save --encoding utf8 --server esxi.domena.cz --username root esxi.cfg
Enter password:
Saving firmware configuration to esxi.cfg ...

esxcli --encoding utf8 --server esxi.domena.cz --username root vms vm list
Enter password:
TestFBSD81
World ID: 123002
Process ID: 0
VMX Cartel ID: 123001
UUID: 56 4d fc 69 14 5f 06 16-00 e6 09 ee 47 5e b9 9b
Display Name: TestFBSD81
Config File: /vmfs/volumes/4cdbbaaa-3d6f9e43-6d05-0030483274d9/TestFBSD81/TestFBSD81.vmx

vicfg-hostops --server esxi.domena.cz --username root -password "*****" --operation info

Host Name : esxi.domena.cz
Manufacturer : Supermicro
Model : X7DB8
Processor Type : Intel(R) Xeon(R) CPU 5160 @ 3.00GHz
CPU Cores : 4 CPUs x 2999 GHz
Memory Capacity : 8190.71484375 MB
VMotion Enabled : no
In Maintenance Mode : yes
Last Boot Time : 2010-11-22T11:31:51.737555Z


resxtop --server esxi.domena.cz --username root -a

esxcli --server
esxi.domena.cz --username root network connection list
esxcli --server
esxi.domena.cz --username root network neighbor list
esxcli --server
esxi.domena.cz --username root nmp device list

Např. zde je velmi pěkná ukázka využití CLI pro instalaci driveru. Doporučuji nastudovat tento dokument vsp4_41_vcli_inst_script.pdf

středa 10. listopadu 2010

WebLogic Server Version: 10.3.2.0 na CentOS 5.5

Před týdnem jsem seděl v pražským pubu "U Balbínu" a dva typani mě lakovali, jak je ten WebLogic molochoidní atd. To on je. No a instalace jsem se zákonitě obával. Jako naprosto nepolíbenej daným aplikáčem jsem se pustil do jeho zprovoznění.

Popisovat instalaci Linux Distribuce CentOS 5.5 zde nebudu. Jen malá poznámka. Pokud přejmenuju v LVM, LV musím si pozměnit na dalších místech, jinak nenabootujeme. Mé doporučení je instalovat na Jeden PV disk a po instalaci přidat druhý PV do např. nové GV atd. Úžasný zkratky, ale někteří určitě vědí. Podotýkam že jsem instaloval do ESX, kde mě potěšilo funkční RPM s toolama VMwareTools-3.5.0-283373.i386.rpm. Nebylo třeba nic kompilovat. Uvidíme do budoucna.

lvm> lvs
LV VG Attr LSize Origin Snap% Move Log Copy% Convert
Root VolGroup01 -wi-ao 7,88G
Swap VolGroup01 -wi-ao 2,00G
Data VolGroup02 -wi-ao 29,00G
lvm> pvs
PV VG Fmt Attr PSize PFree
/dev/sda2 VolGroup01 lvm2 a- 9,88G 0
/dev/sdb VolGroup02 lvm2 a- 30,00G 1020,00M
lvm> vgs
VG #PV #LV #SN Attr VSize VFree
VolGroup01 1 2 0 wz--n- 9,88G 0
VolGroup02 1 1 0 wz--n- 30,00G 1020,00M

Po přejmenování LV je třeba upravit grub.conf a fstab, jinak kernel panik. Je otázkou zda by LVM neměl při přejmenování systémové LV provést nebo aspoň informovat a potřebných změnách.

grub.conf root= !!!
title CentOS (2.6.18-194.17.4.el5)
root (hd0,0)
kernel /vmlinuz-2.6.18-194.17.4.el5 ro root=/dev/VolGroup01/Root
initrd /initrd-2.6.18-194.17.4.el5.img

Zeměna LV na Root
/dev/VolGroup01/Root / ext3 defaults 1 1
/dev/VolGroup02/Data /data ext3 defaults 1 1

Kdo s LVM moc neumí jako já, vřele doporučuju dva články na root.cz zde a např. zde.

Instalace si žádá zprovoznění alespoň X Forwardingu. Proto jem do systému nahrnul par balíků.
yum install xorg
yum install xorg-x11-xauth.i386
yum install xorg-x11-server-Xorg.i386
yum install xorg-x11-utils.i386
yum install xorg-x11-server-utils.i386
yum install xorg-x11-xinit.i386



test
ssh -X user@wbl.domena.cz
xlogo xlogo xeyes

Vodítkem pro instalaci mi byl tento návod. Instalace WebLogic Server Version: 10.3.2.0 jsem prováděl ze souboru oepe111130_wls1032_linux32.bin stazeného z www.oracle.com.

chmod +x oepe111130_wls1032_linux32.bin
./oepe111130_wls1032_linux32.bin
Extracting 0%....................100%


Nyní se mi otevřel grafický wizard a už jsem jen klikal, jak ve widlích. Pevně věřím, že to jde i bez X s nějakou volbou -console, ale to až někdy příště.





Instalace vytvořila tento startovací script, který nelze pustit na background. To jestě budu pátrat jak na to. Jeden :-) Suchar mi poslal odkaz na tento rc script. Dik moc ...

/data/Oracle/Middleware/user_projects/domains/TEST/startWebLogic.sh

http://wbl.domena.cz:7001/
http://wbl.domena.cz:7001/console # vstup do webgui admin konzole

Zavedl jsem nového usera pod kterým bude WBL běžet.

groupadd wbl
adduser wbl -d /data/Oracle/ -G wbl
chown -R wbl:wbl /data/Oracle/
chmod 750 /etc/init.d/WebLogic # daný script jsem si vytvořil, proč není něco použitelného součástí instalace
chkconfig –-add WebLogic –-level 0356

pondělí 1. listopadu 2010

SSHd StrictModes

Dnes jsem narazil na takový zajímavý problém. U jednoho systémového uživatele jsem změnil práva na jeho domacím adresáři. Tak aby do daného adresáže mohla zapisovat skupina ve které je chmod g+w /home/tester/ Po nastavení práv přestalo fungovat oveřování pomocí ssh klíče.

Tuto funkcionalitu má na svědomí defaultní bezpečnostní volba SSHD daemona a tou je StrictModes yes. Bezpečnost vždy na prvním místě. Ale někdy je třeba ustoupit.

v logu se objevovalo Authentication refused: bad ownership or modes for directory /home/tester/

vim /etc/ssh/sshd_config
StrictModes no

root:> /etc/init.d/ssh restart
* Restarting OpenBSD Secure Shell server sshd [ OK ]

Popis jednotlivých voleb je např. zde.

čtvrtek 21. října 2010

PFX - PKCS and Apache

Dostal se mi pod ruce certifikat v souboru s priponou .pfx. Pátral jsem a vyplivla ho zjevně nějaká M$ CA a tak jsem hledal jak to překonvertit pro Apache.

How do I export or import a PKCS#12 certificate?

openssl pkcs12 -in cert.pfx -out cert.pem -nodes

Soubor cert.pfx je zaheslován, takže potřebujeme i heslo pro úspěčnou konverzi. Konverzí získáme soubor cert.pem, který obsahuje balast řádky typu.

Bag Attributes
1.3.6.1.4.1.311.17.2:
localKeyID: 01 00 00 00
Microsoft CSP Name: Microsoft Software Key Storage Provider
friendlyName: le-LMCZWebServer-aee00472-b103-45d9-a25c-b0da2fb35820
Key Attributes:


a

Bag Attributes
localKeyID: 01 00 00 00
friendlyName: LukasMaly.NET
subject=/CN=test.smejdil.cz
issuer=/DC=cz/DC=smejdil/CN=Test


Nás budou zajímat jen sekce

-----BEGIN RSA PRIVATE KEY-----
...
-----END RSA PRIVATE KEY-----

-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

Které si vykopírujeme např. do souborů test.smejdil.cz.crt a test.smejdil.cz.key. Dané soubory můžeme přidat do konfigurace Webserveru Apache např. s modulem mod_ssl.

PKCS#12 je standard z rodiny PKCS a PFX Tento formát se již nepoužívá, je to starší implementace, kterou Microsoftu stale používá. Dle české wiki je PFX předchůdcem standardu PKCS#12.

Zde je ještě zajímavé povídání s nadpisem "PFX - How Not to Design a Crypto Protocol/Standard"

čtvrtek 14. října 2010

ODS nevolit


Mr. Bém
Originally uploaded by SmEjDiL

Aspoň né v mém rodném městě. Je to sebranka!

Podzim včera ráno


Pohled na Dvůr Králové nad Labem od vlakového nádraží, včera ráno v 8:00 hod. Těsně před odjezdem rychlíku R 983 směr Pardubice. Foceno z mobilu Sony Ericsson 790i, blogováno též z mobilu.

P.S. Proč takové počasí nebylo i v Roháčích?

úterý 12. října 2010

Sonar - manage code quality

Dnes jsem byl požádán o zprovoznění aplikace Sonar, což je Java aplikace pro správu kvality kódu. Nejsem vývojář, ale jako správce systému jsem nucen danou aplikaci nainstalovat a provozovat v nějakém rozumném stavu (zalohy konfigurace, db atd.). Sonar jsem konfiguroval s MySQL databází. Instalace je vcelku snadná.

Živá ukázka
http://nemo.sonarsource.org/

Startovaci script umisten do init.d.

root@sonar:/etc/init.d# cat sonar
#!/bin/sh

sudo -u sonar /data/app/sonar/bin/linux-x86-32/sonar.sh $1


Prvotní inicializace aplikace je pěkně viditelná v logu.

tail -f logs/sonar.log
2010.10.12 13:02:22 INFO org.sonar.INFO loading the profile Sonar way with Findbugs/java from checkstyle
2010.10.12 13:02:22 INFO org.sonar.INFO loading the profile Sun checks/java from checkstyle
2010.10.12 13:02:24 INFO org.sonar.INFO loading findbugs profiles...
2010.10.12 13:02:24 INFO org.sonar.INFO loading the profile Sonar way with Findbugs/java from findbugs
2010.10.12 13:02:39 INFO org.sonar.INFO activating java default profile...
2010.10.12 13:02:39 INFO org.sonar.INFO Load profiles done: 21394 ms
2010.10.12 13:02:39 INFO org.sonar.INFO Start services done: 30238 ms
2010.10.12 13:02:39 INFO org.sonar.INFO Loading web services...
2010.10.12 13:02:39 INFO org.sonar.INFO Loading web services...
2010.10.12 13:02:39 INFO org.sonar.INFO Sonar started: http://0.0.0.0:9000/


V budoucnu se o dané aplikaci dozvím více od vývojářů.

neděle 10. října 2010

Panasonic pouziva am-linux

Nedávno jsem se dostal k LCD TV Panasonic TX-L32C10. Ladil jsem nově puštěný Multiplex 2 z Černé Hory a v menu jsem objevil GPL licenci s odkazem na projekt am-linux. Stránky projektu nejsou moc upovídané, ale tak jako tak je přijemné vědět že se Linux dostáva i do TV masově známe značky.

Trošku jsem googloval a našel pár informací Panasonic Viera Series LCD TV a Open Source Software (OSS) stránky projektu http://www.am-linux.jp/

pondělí 20. září 2010

Roháče - souřadnice vrcholů

Ne internetu jsem našel tento soubor obsahující souřadnice vrcholů Západních Tater a jejich nadmořskou výškku. Pro vlastní potřeby jsem si pár vrcholků ručně přepsal do formátu GPX.

http://geocaching.smejdil.cz/Rohace2010-WPT.gpx

Pro editaci souborů jsem použil šikovný program EasyGPS.

CiscoVPN a Ubuntu 10.04.1

Pro připojení do práce jsem doposud používal VPNC, které je pěkně integrované v Gnome do NetworkManager. Ale zhruba po hodině připojení spojení zamrzne. Patrně se po nějaké době reinicializuje spojení a to klient nějak neustojí. Na rychlé úkony se to použít dál Ale pokud má být spojení realizováno celý den, je to nepoužitelne :-(

Proto jsem se rozhodl používat klienta od společnosti Cisco, který je i pro Linux.

#
# CiscoVPN on Ubuntu 10.04
#
wget -q vpnclient-linux-x86_64-4.8.02.0030-k9.tar.gz

1. Rozbalíme VPN Client
tar xzf vpnclient-linux-x86_64-4.8.02.0030-k9.tar.gz

2. Download patch
wget -q fixes.patch

3. Vstoupíme do adresáře vpnclient
cd vpnclient

4. Aplikujeme patch
patch < ../fixes.patch patching file frag.c patching file interceptor.c patching file IPSecDrvOS_linux.c patching file linuxcniapi.c patching file linuxkernelapi.c patching file Makefile 5. Nainstalujeme klienta pomoci scriptu sudo ./vpn_install 6. VPN client vyžaduje nahrát patřičný modul kernelu sudo /etc/init.d/vpnclient_init start 7. Upravíme si konfigurační soubor a umístíme jej do adresáře Profile sudo cp myVPN.pcf /etc/opt/cisco-vpnclient/Profiles/ 8. Vytvoříme VPN spojení dle profilu sudo vpnclient connect myVPN


V konfiguračním souboru je třeba nastavit username heslo a group heslo, případně i další volby. Zde je nástroj na dešifrování group hesla, pokud jej neznáte.

20100922 Na ntb s 64bitovym Ubuntu 10.04.1 a s kernelem 2.6.32-24-generic mi návod sice funguje, ale již dvakrát mi celej system vythnul pri navázaném VPN spojení. Modul v kernelu dělá zjevně paseku. Našel jsem návod, ale zatím mi to šlo zkompilovat, a uvidim doma zda se to bude chovat lépe při navázaném spojení.

čtvrtek 16. září 2010

Tomcat SSL

Dnes jsem řešil pěkně vypečenej zadrhel. Před dvouma měsícema se spoustela aplikace, běžící na tomcatu, která vyžadovala užití SSL certifikátu, který app. používala pro komunikaci s jiným serverem. Vývojář vytvořil KEYSTORE a do nej uložil dodaný certifikát.

Úprava nastavení tomcatu byla následující

KEYSTORE=$CATALINA_HOME/conf/keystore
JAVA_OPTS=" ... -Djavax.net.ssl.trustStore=$KEYSTORE/mycert.truststore -Djavax.net.ssl.trustStorePassword=changeit"

Vše fungovalo. Až do doby, než se řešil problém ostatních aplikací, které dle vyjádření Java programátora nevidí Root CA certifikáty. Blesklo mi hlavou, že se to tou předchozí volbou přenastavilo.

Pátral jsem, kde má tomcat nejaké definice o keystore a nic jsem nenašel. Tak jsem hledal níže a kořenové certifikátý jsem našel v JDK.

find jdk1.6.0_21/ -name '*cert*'
jdk1.6.0_21/jre/lib/security/cacerts

Daný soubor obsahuje kořenové certifikáty certifikačních autorit, obdobně jako tomu je u prohlížečů. Pro řešení problému jsem vyexportoval certifikát z lokálního uložiště a importoval do cacert JVM, který zjevně užíva tomcat i v něm deployované aplikace (bez nutnosti nějaké konfigurace). Pro manipulaci s certifikátama java používá aplikaci keytool.

keytool -keystore mycert.truststore -list
keytool -keystore mycert.truststore -exportcert -file exportkey.crt

keytool -keystore cacerts -list
chmod 666 cacerts
keytool -keystore cacerts -importcert -file exportkey.crt
chmod 444 cacerts


Po restartu tomcatu a odstranění nevhodné konfigurace lokálního keystore z JAVA_OPTS, vše opět zařalo fungovat.

Doporučení: Po každé instalaci JVM (jre nebo jdk) je velmi vhodné změnit defaultní heslo "changeit" na nějaké bezpečnější.

úterý 14. září 2010

Samba + LDAP Password does not expire

Pokud používáte Sambu s LDAPem, po čase budete potřebovat měnit některé údaje uložené v LDAPu u jednotlivých uživatelů. Osobně jsem musel řešit malý ústupek v pezpečnosti a tím je zrušení expirace hesla.

Tato hodnota říká, jaké příznaky jsou nastavené.

sambaAcctFlags: [U]

Jak jení nastavení změnit ? Jednoduše, pomocí smbldap tools. Tabulka se Samba SAM Account Control Block Flags je zde.

smbldap-usermod -H [UX] novak

pondělí 13. září 2010

URL redirect

Způsobů, jak provést redirect URL je hnedle několik. V mnou poznamenaném odkaze je popsáno několik způsobu. Mnou nejpoužívanějsi mod_rewrite, Meta Refresh URL Redirect, PHP URL Redirect, ASP URL Redirect, Coldfusion URL Redirect, JavaScript URL Redirect a v neposlední řadě SSI Include URL Redirect.

http://www.seocompany.ca/seo/url-redirect.html

sobota 11. září 2010

Packet filter - příkazy

Občas se může stát, že ve firewallu pfSense nemáme povoloenou patřičnou IP a i přesto se např. potřebujeme dostat na webovou konfiguraci. Pokud se dostaneme např. skrze SSH z nějakého povoleného místa na konzoli, můžeme si manualně přidat další IP do nějake tabulky a tím si otevřreme vrátka. Malá ukázka jak na to.

pfctl -sT # vypis vsech tabulek
pfctl -t ip_MYTABLE -T show # vypis obsahu tabulky
pfctl -t ip_MYTABLE -T add 213.168.187.15 # pridani IP do tabulky

Oficiální stránka o firewallu Packet Filter je přeložená do češtiny.

středa 25. srpna 2010

Java Thread Dump

Dnes za mnou přišel kolega s označením JNO a požadoval test zaslání signalu QUIT na bežící proces. Dle tohoto návodu.

ps axf | grep java
kill -QUIT process_id

Do logu catalina.out se zapíše Thread Dump, ze kterého něco vyčte skušený Java Programátor. Nápomocná může být manuálová stránka p příkazu kill.

pondělí 23. srpna 2010

APOD

APOD je zkratka z Astronomy Picture of the Day (Archív astronomických snímků dne)
Sem tam si rád stáhnu nějaké to pěkné pozadí z http://apod.nasa.gov/apod/ česká verze http://www.astro.cz/apod/. Dnes jsem nalezl pěkný script, který stáhne a přenastaví pozadí. Script je pro všechny platformy. Přesněji existuji verze pro jednotlivé OS platformy. Já samozřejmě užil tu v Bash fetchapod.sh

http://www.scibuff.com/2009/05/14/download-apod-and-set-it-as-the-wallpaper-batch-script/

neděle 15. srpna 2010

SCHWAIGER SAT-Finder SF9000

Dnes jsem se konečně dokopal ke správnému nastavení mé satelitní paraboly Triax. Cílem bylo nasměrovat parabolu pro užití příjmu přez Skylink. Cílem mého nastavování byla ASTRA 23,5°E. Od společnosti CE Progress jsem si zapůjčil SCHWAIGER SAT-Finder SF9000 a pustil se do ladění. Prvním problémem bylo to, že koax od příjmače DM 500S byl moc dlouhý a měřák neudržel stabilní napajení. Proto jsem užil adaptér z kufříku a ten problém s napájením vyřešil. Druhý LNB jsem směroval na EuroBird1 28.2E°. Teď už jen koupit kartu Skylink.

čtvrtek 12. srpna 2010

čtvrtek 5. srpna 2010

susestudio.com

Je webová služba, která umožňuje si vytvořit vlastní instalační CD/DVD .iso např. s OpenSuSe. Možností, jak si poladit vlastní instalaci je vskutku hodně. Může me si vybrat mezi Desktopem nebo Serverem, Gnome nebo KDE, i386 nebo amd64. Dale si naši instalaci vyladíme, tak že bude obsahovat všechny aplikace, které požadujeme a tím nám odpadne veškerá poinstalační nastavení a doinstalace atd. Nutno dodat, že mě tato služba od společnosti Novell mile překvapila.

Za pár let bude asi naprosto běžné, že si pro velké distribuce vyladíme svá instalační media pomocí obdobných nástrojů.

středa 4. srpna 2010

Apache gzip deflate

Při sprovoznění jednoho nového webu mě kolega nasměroval na užití mod_gzip pro apache 1.3.x nebo mod_deflate pro Apache 2.x. Daný modul zajistí komprimaci stránek, pokud si to browser vyžádá a danou funkcionalitu umí. Zpovozňoval jsem mod_deflate na Apache22. Nutno podotknout, že jistým vodítkem je rozžířeni YSlow v pluginu Firebug v browseru Firefox. YSlow radí jak daný web server potunit, aby fungoval lépe a rychleji.

Existuje řada online testovacích nástroju, které ukazují zda web server podporuje gzip nebo ne.

středa 21. července 2010

SSL Tunning





Po přečtení článku na rootu jsem musel přenastavit často používané defaultní nastaveni SSL u několika webserveru s Apache. Defaultní nastavení je ve prospěch mnoha starších browseru. Ale bezpečnosti nenní nikdy dost a zombie sw má prostě smůlu. Ve článku je zmíněn velmi povedený online nástroj na proveření konfigurace SSL (HTTPS).

https://www.ssllabs.com/ssldb/index.html

Drobným doporučením pro konfiguraci Apache je. Konfiguraci SSL hodně ovlivňují tyto dvě direktivy SSLCipherSuite a SSLProtocol

SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:-MEDIUM
SSLProtocol -all +SSLv3 +TLSv1

Díky RSA007 za nakopnutí v daném tématu.

čtvrtek 8. července 2010

Pergola


Podílel jsem se na montáži této pergoly. Byla to zábava.

UPDATE:
Během stavby nás vyfotili z letadla.

úterý 29. června 2010

Veké akvarium, ne Obří!


Veké akvarium, ne Obří!
Originally uploaded by SmEjDiL

Při plánované víkendové návštěvě akvária jsem měl poněkud jine představy. Marketingově to jistě přitáhne více lidí, ale "Obří" to akvarium určitě není.

pátek 25. června 2010

802.1X v Ubuntu 10.04 LTS a FreeRADIUS

Zdroj SmEjDiL Blog
Nastavení zabezpečení pomocí 802.1X je v Ubuntu velmi jednoduché. Potřebujeme certifikát, který máme uveden u radius serveru. Dále uživatele a heslo, které se v mém případě ověřuje pomocí ntlm_auth a Active Directory.

Nastavení ověřování na portu switche číslo 42. V případě HP ProCurve switche jsem nastavoval.

ssh sw1
configure
radius-server host 192.168.0.10
radius-server key Pie8phi5
radius-server host 192.168.0.10 key rahN8oow
show radius
aaa authorization commands radius
aaa authentication port-access eap-radius
aaa port-access authenticator 42 unauth-vid 1
aaa port-access authenticator 42 auth-vid 10
aaa port-access authenticator 42 control authorized
aaa port-access authenticator 42 initialize

show port-access authenticator 42
show port-access authenticator 42 statistics
show port-access authenticator vlan


Pokud si FreeRADIUS nastavime aby nám logoval, v logu se po úspěšném ověření objeví např. následující záznam.

Thu Jun 24 16:12:16 2010 : Auth: Login OK: [RADIUS/] (from client 192.168.10.159 port 42 cli 00-26-9e-80-b0-5c)

úterý 22. června 2010

EV Certifikát od Thawte

Již v minulosti jsem zprovozňoval Extended Validation Certificate na web serveru Apache. Ale to bylo u jiné certifikační autority. Popsané to mám zde.

Postupy pro jednotlivé instalace pro jednotlivé programy jsou zde na stránce Install SSL certificate.

Návod na instalaci na serveru Apache je zde Install Extended Validation Certificate on Apache

Zajimavostí je, že u Thawte musíme vyplnit stahovací formulář a potvrdit pravidla užití kořenových certifikátů, které stáhneme zde. Což se tuším u VeriSign nemuselo.

Nastavení Apache je již obdobné jako u puvodního příspěvku. Důležité jsou opět direktivy SSLCACertificateFile a SSLPassPhraseDialog.

Kontrolu certifikatu na serveru můžeme proveřit pomoci Browseru, nebo z příkazové řádky, pomocí prikazu. Velmi pekný a ucelený návod na OpenSSL je zde.

openssl s_client -connect www.google.com:443

pátek 18. června 2010

FreeRADIUS - Active Directory - HP ProCurve Switch - 802.1X

Bezpečnosti není nikdy dost a tak i omezení přístupu k interní LAN nebo WLAN je vždy vítano. Aby switch mohl ověřit supplicant = žadatele o přístup do sítě, musí být nakonfigurován tak, aby se zeptal FreeRADIUS serveru, který se přeptá Active directory, zda-li daný uřivatel může být připojen k danému portu switche. Takto je to velmi jednoduše popsáno, ale tak to zjednodušeně je. Zaklínadlem je standard 802.1X, který je implementovan ve většině síťových zařízeních, jako jsou switche a wi-fi acess point.

Dobře popsaný návod se nachází na wiki freeradiusu. Radius server vyžaduje bezplatnou instalaci FreeRADIUS serveru a Samby.

Ubuntu:
apt-get install freeradius
apt-get install winbind

FreeBSD:
portinstall freeradius2
portinstall samba34

U samby postačí winbind, smbd a nmbd není třeba. Samba se musí přihlásit do Win domény.

Pokud máme vše správně nastavené, ověříme, zda nám samba ověží uživatele.

ntlm_auth --request-nt-key --domain=WINDOM --username=smejdil
password:
NT_STATUS_OK: Success (0x0)

V návodu je popsána konfigurace kerberosu, kterou jsem nedělal a ntlm_auth mi ověřuje, tak asi není třeba.

Pokud máme poladěný freeradius, můžeme testovat funkčnost ověřování.

radtest smejdil 123456abcd server-radius 1813 testing123
Sending Access-Request of id 14 to
192.168.0.10 port 1812
User-Name = „smejdil”
User-Password = „123456abcd”
NAS-IP-Address = 192.168.0.20
NAS-Port = 1813
rad_recv: Access-Accept packet from host 192.168.0.10 port 1812, id=14, length=20

Dále jsem nastavil radius server v HP ProCurve switchi, ale jen nastavil. Nastavení portů atd prozatím musí počkat.

hp-sw# configure
hp-sw(config)# radius-server host
192.168.0.10
hp-sw(config)# radius-server key 123456abcd
hp-sw(config)# show radius
hp-sw(config)# write memory

Status and Counters - General RADIUS Information

Deadtime(min) : 0
Timeout(secs) : 5
Retransmit Attempts : 3
Global Encryption Key :
123456abcd

Auth Acct
Server IP Addr Port Port Encryption Key
--------------- ----- ----- --------------------------------
192.168.0.10 1812 1813

Dále bude následovat. Ale to až zase jindy. Dále musím vyzkoušet FreeRADIUS s OpenLDAPem.

hp-sw(config)# aaa port-access

úterý 15. června 2010

SmEjDiL's Czech GeoCoin


SmEjDiL's Czech GeoCoin
Originally uploaded by SmEjDiL

Zde je log mojí mince co se mi vrátila až z Austrálie, kde byla skoro dva roky v jedné jedine cache.

středa 9. června 2010

gpsbabel prenos gpx dat

Jakožto GeoCacher hojně používám aplikaci gpsbabel k stahování a nahráváni dat z mé GPS. V minulosti jsem s nim ale měl problém na Ubuntu, záhadně tuhnul. Dnes je mě neznámý problém již vyřešen a vše již zase funguje.

Na ABCLinuxu je pěkný článek, kde gpsbabel popisován. V poslední kapilole je velmi užitečný script pro rzchlé nahrávání GPX souboru do GPS. Jen pro zajímavost zmiňovaný program umí konvertovat opravdu velké množství Geo formátů. Grafickou nadstavbou pro gpsbabel je v QT napsaný Gebabbel.

čtvrtek 27. května 2010

Jak mazat DNS cache na windows z cmd

Sem tam potřebuji smazat DNS cache na Win DNS serveru. Je k tomu potřeba Support Tool

Aktuálně jsem si stáhnul toto. Opět mě překvapilo ze pomoci FF jsem s download neuspěl . IE hnus jsem poustet nechtel.

WindowsXP-KB838079-SupportTools-ENU.exe


Jakožto velmi občasný uživatel windows s oblibou používám Cygwin + rxvt, edituju si cygwin.bat takto.


@echo off

C:
chdir C:\cygwin\bin

rxvt -sr -sl 2500 -sb -geometry 90x30 -fg lightblue -bg midnightblue -tn rxvt -fn "Lucida Console-14" -e /usr/bin/bash --login -i

Konzole je pak skutečně textová. Moje averze k cmd.exe je asi zjevná.

Mazání cahce pomocí příkazu je pak parádička.

USER@WINXP ~
# dnscmd.exe dc-server /ClearCache
dcserver completed successfully.
Command completed successfully.

VMware Workstation upgrade z 7.0.1 na 7.1

Jsem aktivním uživatelem produktu VMware Workstation a užívám jej na Linux Ubuntu 10.04 LTS a to legálně :-) Firma nedávno zakoupila upgrade z 6.x na 7.x.

Po upgradu, který skoro vše pořešil sám. Tím mám na mysli odinstalování starší verze a instalaci nové.

sudo sh VMware-Workstation-Full-7.1.0-261024.x86_64.bundle

Po instalaci pouštím WinXP virtualku a ta nesíťuje. Kolega mi poradil a tak unončuji Workstation a pouštím příkaz.

sudo vmware-modconfig --console --install-all

Ten zkompilovat síťové drivery a asi i jiné věci a po startu XP vše funguje.

úterý 25. května 2010

SSI - mod_include.c

Dnes jsem řešil zajimavou funkcionalitu SSI u Apache22. Kolegyně webdeveloperka mi hlasila, že jí .shtml funguje, jen v některých částech webové stránky - aplikace. Při použití ' a ", proměnné nabývaly nesprávných hodnot.

přesněji řečeno, první kod nefungoval a druhý ano.
první:
<a href="...<!--#echo var="QUERY_STRING" -->" ...>..</a>
druhý:
<a href='...<!--#echo var="QUERY_STRING" -->' ...>..</a>
Funkcionalita SSI byla na serveru zapnutá pomocí klasické direktivy

vim ./mods-enabled/mime.conf
...
#
# Filters allow you to process content before it is sent to the client.
#
# To parse .shtml files for server-side includes (SSI):
# (You will also need to add "Includes" to the "Options" directive.)
#
AddType text/html .shtml
AddOutputFilter INCLUDES .shtml


Co se apache modulů týče, modul mod_include, jsem nahraný neměl. Takže částečná funkcionalita SSI je i bez daného modulu. Po nahrání modulu mod_include začalo fungovat použití a href=".

úterý 11. května 2010

7.0.0.9: WebSphere Application Server V7.0 Fix Pack 9 for Ubuntu Linux

Tento příspěvek je velmi podobný těm předchozím věnovaným IBM WAS. I přesto jsem se rozhodl si zde poznamenat par příkazů vedoucích k instalaci WebSphere Application Server V7.0 a zároveň k aplikaci Fix Pack číslo 9.

#
# WAS 7 install
#

mkdir -p /opt/install/tar/

# Kopie instalacnich souboru a fixu.

Potrebne instalacni soubory:
C1G3[2-3]ML.tar.gz

Fix_Pack_9:
7.0.0-WS-???-LinuxX32-FP0000009.pak

Updater:
7.0.0.9-WS-UPDI-LinuxIA32.zip

---
/opt/install
mkdir C1G32ML C1G33ML
mkdir tar
cd tar

tar xvzf c1g32ml.tar.gz -C ../C1G32ML/ #(WAS)
tar xvzf c1g33ml.tar.gz -C ../C1G33ML/ #(IBM HTTP)

# https://wiki.ubuntu.com/DashAsBinSh !!! Nutne pro funkcni sh scripty.
dpkg-reconfigure dash

ls -l /bin/sh
lrwxrwxrwx 1 root root 4 2010-04-27 11:13 /bin/sh -> bash

aptitude install bc xauth alien (instalce Xorg zakladnich knihoven tad.)
aptitude install less lynx

### Instalace IBM WebSphere Application Server
### WAS 7.0.0.0

cd /opt/install/C1G32ML
cd WAS

cp responsefile.nd.txt responsefile.nd.txt-innstall
joe responsefile.nd.txt (Editace promennych pro instalci)

# Porovnani zmen:
diff -u responsefile.nd.txt-install responsefile.nd.txt > responsefile.nd.txt.diff
cat responsefile.nd.txt.diff

./install -options "/opt/install/C1G32ML/WAS/responsefile.nd.txt" -silent

# prubeh instalace mozno sledovat zde
tail -f /root/waslogs/log.txt

# Verze javy dovalena instalaci WAS

/opt/IBM/WebSphere/AppServer/java/bin/java -version
java version "1.6.0"
Java(TM) SE Runtime Environment (build pxi3260sr2-20080818_01(SR2))
IBM J9 VM (build 2.4, J2RE 1.6.0 IBM J9 2.4 Linux x86-32 jvmxi3260-20080816_22093 (JIT enabled, AOT enabled)
J9VM - 20080816_022093_lHdSMr
JIT - r9_20080721_1330ifx2
GC - 20080724_AA)
JCL - 20080808_02

# Instalace nezalozila profil pod ktery se server pousti
cd /opt/IBM/WebSphere/AppServer/bin/
./manageprofiles.sh -listProfiles
[]
./manageprofiles.sh -create -profileName profile01 -profilePath /opt/IBM/WebSphere/AppServer/profiles/profile01 -templatePath /opt/IBM/WebSphere/AppServer/profileTemplates/default/
INSTCONFSUCCESS: Success: Profile profile01 now exists. Please consult /opt/IBM/WebSphere/AppServer/profiles/profile01/logs/AboutThisProfile.txt for more information about this profile.

./manageprofiles.sh -listProfiles
[profile01]

# Informace o profilu
/opt/IBM/WebSphere/AppServer/profiles/profile01/logs/AboutThisProfile.txt

# Spusteni WAS serveru
cd /opt/IBM/WebSphere/AppServer/profiles/profile01/bin

./startServer.sh server1
./stopServer.sh server1

http://server.domena.cz:9060/admin/ Administrace Aplikace
http://server.domena.cz:9080/hello Aplikace

### Instalace IBM WebSphere Application Server
### IBM HTTP

cd /opt/install/C1G33ML
cd IHS
cp responsefile.txt responsefile.txt-install
joe responsefile.txt

# Porovnani zmen:
diff -u responsefile.txt-install responsefile.txt > responsefile.diff
cat responsefile.diff

./install -options "/opt/install/C1G33ML/IHS/responsefile.txt" -silent

# prubeh instalace mozno sledovat zde
tail -f ihslogs/log.txt

joe /opt/IBM/HTTPServer/conf/admin.conf
User www-data
Group www-data

/opt/IBM/HTTPServer/bin/adminctl start
/opt/IBM/HTTPServer/bin/adminctl stop

joe /opt/IBM/HTTPServer/conf/httpd.conf
User www-data
Group www-data
ServerAdmin admin@domena.cz

AllowOverride None
Order deny,allow
Allow from 127.0.0.1

/opt/IBM/HTTPServer/bin/apachectl start
/opt/IBM/HTTPServer/bin/apachectl stop

### Instalace IBM WebSphere Application Server
# Plugin

cd /opt/install/C1G33ML
cd plugin
cp responsefile.txt responsefile.txt-install
joe responsefile.txt

# Porovnani zmen:
diff -u responsefile.txt-install responsefile.txt > responsefile.diff
cat responsefile.diff

./install -options "/opt/install/C1G33ML/plugin/responsefile.txt" -silent

# prubeh instalace mozno sledovat zde
tail -f plglogs/log.txt

### Aplikace FixPack 9

# Instalace UpdateInstalleru:
cd /opt/install/
mkdir C1G32ML_FP9 && cd C1G32ML_FP9
unzip ../tar/7.0.0.9-WS-UPDI-LinuxIA32.zip

cd UpdateInstaller
cp responsefile.updiinstaller.txt responsefile.updiinstaller.txt-install
joe responsefile.updiinstaller.txt

# Porovnani zmen:
diff -u responsefile.updiinstaller.txt-install responsefile.updiinstaller.txt > responsefile.updiinstaller.diff
cat responsefile.updiinstaller.diff

# Nainstalujeme UpdateInstaller
# Instalace se provede takto

./install -options "/opt/install/C1G32ML_FP9/UpdateInstaller/responsefile.updiinstaller.txt" -silent

# prubeh instalace mozno sledovat zde
tail -f updilogs/log.txt

Zkopírujeme install packy do adresáře maintenance (radi manual)

cd /opt/IBM/WebSphere/UpdateInstaller
cp ../../../install/tar/7.0.0-WS-WAS-LinuxX32-FP0000009.pak ./maintenance/
cp ../../../install/tar/7.0.0-WS-PLG-LinuxX32-FP0000009.pak ./maintenance/
cp ../../../install/tar/7.0.0-WS-IHS-LinuxX32-FP0000009.pak ./maintenance/

Zastavime WAS
/etc/init.d/IBM-WebSpheare stop
/etc/init.d/IBM-HTTPServer stop
netstat -an | grep LIST NEBEZI !!! OK

# Upgrade WAS
cd /opt/IBM/WebSphere/UpdateInstaller

cp responsefiles/install.txt responsefiles/install-WAS.txt
joe responsefiles/install-WAS.txt
-W maintenance.package=/opt/IBM/WebSphere/UpdateInstaller/maintenance/7.0.0-WS-WAS-LinuxX32-FP0000009.pak
-W product.location="/opt/IBM/WebSphere/AppServer"
-W update.type="install"

./update.sh -options "responsefiles/install-WAS.txt" -silent

# Upgrade IHS
cp responsefiles/install.txt responsefiles/install-IHS.txt
joe responsefiles/install-IHS.txt
-W maintenance.package=/opt/IBM/WebSphere/UpdateInstaller/maintenance/7.0.0-WS-IHS-LinuxX32-FP0000009.pak
-W product.location="/opt/IBM/HTTPServer"
-W update.type="install"

./update.sh -options "responsefiles/install-IHS.txt" -silent

# Upgrade PLG (Plugins)
cp responsefiles/install.txt responsefiles/install-PLG.txt
joe responsefiles/install-PLG.txt
-W maintenance.package=/opt/IBM/WebSphere/UpdateInstaller/maintenance/7.0.0-WS-PLG-LinuxX32-FP0000009.pak
-W product.location="/opt/IBM/WebSphere/Plugins"
-W update.type="install"

./update.sh -options "responsefiles/install-PLG.txt" -silent

V logu aplikaci se vytvoří adresář upgrade a v nem je reportován průběh instalace fixu.
/opt/IBM/WebSphere/AppServer/logs/update/*

Integrated Solutions Console, 7.0.0.9
Build Number: cf091011.19
Build Date: 3/17/10


URL:
http://server.domena.cz - Default www page
http://server.domena.cz/hello - Test example prez IHS
http://server.domena.cz:9080/hello - Test example prez WAS
http://server.domena.cz:9060/admin/ - Webadmin admin WAS
http://server.domena.cz:8008/wasadmin - Interni WASAdmin

Náchod Montace

Dnes jsem se konečně zase dokopal k pohybu. Místo oběda jsem s kolegama šel běhat do městského lesa Montace. Jelikož nejsem moc běžec, tak jsem uběhl jen necelých 5 km za 33minut, ale i tak pro mě uspěch, hejbu se :-)

Trasu jsem si zaznamenal na GPS a vlozil na runmap.net

pondělí 10. května 2010

Evolution mail filter

Pro zálohu třídících filtru v emailovém klientu Evolution je dobré vědět, že filtry jsou v jednom XML souboru v domácím adresáři.

Your filters are located in your /home folder in the follwing hidden folder.
~/.evolution/mail/filters.xml

čtvrtek 6. května 2010

ubuntustart script for 10.04

Pokud se někdo zabývá poinstalačními operacemi na novém Ubuntu 10.04, existuje šikovný script, který Vám mumožní vybrat si co potřebujete. Do systému se přídají externí repository a kupa dalších věcí, které stejně dříve nebo později budete potřebovat.

https://launchpad.net/ubuntustart/+download

Nač strácet čas ručním nastavováním, když si někdo dal práci a připravil šikovný nástroj na poinstalační nastavení.

úterý 4. května 2010

Java Support Roadmap

Dnes jsem narazil na zajimavou tabulku

http://java.sun.com/products/archive/eol.policy.html

J2SE 5.0 End of Service Life Notice

J2SE 5.0 reached its End of Service Life (EOSL) on November 3, 2009, which is the date of the final publicly available update of version 5.0 (J2SE 5.0 Update 22). Customers interested in learning more about Sun's Java Technology Support and EOL policy


Takže JDK 1.5 standard edice je bez podpory :-(

pátek 23. dubna 2010

BSDCan






Někdy v budoucnu bych se velmi rád podíval na BSD konferenci. Ale nějak nejsou žádní sponzoři :-(

http://www.bsdcan.org

Velmi zajimavý bude pfSense 2.0 Tutorial, tak si stáhnu aspoň prezentace, pokud budou k mání.

pondělí 19. dubna 2010

pfSense vs Linux eth0 TSO on

Dnes provozovat firemní router bez firewalu je asi nemyslitelné. Řešil jsem takový malý problém. Jako firewall jsem užil pfSense 1.2.3-RELEASE a v něm je definované pravidlo povolující port 22 ze serverů v internetu na servery ve firemní DMZ. Komunikace ze 3 serverů funguje a nefungovala a po přidání nového serveru HP model přesně nevím s os Ubuntu 8.04.4 SE a síťovou kartou broadcom s driverem bnx2.

ethtool -i eth0
driver: bnx2
version: 2.0.2
firmware-version: 4.6.4 NCSI 1.0.3
bus-info: 0000:02:00.0

dmesg | grep eth0
eth0: Broadcom NetXtreme II BCM5709 1000Base-T (C0) PCI Express
bnx2: eth0 NIC Copper Link is Up, 1000 Mbps full duplex

V logu pflog0 ve firewalu, který interně používá Packet Filter jsem nalezl tuto hlášku.

tcp 40 bad hdr length 0 - too short

Dospěl jsem k názoru, že musí být problém na serveru s Ubuntu, kde je pomocí ifconfig standartně nastavena IP adresa a TSO on. Chybová hláška mě nasměrovala na stránky o TSO neboli TCP segmentation offloading a tak jsem pátral, jak to v Linuxu a případně ve FreeBSD nastavit - vypnout.

Linux danou volbu nastavuje pomocí ethtool

ethtool -k eth0
Offload parameters for eth0:
rx-checksumming: on
tx-checksumming: on
scatter-gather: on
tcp segmentation offload: on
udp fragmentation offload: on
generic segmentation offload: on

ethtool eth0 -K tso off


Pro permanentní vypnutí lze použít např. tento návod. FreeBSD má pro danou volbu parametr v ifconfigu, což je jistá výhoda.

ifconfig bce -tso

čtvrtek 15. dubna 2010

Rychost disku

Doma jsem instaloval jedno PC s novějším HW a tak mě zajímala rychlost SATA disků. Zaklínadlem pro SATA II je zjevně AHCI. Jeho podporu a připadně povoleni v BIOSu budu jeste zkoušet a testovat.

Testovací programy:

FreeBSD
diskinfo -t /dev/ad0

Linux
hdparm -tT /dev/sda


Dalším velmi zajímavým nástrojem je Bonne++

středa 14. dubna 2010

MRP-K/S Firebird21 Ubuntu

Jeden známý mě požádal o instalaci Linuxu pro jeho účetnictví. Tím je MRP-K/S a tak jsem pátral co si to žádá. Již v minulosti jsem si zkoušel instalovat databázi Firebird z portu na FreeBSD, ale neměl jsem žádnou aplikaci, která by ji využívala. Testoval jsem hlavně patřičný php modul.

Výrobce na svém FAQ uvádí podrobné informace o instalaci dané databáze. Taktéž umožňuje staženi Linuxové verze, ale je možno užít i aktuální verzi.

Před manuální instalací je vhodné prověřit verzi NPTL, zratka znamená Native POSIX Thread Library.

Verzi prověříme takto

getconf GNU_LIBPTHREAD_VERSION

NPTL 2.7 # 8.04.4 LTS
NPTL 2.9 # 9.04
NPTL 2.11.1 # 10.04 BETA1

NPTL 2.15 # 12.04.4 LTS

Dále je doporučeno nastavit sysctl proměnné net.ipv4.tcp_keepalive*

joe /etc/sysctl.conf
net.ipv4.tcp_keepalive_time=60
net.ipv4.tcp_keepalive_probes=5
net.ipv4.tcp_keepalive_intvl=15

defaultni hodnoty v Ubuntu jsou
net.ipv4.tcp_keepalive_time = 7200
net.ipv4.tcp_keepalive_probes = 9
net.ipv4.tcp_keepalive_intvl = 75

Budeme potřebovat tuto knihovnu
apt-get install libstdc++5


Provedeme ruční instalaci na Ubuntu 8.04.4 LTS Server Edition, protože v daném release Firebird21 není. Na Launchpadu je přehled verzí v daných vydání Ubuntu.

mkdir /opt/install
cd /opt/install
tar xvzf FirebirdSS-2.1.3.18185-0.i686.tar.gz
cd FirebirdSS-2.1.3.18185-0.i686./install.sh


instalace provede zmeny v /etc/services, /etc/passwd a vytvoří systémové starovací skripty.

Vytvoříme si první databázi.

root@firebird:/opt/firebird/bin# ./isql
Use CONNECT or CREATE DATABASE to specify a database
SQL> CREATE DATABASE '/data/test.fdb' page_size 8192
CON> user 'SYSDBA' password 'mojeheslo';


Dále jsem testoval očekávané Ubuntu 10.04 BETA2 Server Edition. Tam je instalce Firebirdu 2.1 o poznání snažší.

apt-get install firebird2.1-super
dpkg-reconfigure firebird2.1-super


UPDATE 29.1.2014

Po letech si MRP K/S verze 5.24.001 vyžádalo Firebird 2.5. Ubuntu server 12.04.3 LTS ovšem obsahuje jen verzi firebird2.5-super 2.5.1.26351.ds4-2ubuntu0.1. Ale MRP vyžaduje ještě novější verzi. Proto je třeba přidat externí repo. Např. dle tohoto návodu.


add-apt-repository ppa:mapopa/ppa
apt-get update
apt-get install firebird

firebird2.5-common               2.5.2.26540.ds4-8ubuntu4
firebird2.5-common-doc           2.5.2.26540.ds4-8ubuntu4
firebird2.5-server-common        2.5.2.26540.ds4-8ubuntu4
firebird2.5-super                2.5.2.26540.ds4-8ubuntu4