Cisco Назначаєм IP адреси інтерфейсам

На інтерфейсі маршрутизатора L3 :
1. Переходимо в привілейований режим : enable.
2. Переходимо в режим конфігурації: configure terminal.
3. Переходимо в режим настройки інтерфейсу: interface GigabitEthernet 0/0
4. Піднімаємо IP адресу: ip address 192.168.1.1 255.255.255.253

5. Піднімаємо інтерфейс: no shutdown.

6. Виходимо з режиму конфігурації: end.

7. Зберігаємо конфігурацію: write.

 На інтерфейсі свіча L2 :

1. Переходимо в привілейований режим : enable.
Створюємо VLAN  8 базі даних vlan
заходимо в базу даних: vlan database

Створюємо vlan : vlan 8
Зберігаємо  зміни : apply
Виходимо з режиму редагування vlan : exit

2. Переходимо в режим конфігурації:
    configure terminal  
    interface Vlan 8
   Призначаємо IP адресу VLAN: ip address 192.1.1.1 255.255.255.0
   Піднімаємомд інтерфейс: no shutdown
   Виходимо з режиму конфігурації інтерфейсу: exit
3. Переходимо в режим настройки інтерфейсу: interface FastEthernet 0/3/0
4. Піднімаємо інтерфейс: no shutdown.

switchport access Vlan 8
switchport mode access
description Vlan 8

Cisco Команди які хотілося не забувати

Подивитися arp таблицю: show arp

Подивитися хто підключений до маршорутизатора: who

Перезавантажити обладнання через 5 секунд: reload in 5

Подивитися настройки не виходячи з режиму конфігурації: do show run..

Переглянути перелік обладнання  : show diag, show hard.., show inventory

Поставити другу IP адресу на vlan чи інший interface: ip address 192.168.250.3 255.255.255.252 secondary

Видалити банери в режимі конфігурації: no banner ...

Cisco Матеріали конференцій Cisco EXPO

Матеріали Cisco EXPO. Скоро будуть матеріали по цьогорічній конференції 2011. Цікаво подивитися доклади по ЦОД.

Cisco Елементи для Visio від виробника.

http://www.cisco.com/en/US/products/hw/prod_cat_visios.html

Cisco. Скидання паролю. Забули пароль? 3800( 3825, 3845)

Підключаємо Cisco консольним кабелем до COM порта комп'ютера, а другий кінець до порта на Cisco підписаним "console" на голубому фоні . Консольний кабель голубого кольору з обох кінців обжати конекторами RG-45. Для підключення до COM порта в комплекті іде перехідник з RG-45 на COM-порт.

 Для настройки використовуємо програму під Windows - HyperTerminal або Putty, під Linux - minicom. Настройки COM порта: швидкість 9600, біт даних 8, не парний N, стоп біт 1, керування потоком No . (В мене на апаратному контролі потоку працює minicom Hardware Flow Control: YES). Скорочено 9600 8N1.



1.  Включаємо маршрутизатор.  На протязі 60 секунд посилаємо сигнал Break на маршрутизатор (в minicom це комбінація клавіш Ctrl+A, F).
2. Загрузка операційної системи повинна перерватися і на екрані з'явиться запит на команду "rommon 1 >".  Змінюємо значення регістра:  confreg 0x2142.   Цей регістр запустить систему з чистим   конфігом, так ніби ми щойно очистили конфіг. Але наш конфіг все ще збірігся в startup-config, який ми пізніше відновим. Система видасть повідомлення "You must reset or power cycle for new config to take effect".
3. Що ми і зробимо: reset.
4. Після перезагрузки система видасть запит на ініціювання конфігураційного діалогу "Would you   like to enter the initial configuraton dalog?" наберемо no. Система видає запит "Router>"
5. Переходимо в привілейований режим : enable.

6. Відновлюємо нашу конфігурацію: copy startup-config running-config.
7. Переходимо в режим конфігурації: configure terminal.

8. Змінюємо пароль на на користувача: username admin privilege 15 secret 0 admin .
9. Повертаємо значення регістра в попередній вигляд: config-register 0x2102.
10. Виходимо з режиму конфігурації: end.
11. Зберігаємо конфігурацію: write.
12. Перегружаємо маршрутизатор: reload.

Cisco. Перший запуск маршрутизатора.

Підключаємо Cisco консольним кабелем до COM порта комп'ютера, а другий кінець до порта на Cisco підписаним "console" на голубому фоні . Консольний кабель голубого кольору з обох кінців обжати конекторами RG-45. Для підключення до COM порта в комплекті іде перехідник з RG-45 на COM-порт.

Для настройки використовуємо програму під Windows - HyperTerminal або Putty, під Linux - minicom. Настройки COM порта: швидкість  9600, біт даних 8, не парний N, стоп біт 1, керування потоком No . (В мене на апаратному контролі потоку працює minicom Hardware Flow Control: YES). Скорочено 9600 8N1.

sudo minicom
Cannot create lockfile for /dev/modem: No such file or directory


minicom -s and select Serial port setup
Reflect the output you saw from dmesg and set it to the Serial Device by pressing AE > C
A – Serial Device : /dev/ttyUSB0
E – Bps/Par/Bits : 9600 8N1


Для початку визначимося з назвою маршрутизатора та доменом.
Назва xs-router
Домен row.com


1. Нажимаємо ENTER і вводимо ім'я користувача/пароль : cisco/cisco.
2. Переходимо в привілейований режим :  enable.
3. Витираємо стару конфігурацію: erase startup-config. Підтверджуэмо команду натиснувши Enter
4. Перезавантажуємо маршрутизатор: reload.
    Програма запитується чи потрібно зберегти конфігурацію виберемо no.
    Підтверджуємо команду натиснувши Enter.

Після перезагрузки видається запит на початкову конфігурацію
Would you like to enter the initial configuration dialog? [yes/no]
Вибираємо no.

Після перезагрузки і натискання клавіші Enter маршрутизатор видає запит: Router>

1. Переходимо в привілейований режим :  enable.
2. Виставляємо час: clock set 16:23:10 03 Nov 2011.
3. Переходимо в режим конфігурації: configure terminal.
4. Наступні 4 команди піднімають авторизацію на консолі:
  aaa new-model - включає механізм AAA (authentication, authorization, accounting);
  aaa authentication login default local - по замовченню перевіряти кожний вхід на лінію використовуючи локальну базу даних користувачів;
  aaa authorization exec default local - по замовченню перевіряти право на запуск командної оболонки EXEC  використовуючи локальну базу даних;
   username admin privilege 15 secret 0 PASSWORD - створюємо користувача admin з паролем PASSWORD, щоб він записався в локальну базу даних.
  Обмежимо доступ до привілейованого режиму паролем "admin": enable secret 0 admin , 0 вказує що пароль, який ми набираємо не зашифрований.
enable secret <пароль> — определяет шифрование паролей в привилегированном режиме, в отличие от команды enable password, которая разрешает передачу пароля в виде нешифрованного текста.
5. Призначаємо назву роутеру: hostname xs-router. Відразу має змінитися запит маршрутизатора : xs-router(config)#.
6. Призначаємо домен: ip domain-name row.com.
7. Виключаємо пошук невідомих команд через DNS: no ip domain-lookup
no ip domain-lookup — oтключает в маршрутизаторе функции поиска по DNS, которые в большинстве случаев не требуются для выполнения стандартных операций.

no ip source routе — четвертая версия IP имеет средства для включения информации о маршруте в пакет. Эта технология известна как маршрутизация от источника. Она никогда широко не применялась и уже удалена из новой версии протокола TCP/IP. Взломщики часто обращаются к ее возможностям, чтобы обойти таблицы маршрутизации устройств, и таким образом скрыть источник трафика. Данная команда заставляет маршрутизатор игнорировать пакеты с таким заголовком.
no service finger — процесс finger (указатель на детальную информацию об интересующем объекте) в маршрутизаторе подобен процессу finger в системе UNIX. Он может предоставить потенциальным взломщикам информацию, которую им не следует знать. Данная команда его отключает.
no service tcp-small-servers и no service udp-small-servers — в последних версиях IOS она применяется по умолчанию. Устройства Cisco поддерживают такие «малые» службы IP, как echo, chagren и discard. Ими легко воспользоваться, однако ввиду нечастого применения их лучше отключить.
service password-encryption — определяет шифрование паролей, хранящихся на локальном маршрутизаторе, и обеспечивает необходимый уровень безопасности, если имеется брешь в системе защиты либо пароли скомпрометированы.

Відклюсчаємо тільки на інтерфейсі

no cdp run — протокол обнаружения Cisco (Cisco Discovery Protocol, CDP) является собственным информационным протоколом Cisco второго уровня. Предоставляемая им информация не нужна для работы маршрутизатора но может быть использована взломщиками. Однако если протокол CDP используется в вашей сети, то его можно отключить на тех интерфейсах, где он не нужен, с помощью соответствующей интерфейсной команды.

Відклюсчаємо тільки на інтерфейсі

no ntp enable — синхронизирующий сетевой протокол (Network Time Protocol, NTP) может оказаться ненужным для пограничного маршрутизатора и должен быть отключен. При этом маршрутизатор не может быть ни источником, ни конечным пунктом маршрута для трафика NTP. Однако если протокол NTP все же используется в сети, то его можно отключить на тех интерфейсах, где он не нужен, с помощью соответствующей интерфейсной команды.

banner motd {char} text {char} — эта команда аналогична команде motd в операционной системе UNIX, которая выводит на экран окно с предупреждением для взломщиков о том, что они вошли в частную систему. Стандартный текст находится в действующей по умолчанию конфигурации маршрутизатора. Данная команда не обеспечивает какую-либо защиту, но может быть полезна в случае судебных разбирательств в связи со взломом сети, поэтому при создании такого баннера было бы целесообразно проконсультироваться с юридическим отделом вашей компании.

enable
clock set 16:23:10 03 Nov 2011
configure terminal
aaa new-model
aaa authentication login default local 
aaa authorization exec default local
username admin privilege 15 secret 0 PASSWORD
enable secret PASSWORD
hostname xs-router
ip domain-name row.com.
no ip source-route
no service finger
exit

Налаштування  SSH

8. Створюємо ключ SSH : crypto key generate rsa. На запит про вибір кількості біт ставимо 1024 необхідно для SSH версії 2 ( при значенні 512 клієнт на Linux не підключався з помилкою "ssh_dispatch_run_fatal: Connection to 10.85.5.250: invalid argument", а ціска писала "SSH2 0: Unexpected mesg type received").

crypto key generate rsa

9. Включаємо шифрування паролей в конфігураційному файлі : service password-encryption
10. Включаємо SSH версії 2 : ip ssh version 2
 ip ssh time-out 60
ip ssh authentication-retries 2
11. Входимо в режим конфігурурвання термінальних ліній : line vty 0 4.
12. Транспортом по замовченню SSH : transport input ssh

13. Активуємо автоматичне підняття стрічки після вводу команди :  logging synchronous
 privilege level 15

14. Виставляємо час очікування до автоматичного закриття сесії SSH 30 хвилин: exec-timeout 30 0
15. Виходимо з режиму конфігурування термінальних ліній : exit
16.  Виходимо з режиму конфігурування : end
17. Зберігаємо конфігурацію: write

service password-encryption
ip ssh version 2
ip ssh time-out 60
ip ssh authentication-retries 2
line vty 0 4
transport input ssh
logging synchronous
privilege level 15
exec-timeout 30 0
exit
end

write

Налаштування маршрутизації

 18. Включаємо прискорену маршрутизацію пакетів : ip cef

conf t
ip cef
exit

 Налаштування часу

Виставляємо часову зону GMT+2: clock timezone Ukraine 2
Перехід на літній час: clock summer-time Ukraine recurring last Sun  Mar 2:00 last Sun Oct 2:00
Оновлення годинника через NTP сервер

clock summer-time Ukraine recurring last Sun Mar 2:00 last Sun Oct 2:00
! обновление системных часов по NTP
ntp update-calendar
! ntp сервера лучше задавать по айпи, ибо если при перегрузке DNS-сервера не доступны то настройки по именам слетают…
ntp server NTP.SERVER.1.IP
ntp server NTP.SERVER.2.IP

conf t
clock timezone Ukraine 2
clock summer-time Ukraine recurring last Sun  Mar 2:00 last Sun Oct 2:00
clock summer-time Ukraine recurring last Sun Mar 2:00 last Sun Oct 2:00
ntp update-calendar
ntp server 10.85.5.233
exit

Налаштування зовнішнього інтерфейсу

На інетерфейсі що дивиться в інтернет також потрібно піднімати vlan 1. Можливо в майбутньому потрібно буде кілька vlan і потрібно буде все переналаштовувати.

encapsulation dot1Q 1 native

Налаштування внутрішнього інтерфейсу

Відразу налаштовуєм vlan 1

encapsulation dot1Q 1 native

Архивирование конфигов

! включаем архивирование всех изменений конфига, скрывая пароли в логах
archive
 log config
  logging enable
  hidekeys

! историю изменения конфига можно посмотреть командой
show archive log config all

Настройка DNS

! включить разрешение имен
ip domain-lookup
! включаем внутренний DNS сервер
ip dns server
! прописываем DNS провайдера
ip name-server XXX.XXX.XXX.XXX
! на всякий случай добавляем несколько публичных DNS серверов
ip name-server 4.2.2.2
ip name-server 208.67.222.222
ip name-server 208.67.220.220

Настройка локальной сети

! обычно порты внутреннего свитча на роутере объединены в Vlan1
interface Vlan1
 description === LAN ===
 ip address 192.168.???.1

! включаем на интерфейсе подсчет пакетов передаваемых клиентам — удобно просматривать кто съедает трафик
 ip accounting output-packets

! посмотреть статистику можно командой
show ip accounting
! очистить
clear ip accounting

Настройка DHCP сервера

! исключаем некоторые адреса из пула
ip dhcp excluded-address 192.168.???.1 192.168.???.99
! и настраиваем пул адресов
ip dhcp pool LAN
   network 192.168.???.0 255.255.255.0
   default-router 192.168.???.1
   dns-server 192.168.???.1

Настройка Internet и Firewall

! настраиваем фильтр входящего трафика (по умолчанию все запрещено)
ip access-list extended FIREWALL
 permit tcp any any eq 22

! включаем инспектирование трафика между локальной сетью и Интернетом
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT icmp router-traffic

ip virtual-reassembly [options]
Атаки, основанные на фрагментации пакетов приводят к переполнению буфера. Основаны они на том, что на маршрутизатор/коммутатор приходит лавина незаконченных фрагментированных пакетов Для их избежания этой ситуации используется команда Данная возможность включается автоматически на интерфейсах (при возможности поддержки этой функции) при включении на интерфейсе Nat, firewall или IDS
ip verify unicast reverse-path

Для работы Unicast Reverse Path Forwarding должен быть включен cef.
   При получении пакета uRPF проверяет соответствует ли адрес источника и
   интерфейс через который получен пакет значениям в таблице FIB.
   По сути выполняется обратный резолвинг адреса источника используя базу
   (reverse lookup) FIB

Use the ip verify unicast reverse-path interface command to mitigate problems caused by malformed or forged (spoofed) IP source addresses that pass through a router. Malformed or forged source addresses can indicate denial-of-service (DoS) attacks based on source IP address spoofing.

When Unicast RPF is enabled on an interface, the router examines all packets received on that interface. The router checks to make sure that the source address appears in the routing table and matches the interface on which the packet was received. This "look backwards" ability is available only when Cisco Express Forwarding (CEF) is enabled on the router because the lookup relies on the presence of the Forwarding Information Base (FIB). CEF generates the FIB as part of its operation.

no ip redirects — отключает переадресацию протокола управляющих сообщений (Internet Control Messging Protocol, ICMP). ICMP переадресует сообщения от маршрутизатора с указанием лучшего сетевого маршрута. Такие сообщения могут быть использованы для организации атаки по типу «отказ в обслуживании».

no ip unreachables — отключает сообщения протокола ICMP о недоступности участков сети. Эти сведения маршрутизатор передает при невозможности доставить пакет адресату. Они также могут быть использованы для организации атаки по типу «отказ в обслуживании».

no ip proxy-arp — протокол разрешения адресов (Address Resolution Protocol, ARP) позволяет маршрутизатору отвечать на запросы ARP от подсетей помимо той, к которой он подключен. Для того чтобы информацией не воспользовались взломщики, такую возможность лучше отменить.

no ip mroute-cache — отключает кэш многоадресной рассылки Cisco IOS. Если рассылка не используется, то кэш для нее не нужен.

ntp disable — отключает NTP на уровне интерфейса. Это позволяет выполнять протокол NTP на маршрутизаторе, но делает его «невидимым» снаружи.

no cdp enable — отключает протокол CDP на уровне интерфейса, что очень полезно, если протокол CDP применяется только во внутренней локальной сети.

no ip directed broadcast — действует по умолчанию в IOS Version 12 и выше. Команда блокирует прямую широковещательную рассылку в конкретную сеть или ее подсеть. Появление широковещательного трафика в сети часто является признаком такой разновидности атак по типу «отказ в обслуживании», как Smurf. Этот режим хорошо бы установить на всех сетевых маршрутизаторах компании, естественно, если отсутствуют конкретные приложения, которым необходима широковещательная рассылка.

! настраиваем порт в Интернет и вешаем на него некоторую защиту
interface FastEthernet0/0
 description === Internet ===
 ip address ???.???.???.??? 255.255.255.???
 ip virtual-reassembly
 ip verify unicast reverse-path
 no ip redirects
no ip unreachables
 no ip directed-broadcast
 no ip proxy-arp
no ip mroute-cache 
ntp disable 
 no cdp enable
no ip directed broadcast
 ip inspect INSPECT_OUT out
 ip access-group FIREWALL in
 ip nat outside

! ну и напоследок шлюз по умолчанию
ip route 0.0.0.0 0.0.0.0 ???.???.???.???

Настройка NAT

! на Интернет интерфейсе

interface FastEthernet0/0
 ip nat outside

! на локальном интерфейсе
interface Vlan1
 ip nat inside

! создаем список IP имеющих доступ к NAT
ip access-list extended NAT
 permit ip host 192.168.???.??? any

! включаем NAT на внешнем интерфейсе
ip nat inside source list NAT interface FastEthernet0/0 overload

! добавляем инспекцию популярных протоколов
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT ftp

Отключение ненужных сервисов

no service tcp-small-servers
no service udp-small-servers
no service finger
no service config
no service pad
no ip finger
no ip source-route
no ip http server
no ip http secure-server
no ip bootp server

UPD. Убрал лишнее по советам хаброюзеров
UPD2. Добавил отключение ненужных сервисов
UPD3. Изменил настройка файрвола (спасибо Fedia)


https://habrahabr.ru/post/87680/

Встановлення Joomla та CentOS на Oracle VirtualBox.

1. Качаємо VirtualBox і встановлюємо з параметрами, які нам пропонує інсталятор.
2. Запускаємо VirtualBox і створюємо нову віртуальну машину.
  2.1. Даємо назву Joomla. Вибераємо тип операційної системи Linux. Версія RedHat (64 bit) (розрядність залежить від хостової машини).
  2.2. Виділяємо об'єм оперативної пам'яті для віртуальної машини 1Gb.
  2.3. Віртуальний жорсткий диск, залишаємо рекомендований розмір 8Gb.
  2.4. Тип файлу віртуального жорсткого диску лишаєм VDI.
  2.5. Тип пам'яті віртуального жорсткого диску вибираємо "фіксований розмір", що може прискорити роботу.
   2.6. Вибираємо місце розташування віртуально жорсткого диску і створюємо віртуальну машину.
3. Качаємо CentOS в образах iso. Я скачав CentOS 5.7 як останню стабільну версію.
4. Запускаємо нашу віртуальну машину і вибираємо джерело носія при першому запуску наш образ диску CentOS.
5. Після запуску інсталятора CentOS нажимаємо Enter. Пропускаємо тест DVD(CD) диску. Після чого запускається графічна оболонка інсталятора.
  5.1. Вибираємо мову та розкладку клавіатури
  5.2. На запит ініціалізації диску та видалення всього вмісту вибираємо ТАК.
  5.3. Вибираємо типову схему розмітки і підтверджуємо видалення всіх даних (Remove linux partitions on selected drive and create default layout).
  5.4. Встановлюємо статичну IP адресу та виключаємо підтримку IPv6. Прописуємо назву компа, шлюз та DNS.
  5.5. Вибираємо регіон "Europe/Kiev".
  5.6. Задаємо пароль.
  5.7. Вибираємо типову інсталяцію Desktop - Gnome. Та опцію "Customize now" для вибору додаткових пакетів.
  5.8. Вибираємо групу пакетів "Servers". В якій в свою чергу: "MySQL database" в цій підгрупі вибираємо всі пакети, "Web Server", "Server configuration tools", "FTP Server", "Windows file server". В групі "Base System" : "System Tools" в якій файловий менеджер mc, "Administration Tools". Чекаємо до завершення інсталяції CentOS.
6. Після загрузки операційної системи завершуємо настройку системи: відключаємо firewall, відключаємо SELinux, створюємо користувача під яким будемо працювати ( admin ).
7. Виключаємо віртуальну машину. В настройках мережі віртуальної машини міняємо тип під'єднання на "Проміжний адаптер".
8. Після перезагрузки. Перевіряємо чи стартує Apache. Заходимо в консоль (CTRL+ALT+F1). Виконуємо команду service httpd start. Переходимо в графічний режим   (CTRL+ALT+F7). В FireFox відкриваємо адресу http://127.0.0.1. Має відкритися тестова сторінка Apache 2.

Далі буде....

PostgreSQL Використання timestamp в звітах

Дата створення документів в таблиці зберігається в полі з типом timestamp.
Для правильного вибору документів на дату необхідно задавити критерій вибору не як

WHERE data <= to_date('05.10.2011', 'dd.mm.yyyy') ...

оскільки для сервера це буде виглядати наступним чином

  WHERE data <= '05.10.2011 00:00:00' ..., тобто створені документи 5 жовтня не будуть входити у вибірку, правильніше буде

  WHERE data < to_date('05.10.2011', 'dd.mm.yyyy') +1

Linux. Встановлення Openvpn на CentOS 4.8.

В стандартних репозітаріях пакет OpenVPN відсутній. Додаємо репозіторій rpmforge.

1. Встановлюємо GPG ключ репозітарія

#rpm --import http://apt.sw.be/RPM-GPG-KEY.dag.txt

2. Скачуємо пакет з інформацією про репозітарій:
Можна для початку перевірити останній пакет по лінку   http://apt.sw.be/redhat/el4/en/i386/rpmforge/RPMS/, сьогодні самий новий rpmforge-release-0.5.2-2.el4.rf.i386.rpm 

#wget http://apt.sw.be/redhat/el4/en/i386/rpmforge/RPMS/rpmforge-release-0.5.2-2.el4.rf.i386.rpm

3. Перевіряємо і встановлюємо пакет

#rpm -K  rpmforge-release-0.5.2-2.el4.rf.i386.rpm
#rpm -ivh   rpmforge-release-0.5.2-2.el4.rf.i386.rpm

4. Поновлюємо локальний кеш

#yum check-update

5. Встановлюємо OpenVPN

#yum install openvpn

6. Створюємо ключі для сервера. Для цього копіюємо файли генерації в папку

#cp -r /usr/share/openvpn/easy-rsa /etc/openvpn

Створюємо папку для ключів

#mkdir /etc/openvpn/keys

Заповнюємо змінні в файлі /etc/openvpn/easy-rsa/2.0/vars змінні

export KEY_DIR="/etc/openvpn/keys"

export KEY_COUNTRY="UA"
export KEY_PROVINCE="TE"
export KEY_CITY="Ternopil"
export KEY_ORG="Ternopiloblenergo"
export KEY_EMAIL="admin@toe.te.ua"
export KEY_EMAIL=admin@toe.te.ua
export KEY_CN=TOE
export KEY_NAME=TOE
export KEY_OU=TOE
export PKCS11_MODULE_PATH=TOE
export PKCS11_PIN=2012

Після запуску ./vars видається повідомлення

**************************************************************
No /etc/openvpn/easy-rsa/2.0/openssl.cnf file could be found
Further invocations will fail
**************************************************************
NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/keys

У версії openvpn-2.2.1-1.el6.x86_64 генератор ключів не розпізнає версію OpenSSL.
Дивимся яка версія openvpn встановлена.

# rpm -qa |grep openvpn
openvpn-2.2.1-1.el6.x86_64

Перевіряємо версію openssl

#openssl version
OpenSSL 1.0.0-fips 29 Mar 2010

Копіюємо файл openssl-1.0.0.cnf в openssl.cnf

 cp /etc/openvpn/easy-rsa/2.0/openssl-1.0.0.cnf /etc/openvpn/easy-rsa/2.0/openssl.cnf

Експортуємо змінні в середовище

#./vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/keys

Видаляємо попередні сертифікати та ключі.

#./clear_all

Генеруємо "new private key"

#./build-ca

Генеруємо RSA private key

#./build-key-server www-vpnserver

Створюємо  DH parameters (Define hellman parameter)

#./build-dh

Заходимо в папку /etc/openvpn/keys там повинні бути файли наступного вмісту

01.pem
ca.crt
ca.key
dh2048.pem
index.txt
index.txt.attr
index.txt.old
serial
serial.old
toe-vpnserver.crt
toe-vpnserver.csr
toe-vpnserver.key


Створюємо директорію для конфігураційних файлів клієнта

#mkdir /etc/openvpn/ccd

?. Копіюємо файл конфігурації

#cat /usr/share/doc/openvpn-2.2.1/sample-config-files/server.conf > /etc/openvpn/server.conf

?. Редагуємо файл конфігурації:

port 1194
proto tcp
#proto tcp

Створюємо файл конфігурації клієнта

cat > /etc/openvpn/ccd/www-c1
ifconfig-push 192.168.254.252 192.168.254.253

Створюємо ключ для клієнта

#

Створюємо конфігураційний файл для клієнта

Linux SATA диски

http://ru.wikibooks.org/wiki/Настольная_книга_по_Linux

Состояние дисковой подсистемы
rescan-scsi-bus -l - После добавления sata-диска, чтобы он определился системой (полезно для горячей замены!).
cat /proc/scsi/scsi - Посмотреть подключенные диски.
df -h - Показывает занятость подмонтированных дисков.
du -smc --exclude={proc,sys,dev} /* | sort -g - Получаем отсортированный список самых "тяжелых" каталогов в мегабайтах.
find . -size +<размер>k - Поиск файлов размер которых превышает указанный (или c — для байтов, M — мегабайт, G — гигабайт. В примере, соответственно, килобайты).
ls -lSrh - В конце вывода увидим самые большие файлы.
hdparm -tT /dev/sda - Тестирование производительности диска, ей же можно тонко настроить производительность (обычно не нужно, т.к. современные системы корректно определяют параметры).
dd if=/dev/sdx of=/dev/null bs=1M - Вроде как выявление проблем с диском.[1]
hddtemp /dev/sd[a-z] - Температура жестких дисков в системе (раб.<60°C).
testdisk - Анализ и восстановление файловых систем

Oracle Перенесення проінстальованої бази даних Oracle на іншу машину. Клонування бази даних.

Задача. Перенести базу даних Oracle 9 на іншу машину.

1. Встановлюємо на нову машину таку ж саму операційну систему, як і на вихідній машині CentOS 4.8 Final ( Вибрав опцію Сервер і доставив пакет mc) .

2. На вихідній машині зупиняємо Oracle
 service dbora stop

3. Робимо tar архів каталогів /etc, /lll, /home/oracle та /home/apache. В каталог /lll проінстальований Oracle.
 Архівуємо tar - ом щоб зберегти права на файли та каталоги.
 tar -czPf 1.tar /etc/oratab /etc/oraInst.loc /etc/hosts
 tar -r -f 1.tar /lll/app
 tar -r -f 1.tar  /home/oracle
 tar -r -f 1.tar  /home/apache

 gzip -9 1.tar

4. Переписуємо на нову машину в пустий каталог /1 архів 1.tar.gz і розархівовуємо
gzip -d 1.tar.gz
tar -xvPf 1.tar

5. Переписуємо каталог  /1/lll/app в каталог /lll, з каталога /1/home/ все в /home. Файли passwd, shadow, gshadow, group, host.conf, hosts, resolv.conf, inittab, sysctl.conf, oratab, /security/limits.conf з каталогу   /1/etc/ в /etc.

6. Виконуємо команду :
chown -R oracle.oinstall /toe
chmod 755 /etc/rc.d/init.d/dbora
chkconfig --add dbora
chkconfig --level 345 dbora on
chkconfig --list dbora

7. Перегружаємо комп  і перевіряємо чи стартує Oracle
service dbora start

В мене стартанув...

Linux Команди архіваторів

Команди архіваторів

Заархівувати 
 tar -cvf -f 1.tar /etc
додати до архіву
 tar -rvf 1.tar /lll
розархівувати
   tar -xvf 1.tar /lll

Заархівувати
 gzip -9 1.tar
Розархівувати
   gzip -в 1.tar

Linux Програмний RAID в CentOS

Створюєм RAID 1 (зеркальний).

Для того щоб система сама загружалася після виходу з ладу одного з дисків нам потрібно вручну зробити на одному з дисків розділ '/boot'. Оскільки інсталятор не дозволяє зробити по розділу    '/boot' на кожному диску. Я роблю розділ software RAID такого ж розміру як  '/boot' на іншому диску, а після інсталяції форматую під ext3 і копіюю в нього розділ   '/boot'. Таккож коли робиш розділ software RAID він лишається на початку диску.

PostgreSQL Як вибрати запис з максимальною датою?

Як вибрати останню ціну по складу? Можна двома способами

1.  SELECT id, id_product, data, price FROM r a WHERE data = (SELECT max(data) FROM r b WHERE
b.id = a.id AND b.id_product = a.id_product)

або

SELECT id, id_product, data, price FROM r a WHERE data in (SELECT max(data) FROM r b WHERE
b.id = a.id AND b.id_product = a.id_product)


2. SELECT DISTINCT ON (id, id_product)   id, id_product, data, price FROM r
 ORDER BY id, id_product,  data DESC

Цікаво як це реалізувати на Oracle? Перший варіант напевно універсальний для любої бази даних, треба перевірити чи другий варіант працює на Oracle.