Установка и настройка fsbackup

Для теста установлю fsbackup в Ubuntu Server и Debian.

Переключимся на root пользователя:
su

Скачаем архив с fsbackup и распакуем его:

cd /tmp
wget https://www.opennet.ru/dev/fsbackup/src/fsbackup-1.2pl2.tar.gz
tar -xvzf ./fsbackup-1.2pl2.tar.gz

Читать далее «Установка и настройка fsbackup»

Установка Proxmox

Proxmox — система виртуализации с открытым исходным кодом, основанная на операционной системе Debian.

На тесте выполню установку Proxmox в Debian 9.

Переключимся на root пользователя:
su

Откроем файл /etc/hosts в текстовом редакторе:

nano /etc/hosts

Читать далее «Установка Proxmox»

Установка Snort в Ubuntu

Snort — сетевая система предотвращения (IPS) и обнаружения вторжений (IDS) путем анализа трафика.

Читать далее «Установка Snort в Ubuntu»

Как запустить ClamAV сканирование из командной строки на cPanel сервере

Приведу пример проверки public_html директории c удалением зараженных файлов:

/usr/local/cpanel/3rdparty/bin/clamscan -ri --remove /home/user/public_html

Аналогичным образом проверяются и другие директории.

Чтобы запустить проверку только mail и public_html директорий для всех пользователей:

/usr/local/cpanel/3rdparty/bin/clamscan -ri /home/*/mail
/usr/local/cpanel/3rdparty/bin/clamscan -ri /home/*/public_html

Для обновления антивирусных баз используется команда:

/usr/local/cpanel/3rdparty/bin/freshclam

Смотрите также мою статью:
Установка и использование ClamAV антивируса

IPTables правила для веб-сервера

Чтобы открыть порт веб-сервера в IPTables выполним команду:

iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

Если используется HTTPS, то выполним также:

iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

Чтобы открыть доступ только конкретной сети, например 192.168.0.0/24:

sudo iptables -A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 80 -j ACCEPT

Можно также ограничить доступ по IP конфигурацией самого веб сервера, например как я описывал для Apache2 в этой статье — Контроль доступа Apache2.

Чтобы установить лимит подключений на порт 80:

iptables -A INPUT -p tcp --dport 80 -m limit --limit 50/second -j ACCEPT

Чтобы удалить правило укажем ту же команду, заменив -A на -D, например:

sudo iptables -D INPUT -p tcp -m tcp --dport 80 -j ACCEPT

Посмотреть список правил можно командой:

sudo iptables -nvL

Смотрите также:
Настройка IPTables

Установка Kloxo-MR — бесплатная панель управления для серверов

Kloxo-MR — бесплатная панель управления для серверов, основанная на Kloxo (https://github.com/lxcenter/kloxo).

Под рукой у меня был CentOS 6.9, рекомендуемая версия Minimal.
Официальный источник Kloxo-MR — mratwork.com и github.com/mustafaramadhan.

Переключимся на root пользователя, если не под ним:

su -

Обновим систему:

yum update -y

Установим необходимые компоненты:

yum install yum-utils yum-priorities vim-minimal subversion curl zip unzip telnet wget -y

Скачаем установочный скрипт:

cd /tmp
rpm -ivh https://github.com/mustafaramadhan/rpms/raw/master/mratwork/release/neutral/noarch/mratwork-release-0.0.1-1.noarch.rpm

Удалим кэшированные пакеты и обновим mratwork RPM:

yum clean all
yum update mratwork-* -y

Установим Kloxo-MR:

yum install kloxomr7 -y
sh /script/upcp

Процесс установки может занять длительное время — ждем.

По завершению установки перезагрузим сервер:

reboot

Kloxo-MR можно будет открыть в браузере http://SERVER:7778 или https://SERVER:7777.
Стандартный логин и пароль — admin.

Перезапустить можно так:

sh /script/restart-all -y

Проверить так:

netstat -tulpn | grep :7777

Как перезапустить службы в Cpanel

Службы необходимо перезапускать через WHM интерфейс, открыв меню «Home» > «Restart Services».

Если перезапуск службы через WHM интерфейс не удался, то необходимо использовать скрипт:

/usr/local/cpanel/scripts/restartsrv_*

Если используется IPv6 и была выполнена команда:

service network restart

То IPv6 не заработает, чтобы решить проблему выполним:

/etc/init.d/cpipv6 restart (for cPanel & WHM version 11.52 and earlier)
/usr/local/cpanel/scripts/restartsrv_cpipv6 (for cPanel & WHM version 54 and later)

В крайнем случае можно попробовать перезапустить службу напрямую:

/etc/rc.d/init.d/service restart
systemctl restart service-name.service

Смотрите также:
Расположение файлов логирования cPanel

IPTables правила для SSH

Чтобы открыть доступ к SSH серверу в IPTables необходимо добавить правило:

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Чтобы открыть доступ только конкретной сети, например 192.168.0.0/24:

sudo iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT

Можно также ограничить доступ по IP конфигурацией самого SSH.

Чтобы удалить правило укажем ту же команду, заменив -A на -D, например:

sudo iptables -D INPUT -p tcp --dport 22 -j ACCEPT

Посмотреть список правил можно командой:

sudo iptables -nvL

Смотри также:
Установка и настройка SSH
Настройка IPTables

Установка Ministra TV Platform (Stalker Middleware) в Ubuntu

На тесте выполню установку Ministra TV Platform (предыдущее название Stalker Middleware) в Ubuntu Server 14.04 LTS.

Сначала сделаем запрос на загрузку посетив официальный сайт www.infomir.eu.
Распакуем скачанный архив:

sudo apt-get install unzip
unzip stalker_portal-5.3.0.zip

Скопируем файлы в директорию веб сервера:

cp -a infomirgroup-stalker_portal* /var/www/stalker_portal

Установим необходимые компоненты:

sudo apt-get update
sudo apt-get -y upgrade
sudo apt-get install -y -u apache2 nginx memcached mysql-server php5 php5-mysql php-pear nodejs upstart 
sudo pear channel-discover pear.phing.info
sudo pear install phing/phing

Создадим MySQL базу данных и пользователя:

mysql -u root -p
CREATE DATABASE stalker_db;
CREATE USER 'stalker'@'localhost' IDENTIFIED BY 'PASSWORD';
GRANT ALL PRIVILEGES ON stalker_db.* TO stalker@localhost IDENTIFIED BY '1' WITH GRANT OPTION;
FLUSH PRIVILEGES;
exit

Если необходимо изменить параметры в файле конфигурации /var/www/stalker_portal/server/config.ini, то создадим файл custom.ini и добавим параметры которые необходимо изменить:

sudo nano /var/www/stalker_portal/server/custom.ini

Например, пароль к базе данных:

[database]
mysql_pass = PASSWORD

Выполним phing (этот процесс может занять длительное время, также в моем случае был запрошен пароль root пользователя MySQL):

cd /var/www/stalker_portal/deploy/
sudo phing

В /etc/mysql/my.cnf укажем:

max_allowed_packet = 32M

Активируем короткие теги PHP в /etc/php5/apache2/php.ini:

short_open_tag = On

Пакет libapache2-mod-php5filter не должен быть установлен в системе:

sudo apt-get purge libapache2-mod-php5filter

Сделаем резервную копию стандартной конфигурации веб сервера apache2 и очистим файл:

sudo cp /etc/apache2/sites-available/000-default.conf /etc/apache2/sites-available/000-default_backup.conf
sudo nano /etc/apache2/sites-available/000-default.conf

Добавим в него:

    <VirtualHost *:88>
            ServerAdmin webmaster@localhost
            DocumentRoot /var/www
            <Directory /var/www/stalker_portal/>
                    Options -Indexes -MultiViews
                    AllowOverride ALL
                    Require all granted
            </Directory>
            ErrorLog ${APACHE_LOG_DIR}/error.log
            CustomLog ${APACHE_LOG_DIR}/access.log combined
    </VirtualHost>

Изменим порт на Listen 88:

sudo nano /etc/apache2/ports.conf

Перезапустим apache2 чтобы применить изменения:

sudo service apache2 restart

Сделаем резервную копию стандартной конфигурации веб сервера nginx и очистим файл:

sudo mv /etc/nginx/sites-available/default /etc/nginx/sites-available/default_backup
sudo nano /etc/nginx/sites-available/default

Добавим в него:

    server {
        listen       80;
        server_name  localhost;
     
        location / {
            proxy_pass http://127.0.0.1:88/;
            proxy_set_header Host $host:$server_port;
            proxy_set_header X-Real-IP $remote_addr;
        }
     
        location ~* \.(htm|html|jpeg|jpg|gif|png|css|js)$ {
            root /var/www;
            expires 30d;
        }
    }

Перезапустим nginx чтобы применить изменения:

sudo service nginx restart

Теперь можно открыть в браузере интерфейс администратора http://SERVER/stalker_portal, логин — admin, пароль — 1.
И клиента — http://SERVER/stalker_portal/c/

Причина увеличения RX overruns на сетевом адаптере

Заметил однажды на одном из серверов доступа, что немного растет значение RX overruns.

Выполнил несколько раз команды (где p2p1 и p2p2 — имя сетевых интерфейсов):

ifconfig p2p1
ifconfig p2p2

Увеличивалось только значение RX overruns, на 10 пакетов каждую секунду, при трафике около 2Gb/s (100 000 пакетов в секунду).
На сервере был установлен сетевой адаптер «HP NC552SFP 10Gb 2-Port Ethernet Server Adapter» с сетевым контроллером от Emulex.

Посмотрев размер максимального и текущего буфера:

ethtool -g p2p1
ethtool -g p2p2

Обнаружил, что буферы установлены на максимум, TX буфер — 4096, а максимально возможный RX буфер был только 512.
Смотрите также мою статью — Изменение TX и RX буферов сетевых интерфейсов в Linux

Посмотрев правильно ли распределены прерывания сетевой платы по ядрам процессора:

grep p2p1 /proc/interrupts

Обнаружил что у сетевого адаптера 4 IRQ прерывания максимум, и irqbalance соответственно их распределил на 4 ядра, а ядер то 24.

Проблему решил заменой сетевого адаптера на более дорогой — «665249-B21 Контроллер HP Ethernet 10Gb 2-port 560SFP+ Adapter» с сетевым контроллером Intel 82599.
После этого ошибка не наблюдалась, RX и TX буферы были 4096, а IRQ распределено на все 24 ядра.
Спустя пару дней, счетчики ошибок оставались по нулям:

p2p1      RX packets:62535001155 errors:0 dropped:0 overruns:0 frame:0
          TX packets:36343078751 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:77395016742081 (77.3 TB)  TX bytes:10991051263063 (10.9 TB)

p2p2      RX packets:35672087256 errors:0 dropped:0 overruns:0 frame:0
          TX packets:58598868464 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:10996254475480 (10.9 TB)  TX bytes:73378418623349 (73.3 TB)

Вероятно предыдущий сетевой адаптер был какой-то урезанной версии, так как цена была в два раза ниже, да и вообще для серьезных целей лучше использовать сетевые адаптеры с контроллером от Intel.

Смотрите также мою статью Настройка сети в Linux