rsyslog, samba, full audit

11 декабря 2014
Рубрика: CentOS, vanoc.ru
Теги: ,

vanoc

После настройки самбы и дополнительного full.audit следует озаботиться тем, куда собственно этот аудит будет записываться.

Как рабочий пример:

# less /etc/samba/smb.full_audit.conf
         full_audit:priority = NOTICE
         full_audit:facility = LOCAL5
         full_audit:success = mkdir rmdir read write rename unlink chmod fchmod chown fchown ftruncate lock symlink readlink link mknod close open
         full_audit:failure = none
         full_audit:prefix = |[%S]|%u|%I

Тут важна строка full_audit:facility = LOCAL5

Настраиваем /etc/rsyslog.conf
Находим строку
*.info;mail.none;authpriv.none;cron.none /var/log/messages
и добавляем local5.none дабы в /var/log/messages не заносился аудит самбы
*.info;mail.none;authpriv.none;cron.none;local5.none /var/log/messages
Указываем куда записывать аудит
local5.* /var/log/samba/samba.audit

Дабы применились изменения перезапускаем rsyslog
service rsyslog restart

Однако в /var/log/messages скорее всего появится очень большое количество таких строк
rsyslogd-2177: imuxsock begins to drop messages from pid 194326 due to rate-limiting
rsyslogd-2177: imuxsock lost 684 messages from pid 194326 due to rate-limiting

Это связано с тем, что rsyslog по умолчанию для одного пида записывает в логи не более 200 записей в течении 5 секунд. Т.е. если пользователь заходит в самба шару с большим количеством файлов, то записей в samba.audit может быть больше 200, т.о. появляется запись в /var/log/messages о том, что rsyslog отбросил остальные строки.

Есть три варианта решения (по крайней мере я столько нашел)

1. Отключить ограничение. Добавляем в /etc/rsyslog.conf
$SysSock.RateLimit.Interval 0

2. Поиграться с интервалом и разрешенным чилом записей
например:
$SysSock.RateLimit.Interval 10
$SysSock.RateLimit.Burst 500

3. Убрать записи «imuxsock begins to drop messages бла бла бла» из /var/log/messages
Решается добавлением в /etc/rsyslog.conf после #### RULES ####

:msg, regex, "imuxsock begins to drop messages from pid .* due to rate-limiting" ~
:msg, regex, "imuxsock lost .* messages from pid .* due to rate-limiting" ~

Подробнее здесь

Дабы применились изменения перезапускаем rsyslog
service rsyslog restart

подключиться к удаленному серверу по ssh в Dolphin KDE

4 августа 2014
Рубрика: Linux, vanoc.ru
Теги: ,

vanoc

fish://name@server

fish в данном случае используется для ssh подключения (такие блин дела)

samba, пароль к шаре

4 июля 2014
Рубрика: Linux, vanoc.ru
Теги: , ,

vanoc

Столкнулся с тем, что windows начала просить пароль на доступ к шаре.

В логах /var/log/samba/log.smbd следующее
smbd/server.c:1165(main)
standard input is not a socket, assuming -D option
smbd/server.c:500(smbd_open_one_socket)
smbd_open_once_socket: open_socket_in: Address already in use

лог /var/log/samba/log.nmbd показывает
nmbd/nmbd.c:885(main)
standard input is not a socket, assuming -D option

Проблема оказалась в winbindе. А именно не соответствии имен групп linux и windows. Т.е. группа шары выглядела так:
# ls -l /mnt/lv10/Photoarchive/
total 4
drwxrwx---+ 2 root 16777729 4096 Apr 24 2013 Архив

где gid=16777729 (domain users)

Лечится рестартом winbind
service winbind restart

Dropbox 4 гб бесплатно

27 мая 2014
Рубрика: How-to, vanoc.ru
Теги: ,

vanoc

Для того чтобы получить от Dropbox 4 гб бесплатно, потребуется телефон с андроидом на борту. За установку и настройку приложения Mailbox, Dropbox подарит 1гб. А установив приложение Carousel получите еще 3гб. Если данные приложения не понравятся их можно смело удалять. Бесплатные 4 гб останутся.

Автозапуск виртуальной машины в Citrix XenServer 6.2

3 марта 2014
Рубрика: Linux, vanoc.ru
Теги:

vanoc

Кратенько. Для 6 версии из XenCenter настроить автозапуск уже не получится, однако можно сделать из консоли.

Для начала добавляем эту возможность для пула.
# xe pool-list
uuid ( RO) : 8a3b99c9-c4e9-802c-1298-794d939fb999
# xe pool-param-set uuid=8a3b99c9-c4e9-802c-1298-794d939fb999 other-config:auto_poweron=true

Теперь для виртуалок, которым требуется автозапуск.
xe vm-list
xe vm-param-set uuid=... other-config:auto_poweron=true

MTP на примере Acer CloudMobile S500

1 февраля 2014
Рубрика: Arch, vanoc.ru
Теги:

vanoc

Потребовалось получить доступ к флешке подключенной в телефон Acer CloudMobile S500. Краткая выдержка арч вики с некоторыми комментариями.

Подключаем телефон к компу. В консоли смотрим результат вывода lsusb

% lsusb
...
Bus 001 Device 004: ID 0502:33aa Acer, Inc.
...

Вот и телефон.

Копируем или правим прям там же файл.
% sudo cp /usr/lib/udev/rules.d/69-libmtp.rules /etc/udev/rules.d/
% sudo vim /etc/udev/rules.d/69-libmtp.rules

Находим строки, в которых упоминается Acer, дублируем одну из них. Изменяем значения idVendor и idProduct на значения нашего аппарата.
# Acer CloudMobile S500
ATTR{idVendor}=="0502", ATTR{idProduct}=="33aa", SYMLINK+="libmtp-%k", ENV{ID_MTP_DEVICE}="1", ENV{ID_MEDIA_PLAYER}="1"

Затем
sudo udevadm control --reload
либо перезагружаемся.

Устанавливаем пакет для работы с mtp
sudo pacman -S mtpfs

Редактируем /etc/fuse.conf Раскомментируем строку
user_allow_other

Создадим какую-нибудь временную директорию и смонтируем в нее телефон
mkdir /tmp/YOURMOUNTPOINT
mtpfs -o allow_other /tmp/YOURMOUNTPOINT

Размонтируем
fusermount -u /tmp/YOURMOUNTPOINT

Для удобства можно создать алиасы в ~/.bashrc
alias android-connect="mkdir /tmp/YOURMOUNTPOINT && mtpfs -o allow_other /tmp/YOURMOUNTPOINT"
alias android-disconnect="fusermount -u /mnt/YOURMOUNTPOINT"

DLNA IPTV xupnpd

9 декабря 2013
Рубрика: Linux, Ubuntu, vanoc.ru
Теги: , ,

vanoc

Купили брату телевизор Sony Bravia. Выбирал специально, чтоб ТВ умел проигрывать много форматов видео и знал что такое DLNA. Однако упустил IPTV. Странно, но ТВ его совсем не умеет проигрывать. Удивительно, что Sony не позаботились об этом. В итоге IPTV таки удалось получить, пусть и через DLNA.

Настраивается установкой xupnpd. Можно поставить программу на роутер. В интернете есть мануалы по ентой установке. У меня же стояла задача более простая. Заставить ТВ показывать iptv не важно откуда. В итоге поставил xupnpd на ноут с ubuntu, благо на оффсайте есть уже собранный пакет для нее.

Правим конфиг файл /etc/xupnpd.lua
Заменяем интерфейс на свой, через который выходим в интернет.

Запускать следует через sudo.
sudo xupnpd

Либо можно утянуть последнюю версию с svn

sudo apt-get install subversion
svn co http://tsdemuxer.googlecode.com/svn/trunk/xupnpd
cd xupnpd/src/
make

Не забываем поправить конфиг файл xupnpd.lua
Следует заменить интерфейс на свой, через который выходим в интернет.

Запускаем программу
chmod +x xupnpd
./xupnpd

Дальше настройки можно править через веб-интерфейс 192.168.X.X:4044, где 192.168.X.X ваш ip.
Там же можно загрузить свой плейлист.m3u

Ввиду того, что я смотрю iptv от тетушки Шуры и потоки там все http-шные, мне не пришлось ставить udpxy. Единственный нюанс, который заставил меня поломать голову, из-за того, что при выборе канала трансляция запускалась, но картинки не было, заключается в том, что в настройках Default mime type следует указать mpeg_ts (cfg.default_mime_type=’mpeg_ts’).

cron flock

19 ноября 2013
Рубрика: Linux, vanoc.ru
Теги: , ,

vanoc

Дабы не плодить процессы в кроне.

flock -n /tmp/flock.lock -c "rsync -avz -e ssh 'name@host:/path' /path"

flock устанавливает блокировку на указанный файл, в случае успеха выполняет нашу команду.

SSH уведомление об авторизации

13 ноября 2013
Рубрика: Linux, vanoc.ru
Теги: ,

vanoc

Решил реализовать уведомление на почту о том, что кто-то авторизовался в ssh. Сперва решение выглядело вот так:

echo -e "Remote connection from\t $SSH_CONNECTION \nLogin $USER" | /bin/mail -s "[SSH] Login on $(hostname)" мояпочта@сайт.ru

Добавляем эту строку в /etc/ssh/sshrc (в случае, если этого файла нет, а его скорее всего не будет, его следует создать)

У этого решения есть существенный недостаток — письма будут отсылаться после любой аутентификации по ssh. Даже если это вы залогинились, письмо все равно вам придет. Дабы не получать массу писем и ввиду того, что я начал изучать python, решил попробовать написать на нем. Получился скрипт сравнивающий с нашего ли ip залогинились, в противном случае шлет email на указанную почту.


#!/usr/bin/env python

import smtplib, os, platform
from email.MIMEMultipart import MIMEMultipart
from email.MIMEText import MIMEText

server = smtplib.SMTP('smtp.сайт.ru', 25)

sender = 'root@'+platform.node()
to = 'мояпочта@сайт.ru'

ip = 'xxx.xxx.xxx.xxx'
sship = os.environ['SSH_CONNECTION']
loginname = os.environ['LOGNAME']

msg = MIMEMultipart()
msg['Subject'] = '[SSH] Login on ' + platform.node()
msg['From'] = sender
msg['To'] = to
text = 'Remote connection from\t' + sship + '\nLogin ' + loginname
msg.attach (MIMEText(text, 'plain'))

textmail = msg.as_string()

if ip in sship:
        print ('hi. Welcome!')
else:
        print ('who is it?')
        server.sendmail(sender, to, textmail)

Сохраняем скрипт в файл, например, noticessh.py и прописываем путь к нему в /etc/ssh/sshrc. К сожалению не со всеми версиями второго питона работает, так же мешает авторизовываться по sftp в случае, если sftp работает через ssh. FileZilla, например, ругается «Оut of memory!» Надо бы допилить, но на данный момент к сожалению знаний по питону не достаточно.

301 редирект с домена на домен

13 ноября 2013
Рубрика: How-to, vanoc.ru
Теги:

vanoc

Вчера столкнулся с таким интересным явлением, когда у совершенно стороннего чужого домена в качестве А записи в DNS с был указан ip нашего ресурса. Т.о. этот совершенно чужой домен показывал контент нашего портала и даже индексировался поисковиками. Для чего это было сделано не знаю, возможно ради повышения ТИЦ и PR своего домена.

Исправил это безобразие записью в .htaccess

Options +FollowSymLinks
RewriteEngine on
RewriteCond %{HTTP_HOST} чужойсайт.ru
RewriteRule ^(.*)$ http://нашсайт.ru/ [R=301,L]