Прикладная дебианавтика

Mailman + nginx + fcgiwrap

2011-01-13T15:58:00Z

Воткнулся в проблему с тем, что веб-интерфейс mailman развёрнутый на такой связке частично неработоспособен. Страницы на первом уровне вложенности показывает, глубже - показывает так же, как и на первом уровне. Путь к пониманию проблемы нашёлся здесь. Оказалось fcgiwrap не передаёт в cgi-окружение переменную PATH_INFO. Простое решение - обновить до 1.0.3 из Sid.

Debian vs Ruby

2010-10-07T09:16:00Z

Прочитал несколько постов на тему разногласий между сообществами Debian и Ruby. Ознакомиться рекомендую, поучительно.

Lucas Nussbaum делится в одной из своих статей интересным наблюдением:

But I’m really wondering why the Ruby community generates so many poisonous people.

Я на это обращал внимание ещё несколько лет назад, когда делал выбор между Python/Django и Ruby/Rails. Враждебность сообщества была одним из веских аргументов против. Хотя в рунете это не так заметно, здесь все сообщества довольно агрессивно настроены по отношению друг к другу. Когда-то меня чуть не побили на сходке любителей FreeBSD: пытался вести дискуссию о преимуществах apt+dpkg перед портами.

Апгрейд сервера до Squeeze

2010-08-11T06:03:00Z

Очередной тестинг на днях заморозили и я решил, что пришло время по крайней мере личные сервера апнуть. Расскажу о тех проблемах с которыми столкнулся при апгрейде своего основного web-хоста и как их победил.

Djapian прокрался в squeeze

2010-05-28T08:28:00Z

Между делом обнаружил в почте сообщение от Debian testing watch:

FYI: The status of the python-django-djapian source package
in Debian's testing distribution has changed.

 Previous version: 2.3.1-1
 Current version:  2.3.1-3

Djapian - это подключаемое приложение Djago, позволяющее довольно легко и при этом гибко реализовать поиск по моделям. Подробнее о нём можно почитать в блоге Александра Кошелева, одного из авторов.

Похоже мой пакет попадёт в следующий стабильный выпуск. Версия 2.3.1-3 снабжена патчем, который позволяет Djapian работать на Xapian 1.2, что в свою очередь снимает последнее препятствие на пути в stable.

Семейство пакетов harden

2009-09-24T14:29:00Z

Вчера писал про пакет harden-servers. При ближайшем рассмотрении оказалось, что имеется целое семейство пакетов:

harden-clients: этот конфликтует с небезопасными клиентами типа ftp, а за одно зависит от openssh-client;
harden-doc: этот устанавливает соответствующую случаю документацию: Securing Debian Manual из Debian Documentation Project;
harden-nids: зависит от ntop или snort;
harden-servers: с этим всё уже ясно;
harden-tools: этот предлагает утилиты, предназначеных для усиления или анализа безопасности локальной системы;
harden-development: а этот предлагает единственную тулзу, про которую я даже не знал — rats; ознакомлюсь на досуге;
harden-environment: написано, что «предоставляет более безопасное окружение или, по крайней мере, инструменты для его настройки», предлагает кучку всего и harden-nids;
harden-remoteaudit: зависит от сервера OpenVAS, предлагает его же клиент, всякие снифферы, опять harden-nids и Nagios;
harden-surveillance: зависит от любой из версий Nagios, включая ископаемый NetSaint.

Мне за всю практику на своих серверах не приходилось сталкиваться с вторжениями, хотя специальных хитрых мер я как-то не предпринимал за ненадобностью. Хотя была инсталляциия, на которой разворачивался Nagios. Он там для других целей был, но уж за одно и безопасность мониторил. Ну, ещё chkrootkit по привычке везде ставлю. Бывает ещё аудит паролей в некоторых местах провожу.

Ещё имею привычку незнакомые web-приложения (всё что не обновляется из дебиановских репов или из других надёжных источников) запускать на отдельном сервере, где они ещё по отдельным клеткам разогнаны.

А вы из всего этого великолепия чем-нибудь пользуетесь?

Пакет harden-servers

2009-09-24T07:47:00Z

Сегодня пришлось разворачивать ftp-сервер. Не связывался с этой гадостью уже наверное лет 8. Стал смотреть что предлагается в дебиановских репозитариях, остановился на vsftpd. Но пост не об этом.

Как вариант рассматривал ProFTPd. Обнаружил у него в конфликтах интересный пакет harden-servers. Он конфликтует с целым ворохом пакетов (цитирую):

сетевые службы, которые требуют пароля простым текстом;
пакеты, которые могут дать кому-либо доступ к локальному хосту без разрешения;
пакеты, выдающие системную информацию удалённым пользователям.

Приписка в конце описания:

NOTE! This package will not make your system uncrackable, and it is not intended to do so. Making your system secure involves a LOT more than just installing a package.

Update: harden-servers конфликтует и с vsftpd тоже. Не даром я давно проклял этот протокол.

Сборка драйверов Broadcom для ядра 2.6.29

2009-04-18T12:01:00Z

В прошлом году Broadcom выпустил «приоткрытые» драйвера для некоторых своих беспроводных чипов. Для поддержки беспроводки на моём старом Dell Inspiron 2200, мне довелось перепробовать все возможные варианты: ndiswrapper, bcm43xx, b43. Купив недавно новый Dell Inspiron 1525, решил, что раз уж его BCM4312 в списке подерживаемых родным драйвером, то нужно пробовать.

Настройка окружения разработки на Python

2009-03-17T16:14:00Z

Сегодня писал для своих сотрудников мануал по созданию и поддержке окружения для разработки на Python. В нашем случае - сприцелом на Django, но мануал довольно обобщённый.

Ничего нового здесь нет и не предполагалось, просто описана методика совместного использования нескольких инструментов разного уровня для создания стабильной эко-системы, не подверженной колебанию настроения пользователя (кто активно использовал easy_install, тот поймёт о чём я). Пост, на первый взгляд, несколько в стороне от заявленной темы блога, но писалось с прицелом на пользователей Debian/Ubuntu и подходы использованные для решения задачи - очень в духе Debian. Любые конструктивные отзывы приветствуются.

Перенос почты из одного аккаунта Gmail в другой

2008-11-21T11:49:00Z

Нужно было перенести почту из одного ящика Gmail в другой. Один из них на самом деле в домене на Google Applications, но принципиально это дела не меняет. Метод переноса предельно прост: подключаемся к обоим аккаунтам по IMAP4 и из аккаунта-источника копируем все сообщения, лежащие в папке download в папку upload аккаунта-получателя.

На малых объёмах почты процедуру наверное можно произвести с помощью какого-нибудь почтового клиента. Но мне нужно было перенести несколько тысяч сообщений. Icedove не справился, а Sylhead Claws я решил не настраивать, поскольку быстрее и надёжнее - наскриптовать.

Рекордный аптайм

2008-08-22T08:04:00Z

Сегодня мне придётся потушить машину, которая провела в аптайме 1110 дней. Жаль, но всё когда-нибудь кончается. Зато обнаружил, что эта машина попала в top10 по аптайму. Правда всего лишь на 10 место, но тоже достижение.

Разница в выводе GNU tar и BSD tar

2008-08-19T10:36:00Z

Писал скрипт развёртывания web-проекта на сервер, работающий под управлением FreeBSD. Наткнулся на одну фишку, сначала даже не понял в чём дело. BSD tar и GNU tar оказывается по ключу verbose выводят информацию по-разному. Пример. Одна и та же команда:

tar -cvf /dev/null / >/dev/null

Даёт разный эффект. На GNU-системе (в моём случае Debian, но думаю, что на любом Linux будет так же) вывода нет, всё уходит в /dev/null. На BSD список файлов всё равно выводится. А всё потому, что BSD tar валит информацию по verbose в stderr. Ни объяснений, ни упоминаний по этому поводу в манах не нашел.

Подключение к Корбине через l2tp

2008-08-01T11:27:00Z

Некоторое время назад поднимал на Debian Etch подключение через Корбину. Столкнулся с тем, что вроде информации на тему l2tp много, но так чтобы всё было debian way и одним куском - нигде. Решил написать свой мануал.

Автоматические обновления с помощью cron-apt

2008-02-17T13:53:00Z

Когда количество серверов на поддержке переваливает за второй десяток, поневоле начинаешь думать как бы так сделать, чтобы удобные, но очень скучные aptitude update && aptitude upgrade происходили без вмешательства со стороны занятого более творческой работой администратора. В бытность свою молодым джедаем, меня посещала гениальная мысль засунуть эти команды в шедулер. Ничего хорошего из этого, разумеется, не вышло. При желании, конечно, можно написать скрипт автоматизирующий эту задачу, но это уже будет велосипедостроение.

Пакет cron-apt представляет собой утилиту, с помощью которой автоматизируется скачивание, а при желании и установка обновлений. Расскажу как я обычно настраиваю его и apt sources.

Вести с полей. Разбираем урожай спама.

2008-02-09T15:13:00Z

Неожиданно остро встала проблема спама. 500 и более писем в день, из которых фильтром отсеивается большая часть, но с десяток всё равно прорывается. А иногда, видимо когда спамеры придумывают как обходить фильтры, прорывается сразу 3-4 десятка в течение получаса. В общем напрягает. Такое количество сыплется потому, что на меня стоят редиректы системных почтовых ящиков (webmaster, hostmaster, postmaster, abuse) примерно с сотни доменов. Я бы уже и рад перенаправить их в /dev/null, но не привык отступать от RFC. По моему глубокому убеждению, интернет стал таким какой он есть (интероперабельным и глобальным) только потому, что соблюдались RFC. В случае с электронной почтой RFC 2142 явно требует существования в каждом домене как минимум адресов postmaster и abuse. Для нежелающих соблюдать это требование, даже придуман специальный чёрный список.

И вообще, отказаться от получения почты только потому, что туда сыплется спам - это не наш путь. Мне, например, гордость не позволяет. В войне со спамерами я не намерен капитулировать.

Один из самых эффективных методов борьбы со спамом, которые я когда-либо видел - это greylisting. Но у него есть неприятный побочный эффект - задержка первой доставки по триплету хост-отправитель-получатель.

Traffic Shaping/Control с помощью Shorewall

2007-10-19T11:45:00Z

Есть vpn-сервер. К vpn подключается несколько клиентов. Подключения в течение рабочего времени висят практически постоянно. На том же самом канале, к которому подцеплен vpn-сервер висит десяток пользователей. Всё бы ничего, но один из этих пользователей иногда делает рассылки на несколько сотен адресов (он не спамер, адреса получены вполне легально из опросников клиентов). Мзт-сервер так же является маршрутизатором (что логично) и почтовым сервером (что не очень логично, но так уж получилось). Для пользователя отправка происходит в один момент. Но после этого вся ширина канала забивается smtp-соединениями. Это почтовый сервер спешит доставить почту. Разумеется, по vpn пользователи работать какое-то время не могут.