01.21.08
Posted in wonderland, linux at 2:47 am by viliar
Все-таки получается довольно большой гемморой с multiparition raid c lvm поверх него. В принципе есть довольно много более простых схем.
{ /dev/sda; /dev/sdb } диски
{ /dev/sd(a/b)1; /dev/sd(a|b)2; /dev/sd(a|b)3; } разделы
{ /dev/md0 - /boot; /dev/md1 - root; /devmd2 - lvm; }. неколько рейдов на их основе. Таким образом мы избавляемся от multipartition raid и
autodetect ядром должен без всякий проблем происходить.
А то строка параметров ядра выглядела у меня вот так:
kernel /vmlinuz-xxxx raid=noautodetect,part md=d0,/dev/sda2,/dev/sdb2 root=/dev/md_d0p1
потом стала еще круче при смене нодовой системы:
kernel /vmlinuz-xxxx raid=noautodetect,part md=d0,/dev/sda2,/dev/sdb2 root=/dev/mapper/serv-centos
Плюс пришлось собирать модифицированный initrd для корректной загрузки с lvm
Однако с grub’ом по-прежнему могут быть проблемы, если его использовать в качестве загрузчика. default saved в конфиге работать не будет из-за проблем
записи на рейд из grub. Что очень обломно при удаленном обновлении ядер. Решением может быть вынос /boot на не рейдовый раздел. Либо использование lilo. Кстати, надо бы посмотреть, не изменилось ли в этом отношении что-то в grub2.
Помимо это в принципе, при использовании lvm использование рейда
становится не очень обязательным. lvm имеет собственные средства для зеркалирования томов. Правда открытым вопросом остается, будет ли рутовый каталог нормально грузится с такого lvm. В связке с рейдом это было проблемой (up). Опять же, надо гуглить и маны смотреть ).
Ну и в связи с этим всем нельзя не отметь выход десятой альфы btrfs, о которой я писал до этого. Подрастает альтернатива zfs ) Главное, чтоб из-за такой обалденной “фичастости” не слишком ужасно
страдала скорость.
Permalink
12.24.07
Posted in linux at 3:42 pm by viliar
“Comodo regrets to announce that it will discontinue all distribution, updates and direct support for Trustix Secure Linux effective December 31, 2007. The user support forum at www.trustix.org/forum will continue to remain online throughout 2008.”
Вобщем, хорошо, что мы перебираемся на CentOS (и главным образом перебрались), плохо, что оставшийся процесс продвигается мееедленно 
Отсутствие обновлений, местам могущих оказаться критическими - хороший повод сделать это побыстрее.
Permalink
12.12.07
Posted in linux at 2:07 pm by viliar
Как-то эта новость совсем мимо меня прошла.
Автор Dspam фильтра Jonathan Zdziarski передал права на свой проект компании Sensory Networks. Вроде бы даже обещали его оставить опенсусрным и поддерживать. Будем надеяться, что так и будет.
В любом случае, последнюю версию всегда можно будет форкнуть.
GPL рулит 
Permalink
11.08.07
Posted in linux at 2:24 pm by viliar
В последнем обновлении ядра 2.6.18 от OpenVZ RedHat based ветке по многочисленным просьбам добавили очень классую вещь из
grsec’овских патчей - TPE (Trusted Path Execution). Работает в двух режимах. Full и Partial restircted. Основная мысль понятна из перевода названия - проверка PATH, из которого запускают бинарный файл.
В режиме полного запрещения програмы можно запускать только
из каталогов, пренадлежащих пользователю root и при этом
недоступных на запись группе и остальным пользователям. То есть, можно смело забыть, в частности, про запуск из каталога /tmp. Конечно, это не единственный способ. Можно использовать rbash + restricted PATH. Что я и делаю. Но это ведь не единственный способ запускать программы. Можно также монтировать отдельный раздел с noexec, но это решение не очень подходит, если используются vps (virtual privat servers).
В более мягком режиме пользователь может запускать программы из своих каталогов и тех, что пренадлежат root’у.
Решение, на мой взгляд, хорошее для веб-сервера.
Что меня окончательно покорило:
Возможность включить это опционально,чтобы была возможность
управлять этой настройкой через sysctl:
[root@shadow ~]# sysctl -a | grep tpe
kernel.grsecurity.tpe_restrict_all = 0
kernel.grsecurity.tpe_gid = 0
kernel.grsecurity.tpe = 0
И полная виртуализация. Благодаря этому есть возможность для
какого-то vps отключить tpe, а для остальных настроить в соответствии со своими нуждами. Более-менее подробное описание сего можно найти в описании при сборке ядра или документации grsec.
Permalink
Posted in linux at 1:26 pm by viliar
С большим опазданием заметил, что 2007-06-18 вышла версия 1.0.0 моего любимого windows manager’а - evilwm. Минималистичного донельзя. Сегодня вечером нужно дома обновиться )
Permalink
11.02.07
Posted in linux, mail at 6:04 pm by viliar
Во время очередного обхода почтового сервера вдруг заметил, что при перезапуске с консоли демонзированный dspam по-прежнему занимает pty.
# ps aux | grep dspam
dspam 1798 0.2 0.2 4200 1584 pts/1 S 14:53 0:00 dspam –daemon
Не смотря на то, что он запускается из под sudo, но мне это все равно как-то не понравилось, особенно вспоминая дебиановскую багу с апачем, позволяющую в такой ситуациии выполнять команды от рута. Это, имхо, невозможно в данной ситуации, но все же. Программа же запускается как демон, зачем ей терминал?
Добавил во фьючерлист dspam’а, но захотелось найти решение.
Не помню, но как-то началось с системного вызова setpgrp, попутно нашел скриптик перловый в мейллистах dspam’а. И в конце концов с
удивлением нашел, что в линуксе есть не только системный вызов
setsid, но и одноименная утилита.
sudo -u dspam setsid dspam –daemon
и вуаля:
ps aux | grep dspam
dspam 1996 0.1 0.2 4200 1580 ? Ss 15:03 0:00 dspam –daemon
Лепота.
//Век живи - век учись, однако.
Permalink
08.31.07
Posted in linux at 4:06 pm by viliar
GRE рулит…
Permalink
07.11.07
Posted in linux, devices at 7:57 pm by viliar
Хочу вот такую штуку себе приобрести:
В октябре приделают поддержку Wi-FI и может быть к НГ сделаю себе такой подарок
openmoko
Permalink
07.08.07
Posted in wonderland, linux at 1:45 am by viliar
Переехали на колокейшн от инфобокс. Ну-с, пропробуем, каков он на вкус )
Permalink
06.26.07
Posted in wonderland, linux at 12:23 am by viliar
Ну вот, по-большему счету переезд с trustix linux на centos закончен. Или начат, смотря как посмотреть ).
Впечатления двойственные. С одной стороны новое ovz ядро со всякими вкусностями и много другого хорошего, с другой стороны неприятно удивило отсутствие под пятый centos reiserfs-utils. Патч see_other_uid с 2.6.9 (Правильнее его было бы по другому назвать,
ведь ключевая мысль - запретить, но я его по аналогии с bsdшной
переключалкой называл ) не смог прикрутить и не факт, что у меня получится. А еще кучу софта придется пересобирать под него. Вобщем, не было бы несчастья, не сподобился бы я таки дособрать/дожать ve0 под него. И чего под trustix не сиделось? Ну подумаешь, используют последние ядра с kernel.org, обовляя их почти также часто, как появляются 2.6.aa.bb. Ну не всем же ядром заниматься.
Ан нет, полез черту на рожон.
Ну, с почином нас
Permalink
« Previous entries · Next entries »