Nexus Notes

Сталкивались ли вы с проблемами отправки сообщений Jabber с Google Hosted services на аккаунт вне вашего домена?

Если вы хотите, что бы ваш jabber сервер был доступен для общения и с другими доменами интернета (что называется “федерация”), будьте добры настроить DNS записи для вашего домена, как показано на примере ниже:

_xmpp-client._tcp 900 IN SRV 5 0 5222 jabber.example.com.
_xmpp-server._tcp 900 IN SRV 5 0 5269 jabber.example.com.
_jabber._tcp      900 IN SRV 5 0 5269 jabber.example.com.

Если вы используете службы google hosted для вашего домена, что бы корректно общаться со всеми в google talk (jabber) вам необходимо прописать следующие настройки:

_xmpp-server._tcp. IN SRV 5 0 5269 xmpp-server.l.google.com.
_xmpp-server._tcp. IN SRV 20 0 5269 xmpp-server1.l.google.com.
_xmpp-server._tcp. IN SRV 20 0 5269 xmpp-server2.l.google.com.
_xmpp-server._tcp. IN SRV 20 0 5269 xmpp-server3.l.google.com.
_xmpp-server._tcp. IN SRV 20 0 5269 xmpp-server4.l.google.com.
_jabber._tcp. IN SRV 5 0 5269 xmpp-server.l.google.com.
_jabber._tcp. IN SRV 20 0 5269 xmpp-server1.l.google.com.
_jabber._tcp. IN SRV 20 0 5269 xmpp-server2.l.google.com.
_jabber._tcp. IN SRV 20 0 5269 xmpp-server3.l.google.com.
_jabber._tcp. IN SRV 20 0 5269 xmpp-server4.l.google.com.

Была недавно замечена в работе удивительно полезная утилита  Overdisk, которая весьма наглядно, круговыми диаграммами отобразит, что именно занимает дисковое пространство на сервере.

А может это видеоархив в .doc? Или mp3 запрятал пользователь промеж файлов 1Ски?

Все это поможет выявить freeware (!) программа  Overdisk

В случае, если вы предоставляете услуги хостинга вам будет небесполезно знать, как быть, если сайты содержат старые версии публичных движков Joomla, ShopScript, WordPress, etc и периодически подвергаются взломам.

В таких случаях править код и обновлять версии клиентского ПО самостоятельно вы не будете по понятным причинам, да и не всегда у клиента есть возможность найти программера/фрилансера готового выполнить обновление работающего и приносящего доход, хотя и старого интернет-магазина или форума.

Может быть есть простой способ запретить обычные SQL инъекции, directory traversing и остальные распространенные методы взлома? Оказывается, такой способ есть и предоставляет его модуль apache под названием mod_security.

При помощи определенного набора правил, примерно как у Spamassassin, происходит тестирование вызываемого URL на предмет конструкций ../../../ и отправка в POST данных вида ‘ or 1=1

Для FreeBSD ставится довольно просто:

portinstall mod_security2

Для того, что бы довести функционирование этого модуля до ума прийдется потратить пару дней на изучение логов работы модуля и отключение ложных срабатываний (кои случаются) и обучению новым трюкам, что, в конечном счете, даст вам возможность спать спокойнее. На производительности сервера этот модуль отражается несущественно.

Отключать модуль для определенного сайта можно в секции vhosts указав

    <IfModule mod_security2.c>
            SecRuleEngine off
    </IfModule>

Применение данного средства является хорошим “пугалом”, но не есть панацея. Обновляйте ваши движки чаще, и закрывайте дыры в безопасности. И да прибудет с вами сила.

Пример логов:

[04/Jan/2010:09:15:52 +0200] [www.xxxxxxxx.com.ua/sid#28efbb60][rid#29a56058][/_vti_bin/owssvr.dll][1] Access denied    with code 500 (phase 2). Pattern match  "\.(?:c(?:o(?:nf(?:ig)?|m)|s(?:proj|r)?|dx|er|fg|md)|p(?:rinter|ass|db|ol|wd)|v(?:b(?:proj|s)?|sdisco)|a(?:s(?:ax?|cx)|xd)  |d(?:bf?|at|ll|os)|i(?:d[acq]|n[ci])|ba(?:[kt]|ckup)|res(?:ources|x)|s(?:h?tm|ql|ys)|l(?:icx|nk|og)|\w{0,5}~|webinfo|ht[rw  ]|xs[dx]| ..." at REQUEST_BASENAME. [file   "/usr/local/etc/apache22/Includes/mod_security2/modsecurity_crs_30_http_policy.conf"] [line "94"] [id "960035"] [msg "URL   file extension is restricted by policy"] [severity "CRITICAL"] [tag "POLICY/EXT_RESTRICTED"]

Набрел на забавную утилиту apachetop

Вот такой простенький, порой, бывает нужен анализатор состояния апача, вдруг атакует кто?

Заметку побудило написать мое удивление при настройке печати через D-Link DIR-320, а именно несвойственная такого класса устройствам безгеморройность в настройке.

Для того что бы наш Xerox 3119 корректно распознался коробочкой пришлось обновить прошивку с 1.00 до 1.10, и после этого, о чудо, принтер был роутером обнаружен и автоматически настроен.

Read more »

Если при установке zabbix 1.8 на FreeBSD вы получаете сообщения вида:

60622:20091223:144406.024 Can’t allocate shared memory of size 8388608 [Cannot allocate memory] 60622:20091223:144406.024 Can’t allocate shared memory for configuration cache.

знайте, все дело в системных настройках sysctl.conf

в порядке тестирования пропишите

sysctl kern.ipc.semmni=128 sysctl kern.ipc.semmns=32000 sysctl kern.ipc.semmax=32000 sysctl kern.ipc.semmsl=250 sysctl kern.ipc.shmmni=4096 sysctl kern.ipc.shmmax=2147483648 sysctl kern.ipc.shmall=2097152

или сразу в /etc/sysctl.conf, тогда потребуется перезагрузка

kern.ipc.semmni=128 kern.ipc.semmns=32000 kern.ipc.semmax=32000 kern.ipc.semmsl=250 kern.ipc.shmmni=4096 kern.ipc.shmmax=2147483648 kern.ipc.shmall=2097152

проблема должна рассосаться

В этом посте я постарался собрать свои и чужие заметки по работе с ESXi, так как сама идея виртуализации довольно интересна.

Алексей Перестюк – боевой товарищ, с которым отучились в киевском физмате УФМЛКУ, правильное дело делает двигая в массы технологии виртуализации и железо от Onix.

Здесь его вебинар по VMWare ESXi

Подборка моих заметок о vmware с nexus.org.ua

О бекапе vmware esxi

Как в VMWare расширить диск

Виртуализация средствами VMWare

Способ миграции сервера из виртуалки на физику и обратно

(updated) VMWare сервер, контроллер домена и проблемы с синхронизацией по времени

Если VMWare образы систем очень ТОРМОЗЯТ

Ставил в production VMWare сервер

Установка ESX на Proliant ML110 G5

и на закуску практический опыт, мой подкаст совместно с brj:

• Виртуализация средствами VMWare ESX 3.5i, опыт эксплуатации.
• снижение Total Cost of Ownership
• оборудование для виртуализации
• Windows Home Server
• Novell OES

Практическое погружение в VMWare ESX

Не секрет, что практически у каждой организации есть специальная расшаренная папка для обмена, чаще называемая “файлопомойкой”.

Есть ли хороший способ уборки мусора? Что бы кто-то приезжал на мусоровозе и увозил каждый вечер кучи ненужных файлов подальше от хранилища?

Оказывается есть! Раньше я пользовался простым, как канализационный люк, способом “убить все по расписанию в 00:00″ и после пары-тройки случаев потерянных каталогов и файлов пользователи приучивались к долгосрочному хранению в обменнике с осторожностью.

На просторах хабра был выужен гораздо более гуманный и удачный способ очистки Exchange, принципы работы которого я опишу ниже:

1. запускаясь каждый вечер скрипт перекладывает файлы и папки с датой модификации -7 дней (неделю назад) в каталог deletion_queue.

2. скрипт удаляет из deletion_queue каталоги и файлы старше 10 дней.

3. можно создать каталог с именем dont_delete, который не будет очищаться совсем.

Итак, виновник поста: clear_exchange_v2s.vbs

Спасибо автору, Константину Тимохину (k.timokhin@gmail.com)