high availability http load balancer

25/03/2010

На просторах интернетов был найден software http load balancer для распределения нагрузки на web-front.

По многообещающим страницам сайта можно предположить, что модуль способен выдержать распределение http запросов с нагрузкой в десятки тысяч запросов в секунду.

Впечатляющих результатов достиг Chris Knight:

200 Terabytes Served in 81 Days = 2.47TB per day!

Управление Active Directory: групповые операции над аттрибутами

11/03/2010

Для тех, кто любит и умеет готовить AD не секрет, что работа со свойствами пользователей в больших количествах занятие трудоемкое.

Какие-то свойства профиля можно задать групповой операцией,  а какие-то нет.

Нелегкий труд ADмина призвана облегчить сия утилита.

Вопрос про отказоустойчивость сервисов, например, FTP

04/03/2010

интересный вопрос мне задали сегодня

вот есть публичный FTP, скажем даже два FTP сервера на разных площадках хостинг-провайдера.

Как организовать доступность сервиса в случае падения одного из серверов?

DNS? А вообще бывает такой «пингующий» DNS, который будет исключать IP сервиса из резолва, если тот не «живой»?

Нагуглил, меж тем, вот такой девайс

за $10 000.
Но с поправкой на нашу суровую реальность смотрим на более бюджетные вещи 🙂

открыть/закрыть open relay Exchange 2007

03/02/2010

было дело, открыл однажды open relay на Exchange для внутренних нужд,

и вот на днях этот сервер стал публичным, а open relay, о ужас, остался!

Закрыть его было делом таким же непростым как и открыть, поэтому записываю, дабы не забыть:


UPDATE:

хозяйке на заметку: лучший сервис тестирования почтового сервера на предмет корректной настройки DNS/SMTP и наличия в спамлистах.

Хозяйке на заметку: корректная настройка DNS записей для сервера jabber

20/01/2010

Сталкивались ли вы с проблемами отправки сообщений [Jabber с Google Hosted services](http://googletalk.blogspot.com/2006/01/xmpp-federation.html) на аккаунт вне вашего домена?

Если вы хотите, что бы ваш jabber сервер был доступен для общения и с другими доменами интернета (что называется «федерация»), будьте добры настроить DNS записи для вашего домена, как показано на примере ниже:

_xmpp-client._tcp 900 IN SRV 5 0 5222 jabber.example.com.
_xmpp-server._tcp 900 IN SRV 5 0 5269 jabber.example.com.
_jabber._tcp 900 IN SRV 5 0 5269 jabber.example.com.

Если вы используете службы google hosted для вашего домена, что бы корректно общаться со всеми в google talk (jabber) вам необходимо прописать следующие настройки:

_xmpp-server._tcp. IN SRV 5 0 5269 xmpp-server.l.google.com.
_xmpp-server._tcp. IN SRV 20 0 5269 xmpp-server1.l.google.com.
_xmpp-server._tcp. IN SRV 20 0 5269 xmpp-server2.l.google.com.
_xmpp-server._tcp. IN SRV 20 0 5269 xmpp-server3.l.google.com.
_xmpp-server._tcp. IN SRV 20 0 5269 xmpp-server4.l.google.com.
_jabber._tcp. IN SRV 5 0 5269 xmpp-server.l.google.com.
_jabber._tcp. IN SRV 20 0 5269 xmpp-server1.l.google.com.
_jabber._tcp. IN SRV 20 0 5269 xmpp-server2.l.google.com.
_jabber._tcp. IN SRV 20 0 5269 xmpp-server3.l.google.com.
_jabber._tcp. IN SRV 20 0 5269 xmpp-server4.l.google.com.

наглядный анализатор использования диска Overdisk

13/01/2010

Была недавно замечена в работе удивительно полезная утилита  Overdisk, которая весьма наглядно, круговыми диаграммами отобразит, что именно занимает дисковое пространство на сервере.

А может это видеоархив в .doc? Или mp3 запрятал пользователь промеж файлов 1Ски?

Все это поможет выявить freeware (!) программа  Overdisk

mod_security2 или как обезопасить свой хостинг от злодеев?

03/01/2010

![mod_security for apache](http://nexusnotes.ru/wp-content/uploads/2010/01/mod_security_for_apache.png)

В случае, если вы предоставляете услуги хостинга вам будет небесполезно знать, как быть, если сайты содержат старые версии публичных движков Joomla, ShopScript, WordPress, etc и периодически подвергаются взломам.

В таких случаях править код и обновлять версии клиентского ПО самостоятельно вы не будете по понятным причинам, да и не всегда у клиента есть возможность найти программера/фрилансера готового выполнить обновление работающего и приносящего доход, хотя и старого интернет-магазина или форума.

Может быть есть простой способ запретить обычные SQL инъекции, directory traversing и остальные распространенные методы взлома? Оказывается, такой способ есть и предоставляет его модуль apache под названием [mod_security](http://www.modsecurity.org/).

При помощи определенного набора правил, примерно как у Spamassassin, происходит тестирование вызываемого URL на предмет конструкций ../../../ и отправка в POST данных вида ‘ or 1=1

Для FreeBSD ставится довольно просто:

portinstall mod_security2

Для того, что бы довести функционирование этого модуля до ума прийдется потратить пару дней на изучение логов работы модуля и отключение ложных срабатываний (кои случаются) и обучению новым трюкам, что, в конечном счете, даст вам возможность спать спокойнее. На производительности сервера этот модуль отражается несущественно.

Отключать модуль для определенного сайта можно в секции vhosts указав


SecRuleEngine off

Применение данного средства является хорошим «пугалом», но не есть панацея. Обновляйте ваши движки чаще, и закрывайте дыры в безопасности. И да прибудет с вами сила.

Пример логов:

[04/Jan/2010:09:15:52 +0200] [www.xxxxxxxx.com.ua/sid#28efbb60][rid#29a56058][/_vti_bin/owssvr.dll][1] Access denied with code 500 (phase 2). Pattern match «\.(?:c(?:o(?:nf(?:ig)?|m)|s(?:proj|r)?|dx|er|fg|md)|p(?:rinter|ass|db|ol|wd)|v(?:b(?:proj|s)?|sdisco)|a(?:s(?:ax?|cx)|xd) |d(?:bf?|at|ll|os)|i(?:d[acq]|n[ci])|ba(?:[kt]|ckup)|res(?:ources|x)|s(?:h?tm|ql|ys)|l(?:icx|nk|og)|\w{0,5}~|webinfo|ht[rw ]|xs[dx]| …» at REQUEST_BASENAME. [file «/usr/local/etc/apache22/Includes/mod_security2/modsecurity_crs_30_http_policy.conf»] [line «94»] [id «960035»] [msg «URL file extension is restricted by policy»] [severity «CRITICAL»] [tag «POLICY/EXT_RESTRICTED»]

apachetop

29/12/2009

Набрел на забавную утилиту apachetop

Вот такой простенький, порой, бывает нужен анализатор состояния апача, вдруг атакует кто?

Снимок экрана 2009-12-10 в 18.48.14.png

D-Link DIR-320 и сетевая печать

28/12/2009

Заметку побудило написать мое удивление при настройке печати через D-Link DIR-320, а именно несвойственная такого класса устройствам безгеморройность в настройке.

Для того что бы наш Xerox 3119 корректно распознался коробочкой пришлось обновить прошивку с 1.00 до 1.10, и после этого, о чудо, принтер был роутером обнаружен и автоматически настроен.

xerox 3119 printserver

read more …

Ошибка при установке на FreeBSD zabbix 1.8

24/12/2009

zabbixЕсли при установке zabbix 1.8 на FreeBSD вы получаете сообщения вида:

freebsd logo

60622:20091223:144406.024 Can’t allocate shared memory of size 8388608 [Cannot allocate memory]
60622:20091223:144406.024 Can’t allocate shared memory for configuration cache.

знайте, все дело в системных настройках sysctl.conf

в порядке тестирования пропишите

sysctl kern.ipc.semmni=128
sysctl kern.ipc.semmns=32000
sysctl kern.ipc.semmax=32000
sysctl kern.ipc.semmsl=250
sysctl kern.ipc.shmmni=4096
sysctl kern.ipc.shmmax=2147483648
sysctl kern.ipc.shmall=2097152

или сразу в /etc/sysctl.conf, тогда потребуется перезагрузка

kern.ipc.semmni=128
kern.ipc.semmns=32000
kern.ipc.semmax=32000
kern.ipc.semmsl=250
kern.ipc.shmmni=4096
kern.ipc.shmmax=2147483648
kern.ipc.shmall=2097152

проблема должна рассосаться