Az apt gyorsítótár kikapcsolása

Ha elég kevés a hely a gépen, akkor jól jöhet az apt cache-ének (/var/cache/apt/archives/) kikapcsolása. A cache-nek jó régen volt utoljára értelme: amikor még betárcsázós drága, vagy MB-korlátos (igen, MB, nem GB!) volt a netelérésünk.

Nos, így kell:

Ugribugri: SSH és ProxyJump

A múltkor (három éve) írtam meg, hogy miként lehet SSH-ban megoldani azt, ha a gépedről egy másik közbejöttével akarsz SSH-zni egy harmadikra:

otthon --> DMZ-ben ülő szerver (1.2.3.4) --> DMZ mögött ülő céges gép (10.0.0.10)

Nost, a múltkori ProxyCommand helyett (most már elég régen) itt a ProxyJump:

$ cat .ssh/config

Host *
    ServerAliveInterval 60

Host dmz
    Hostname 1.2.3.4
    Port 22
    User dmz-juzer
    IdentityFile ~/kulcs1.pem

Host belso
    Hostname 10.0.0.10
    User belso-juzer
    ProxyJump dmz
    IdentityFile ~/kulcs2.pem

És ekkor már csak azt kell mondanod, hogy:
ssh belso

Irodalom:
https://serverfault.com/questions/337274/ssh-from-a-through-b-to-c-using-private-key-on-b#comment1036000_701884
https://superuser.com/questions/1253960/replace-proxyjump-in-ssh-config

SCP account SSH nélkül - rssh

Ha azt szeretnénk, hogy valahova scp-zhessünk (remélem tetszik a toldalék), de nem akarunk bejelentkezési lehetőséget is adni a gépre, akkor logikusnak tűnhet az /etc/passwd-ben a /bin/false shell beállítása az adott usernek. Annak tűnhet, de akkor az scp sem megy.

TFTP-szerver Debian 9 Strech-en atftpd-vel

Kezdjük a szerver és a kliens telepítésével:

root@debian9:~# apt-get install atftpd atftp

Egyesek szerint nem haszontalan, ha az ember olvas. Megragadja figyelmünket a vastaggal kiemelt rész:

The following additional packages will be installed:
  libevent-2.0-5 libfile-copy-recursive-perl openbsd-inetd update-inetd

Ezek szerint az atftpd inetd-t használ. Na, majd leszoktatjuk róla:)

Távoli naplózás hostonként külön fájlba rsyslogd-vel Debian 9 Stretch-en

Jó három és fél éve már volt egy videósorozatom, benne egy videóval, ami a központi naplózószerver kialakítását mutatta be rsyslog használatával. Azóta sem változott sokat a dolog, de most azért egy fokkal tovább lépünk: megoldjuk, hogy az egyes eszközök üzenetei külön fájlba (is) kerüljenek.

Monitorhoz igazodó, 16:9-es arányú felbontás VirtualBox-ban futó Linux-konzolban

Szerettem volna egy demonstrációhoz egyetlen öreg laptopkámra olyan Debian-t varázsolni, amelyiknek a konzolos/parancssori/tty felbontása megegyezik a laptopéval, azaz 1336x768.

Pár HOWTO szerint a GRUB-bal kell machinálni, de hiába állítottam be akár a fenti, akár a FullHD 1920x1080 felbontását, bakfitty az eredmény, nem vett róla tudomást - viszont az 1024x768 ment.

Mos' akkó' miva' ?! (pocsékolom itt az aposztrófokat...)

Zabbix 3 telepítése Debian 9 Stretch-re

Bár a poszt írásakor már van Zabbix 3.4 is, itt mégis a 3.0-ás Zabbixot telepítjük, mert az van a Debian 9-ben.

A Zabbix egy monitorozó-riasztó-esetkövető-vizualizáló-kitudjamégmimindenttudó rendszer, amely alapvetően három részből áll:

• Zabbix szerver, ami az adatokat gyűjti, és MySQL-be MariaDB-be vagy PostgreSQL-be rögzíti
• Zabbix kilens, amely vagy fut a megfigyelt gépen (ha bonyolultabbat is tudni akarunk róla), vagy nem (ha például csak az érdekel, hogy eléhető-e)
• Zabbix PHP-frontend, ami tulajdonképp a GUI a szerverhez

Ezek közül telepítsük az elsőt meg az utolsót a szerverünkre:

apt install zabbix-frontend-php zabbix-server-mysql

A szerver telepítése

Nginx server block-ok (vrtualhost-ok) Debian 8 Jessie-n

Ebben a cikkben Debian 8 Jessie rendszeren beállítunk egy nginx webszervert, rajta két server block-kal. Az apache-on nevelkedettek a server block kifejezést virtualhost néven ismerhetik - mindkét dolog azt takarja, hogy a webszerver más-más weboldalt szolgál ki a beérkező kérés URL-jében lévő szerver neve alapján.

A két server block a két Debian-tükröt szolgálja ki, amelyeket az előző cikkben készítettünk el.

Telepítsük a webszervert:

apt-get install nginx

Másoljuk a site-fájlt:

cp /etc/nginx/sites-available/default /etc/nginx/sites-available/ftp.hu.debian.org

Természetesen nem én vagyok az ftp.hu.debian.org, de egy versenyen ezt kell szimulálnom - lásd a linket a Debian-tükrökkel pár sorral előbb. Aztán szerkesszük az új fájlt. Kezdjük azzal, hogy kipusztítjuk az üres és a komment sorokat:

sed -i '/\s*#.*$/d;/^\s*$/d' /etc/nginx/sites-available/ftp.hu.debian.org

Alakítgassunk a fájlon. Íme a végső változat:

server {
        listen 80;
        listen [::]:80;
        root /mnt/mirror/ftp.hu.debian.org;
        server_name ftp.hu.debian.org;
        location / {
                try_files $uri $uri/ =404;
                autoindex on;
                index index.html;
        }
}

Győződjünk meg róla, hogy a www-data felhasználó olvashatja-e a megfelelő könyvtár tartalmát, aztán

ln -s /etc/nginx/sites-available/ftp.hu.debian.org /etc/nginx/sites-enabled/
service nginx restart

Jaja, az utolsó sorból azt látjuk, hogy a systemctl még nem teljesen van otthon a Debian-on.
Második server block:

cp /etc/nginx/sites-available/ftp.hu.debian.org /etc/nginx/sites-available/security.debian.org

Szerkesszük ilyenre:

server {
        listen 80;
        listen [::]:80;
        root /mnt/mirror/security.debian.org/debian-security;
        server_name security.debian.org;
        location / {
                try_files $uri $uri/ =404;
                autoindex on;
                index index.html;
        }
}

Aztán meg:

ln -s /etc/nginx/sites-available/security.debian.org /etc/nginx/sites-enabled/
service nginx reload

És elvileg minden oké.

Helyi Debian tükör készítése

A posztban Debian 8 Jessie-n példálózom, de nyilván másmilyenre is jó a módszer, legalábbis, amikor a posztot írom, akkor tutira.

Szóval, a egy reggel arra ébredsz, hogy mindenképp Debian tükörszerverre van szükséged, akkor a következőképp érdemes eljárnod:

• Tükrözöd az egész hóbelevancot
• Teszel elé egy webszervert

Itt persze akár abba is hagyhatnánk, mert végül is ennyi az egész, de mégis inkább elmondjuk részletesebben:

A Debian tároló tükrözése

A régi szép időkben ezt például az apt-mirror használatával végezte az ember. Már a linkelt cikkben is említettem, hogy néha nem annyira értettem, hogy mi a francot művel a drága, na de van ilyen.

Most meg itt a jó kis ftpsync szkriptegyüttes, vagy mifene. Ez a javasolt mód. És működni látszik. Hogy miért ftp? Nemtom, mert rsync-kel dolgozik.

Első dolog: készíteni egy jóóóóóóó naaaaaaaaagy helyet. Én csak az amd64-es Jessie-t tükrözöm és majd' 300 GB.

Ha elkészült, tölthetjük az ftpsync-cuccot:

wget https://ftp-master.debian.org/ftpsync.tar.gz

DHCP és DDNS Debian 8 Jessie-n

Ez az abszolút nagyképű bejegyzés, ugyanakkor ha valaki keresi, akkor a Google így fogja megtalálni.

Szóval az van, hogy a pár évvel ezelőtti, Ubuntu 12.04-re készített cikkeim egy irinyó különbségtől eltekintve pontról pontra használhatók Debian 8 Jessie-n is.

Kezdjük a különbséggel:

Nincs már ugye sem a régi jó init-rendszer, sem upstart, van helyette systemd. Ezér' amit Ubuntun a

service AKARMI restart

Helyette van:

systemctl restart AKARMI 

És akkor itt vannak azok a cikkek, amelyekből az ember dinamikus DNS-t készít magának, méghozzá immáron Debian 8 Jessie-n. Na persze fordított sorrendben listázódnak a cikkek, de aki tud az tud:) És itt a sima DHCP-szerver is.

A nyúlon túl: SSH ProxyCommand

Ugyebár minden esetben használ az ember konfigurációs fájlt az SSH-kapcsolataihoz, mert gépelni lusták vagyunk. Meg mert unjuk, hogy a nyomi szerverek kidobnak, amíg ilyen-olyan internetes kereséseket végzünk.

$cat .ssh/config 
Host *
    ServerAliveInterval 60

Host deb1
    Hostname 192.168.168.250
    Port 22
    User juzer

Ilyen szép config-fájllal már csak annyi a dolgunk, hogy kiadjuk az

$ssh deb1

parancsot.

Na de, mi van, ha a deb1 túloldalán lévő szerverhez akar eljutni az ember? Ekkor segít a ProxyCommand:

$ cat .ssh/config 
Host *
    ServerAliveInterval 60

Host deb1
    Hostname 192.168.168.250
    Port 22
    User juzer

Host deb2
    Hostname 172.16.10.201
    User juzer
    Port 22
    ProxyCommand ssh -q -W %h:%p deb1

Azaz a deb2-t a deb1-en keresztül érjük el. Hú!:)

Ja, és akinek nem volna világos a poszt címe, mert mondjuk túl fiatal: https://www.youtube.com/watch?v=Pkt7rL_X9n4

Irodalom:
https://heipei.github.io/2015/02/26/SSH-Agent-Forwarding-considered-harmful/

Nyílt forráskódú operációs rendszerek alkalmazási lehetőségei a köznevelési intézményekben

Tavaly ilyenkor rohammunkában készítettem tananyagot a fenti címmel. A feladatom az volt, hogy Linux-hoz nem értő iskolai rendszergazdáknak készítsek bevezetőt iskolai rendszerek üzemeltetéséről, ez a címben jelzett főprojekt egyik részeként valósult meg. Pár napja publikálták a cuccot, úgyhogy ide is elhelyezem a kapcsolódó linkeket.

A tananyag főleg Ubuntu 14.04 alapú, de a specifikáció miatt foglalkoztam OpenLab és SuliX rendszerrel is. A megrendelő csak nagyon kevés videót kért, de én jó sokat csináltam, és szerintem az a tanagyag legértékesebb része.

Maga a tananyag: http://moodle.sulinet.hu/course/view.php?id=142
A teljes projekt: http://hirmagazin.sulinet.hu/hu/s/opensulinet

És a videók:

Gép leállítása, amikor valaki (más) be van jelentkezve - Ubuntu 12.04

Az én felhasználóim egy része (a tanárok) gyakran csak a szünetben ül a gép elé, mondjuk két percre, aztán elfelejt kijelentkezni. Aktiválódik a képernyővédő és a zárolás. A következő odaülőnek két lehetősége van: megadja a jelszót, vagy "felhasználót vált".
Hogy lehet bejelenkezett felhasználók esetében leállítani a gépet a bejelentkezőképernyőről?

KIR3 Ubuntu 12.04 alatt

A közelmúltban írtam már egy posztot, amire aligha kíváncsi más, mint a Linuxon dolgozó magyar iskolák - amiből pedig nem túl sok van. Akkor most még egy ilyen.

ADAFOR Ubuntu Linux 12.04-en Wine használatával

Ez a cikk aligha fog néhány középiskolai rendszergazda kivételével másokat is érdekelni, de őket esetleg nagyon. Főleg, ha Linuxos átállással ügyködnek.
Nálunk az átállás egyre inkább közelít a 100% felé, a legújabb fejlemény az ADAFOR beüzemelése.
A telepítés lépései egy pontig egyszerűek, de most, hogy a megoldás ismert, utána sem lesz nehéz a dolog. A telepítéshez Wine-t, Windows Emulátort használunk.

OpenLDAP ACL három felhasználói csoportra

Ez a cikk sokat késet, de azért megérkezett. Nagyon hosszú időt ült félkész állapotban a piszkozatok között...

Múltkor végre sikerül elég bonyolultan megoldani azt, hogy az LDAP-on belül mindenki csak ahhoz férhessen hozzá, amihez szabad neki (legalábbis remélem:)).
Ma bonyolítom a helyzetet.

Ubuntu 12.04: alapértelmezetten magyarul

Még béta volt az Ubuntu 12.04, amikor megírtam, hogy én miként telepítem preseeding használatával.
Akkoriban volt benne egy kis hiány: szólt, hogy a telepítő (debian-installer) nincs teljesen magyarra fordítva. Gondoltam, ez majd javul - de nem. Így az előző cikkben megadott preseeding fájl használatával mindmáig rákérdez, hogy tutira magyarul akarjuk-e? Ez meg zavart, így a fájl elő két sorát átírtam:

d-i debian-installer/locale string en_US
d-i localechooser/supported-locales hu_HU, en_US.UTF-8, de_DE.UTF-8

Igen ám, de így a rendszerünk alapértelmezetten angol. Szomorú. Mit tehetünk ellene? Írjuk át az /etc/default/locale fájlt:

LANG="hu_HU.UTF-8"
LANGUAGE="hu_HU.UTF-8"

És még esetleg egy

sudo dpkg-reconfigure locales

Akkor ez is megvan.

Bind users for PAM, Samba and Kerberos on Ubuntu 12.04

At this moment the ACL of our OpenLDAP server is the following (command in bold, rest is the output):

sudo ldapsearch -Q -LLL -Y EXTERNAL -b cn=config '(olcDatabase={1}hdb)' olcAccess
dn: olcDatabase={1}hdb,cn=config
olcAccess: {0}to attrs=userPassword by self write by anonymous auth by dn="cn=
 admin,dc=itthon,dc=cucc" write by * none
olcAccess: {1}to attrs=shadowLastChange,shadowMax by self write by dn="cn=admi
 n,dc=itthon,dc=cucc" write by * read
olcAccess: {2}to dn.base="" by * read
olcAccess: {3}to * by self write by dn="cn=admin,dc=itthon,dc=cucc" write by *
  read

The by * read does not look too nice. We changes this and others today.
(Ez a cikk magyarul is olvasható)

Kapcsolati felhasználók PAM-hoz, Samba-hoz és Kerberos-hoz Ubuntu 12.04-en

Jelen pillanatig az OpenLDAP-szerverünk ACL-je a következő (vastaggal a parancs, a többi a kimenet):

sudo ldapsearch -Q -LLL -Y EXTERNAL -b cn=config '(olcDatabase={1}hdb)' olcAccess
dn: olcDatabase={1}hdb,cn=config
olcAccess: {0}to attrs=userPassword by self write by anonymous auth by dn="cn=
 admin,dc=itthon,dc=cucc" write by * none
olcAccess: {1}to attrs=shadowLastChange,shadowMax by self write by dn="cn=admi
 n,dc=itthon,dc=cucc" write by * read
olcAccess: {2}to dn.base="" by * read
olcAccess: {3}to * by self write by dn="cn=admin,dc=itthon,dc=cucc" write by *
  read

A by * read nem olyan szép. Ezen és másokon változtatunk ma.
(You can read this article in English too.)

NFS4 autofs homes on Ubuntu 12.04

Last time he have arranged the mount of the directories exported by our NFS4 server using Kerberos auth. Well but what if we have lots of users? Why sould we mount the whole /home on the client? Today we help this problem.
(Ez a cikk magyarul is olvasható)