Ещё один блог сисадмина

Дисплейный менеджер LightDM

2012-01-31T22:58:00.004+06:00

LightDM - это относительно новый Display Manager. До сих пор я пользовался XDM, но теперь (хотя на самом деле уже полгода) пользуюсь LightDM. Установил его из репозитория Debian Wheezy, вместе с XFCE 4.8, когда пытался в очередной раз разобраться с монтированием сменных устройств.

К слову сказать, теперь это стало довольно просто - всеми настройками разрешений управляет демон polkit-1, дисками - демон udisks, питанием - upower, сеансами и включением-выключением компьютера - демон consolekit. Последние три демона обращаются за проверкой доступности запрашиваемого действия для данного пользователя к первому. Всё это хозяйство работает через dbus и интегрируется с любым DE. Но - об этом лучше отдельно.

До XDM я уже пробовал различные DM, но большинство из них мне не понравились по одной из трёх причин: тяжёлые (тянут тяжёлый тулкит и dbus), некрасивые (некоторые из них), не поддерживают XDMCP (тоже некоторые). Тогда я остановился на XDM как на лёгком, поддерживающем XDMCP и поддающемся обработке напильником до терпимого состояния. Кроме XDM пробовал я тогда KDM, GDM, WDM и ещё какой-то, название которого я уже забыл.

Для настройки запуска двух X-серверов я откорректировал файл /etc/lightdm/lightdm.conf, так что в нём теперь есть (кроме всего прочего) пара таких строчек:

[Seat:0]
xserver-command=/usr/bin/X :0 vt7 -nolisten tcp

[Seat:1]
xserver-command=/usr/bin/X :1 vt8 -nolisten tcp

Между обоими X-серверами можно переключаться точно так же, как и в XDM - нажатием Ctrl-Alt-F7 и Ctrl-Alt-F8.

В файле /etc/lightdm/lightdm-gtk-greeter.conf я настроил фоновую картинку и используемый по умолчанию шрифт, так что конфиг в целом принял следующий вид:

[greeter]
background=/root/wallpapers/canyon.jpg
font-name=Liberation Sans 12
xft-hintstyle=hintfull

Выглядит всё это вот так:

Настройка fprobe, flow-capture, flowscan, CUFlow и CUGrapher

2012-01-27T16:03:00.018+06:00

В прошлом уже приходилось пользоваться всей этой честной компанией, а сейчас выдался случай вспомнить.

Что всё это такое?

fprobe - это сенсор NetFlow, который собирает статистику по пакетам, проходящим через определённый интерфейс или все интерфейсы сразу. После заполнения буфера сенсор отправляет накопленную информацию коллектору NetFlow в виде UDP-пакета.

flow-capture - это коллектор NetFlow из пакета flow-tools, который ловит UDP-пакеты, агрегирует информацию из них и периодически складывает информацию в файл. В пакете flow-tools есть ещё масса полезных инструментов, с помощью которых можно разнообразным образом обрабатывать собранную информацию.

flowscan - Perl-скрипт, который работает в связке с одним или несколькими из трёх модулей отчётов: CUFlow, CampusIP, SubNetIO. Мы будем использовать модуль отчёта CUFlow, который находится в пакете flowscan-cuflow. Совместно они извлекают информацию из файлов с сохранёнными NetFlow-потоками и делают две вещи: аккумулируют статистику по трафику в файлы в формате RRD, а также создают HTML-файлы со статистикой самых активных узлов за последние 5 минут и за весь период наблюдения. Созданные RRD- и HTML-файлы складываются в указанные каталоги.

CUGrapher - CGI Perl-скрипт из пакета flowscan-cugrapher, который строит графики по RRD-файлам, созданным flowscan/CUFlow.

Итак, приступим к настройке. Для начала, установим необходимые пакеты:

# apt-get install fprobe flow-tools flowscan flowscan-cuflow flowscan-cugrapher

Настроим сенсор fprobe. Для этого в файле /etc/default/fprobe пропишем строки:

INTERFACE="any"
FLOW_COLLECTOR="localhost:9001"
OTHER_ARGS="-fip"

Строчка INTERFACE указывает, что следует перехватывать трафик на всех доступных интерфейсах.

FLOW_COLLECTOR указывает IP-адрес и порт, на котором коллектор будет принимать UDP-пакеты.

OTHER_ARGS указывает прочие опции. В данном случае указан фильтр, отбирающий только IP-пакеты (ARP-пакеты учитываться не будут).

Теперь нужно настроить коллектор flow-capture. Для этого в файл /etc/flow-tools/flow-capture.conf пропишем следующую строку:

-w /var/flow/ufa -n 287 -N 0 0/127.0.0.1/9001

В этом файле каждая строчка настраивает отдельный коллектор, так что если потребуется настроить два или три коллектора - достаточно просто добавить дополнительные строчки.

Опция -w указывает, куда будут складываться файлы.

Опция -n задаёт количество ротаций в день (287 соответствует 288 файлам в день или одному файлу в 5 минут).

Опция -N задаёт структуру каталогов для хранения файлов (0 соответствует настройке без использования вложенных каталогов - все файлы складываются прямо в указанный каталог).

Последняя опция указывает, что NetFlow пакеты будут приниматься с любого адреса на адрес 127.0.0.1 на UDP-порт 9001.

Создадим каталог для файлов:

# mkdir /var/flow

Теперь можно запустить коллектор:

# /etc/init.d/flow-capture start

С настройкой коллектора покончили, теперь будем настраивать flowscan. Для этого отредактируем файл /etc/flowscan/flowscan.cf таким образом, чтобы он принял следующий вид:

FlowFileGlob /var/flow/ufa/ft-*
ReportClasses CUFlow
WaitSeconds 300
Verbose 1

Настройка FlowFileGlob задаёт шаблон для файлов, которые необходимо обрабатывать.

В настройке ReportClasses через запятую указываются используемые модули отчётов.

Настройка WaitSeconds задаёт интервал времени в секундах, через который указанный шаблон будет проверяться на соответствие файлам.

Настройка Verbose задаёт выдачу диагностических сообщений (для начала рекомендую оставить её включенной).

Стоит отметить, что по умолчанию flowscan удаляет обработанные файлы. Если они вам нужны, создайте в каталоге с файлами подкаталог saved, тогда flowscan будет перемещать обработанные файлы в него. Так как я собираюсь использовать эти файлы для самых разных целей, я создаю этот каталог:

# mkdir /var/flow/ufa/saved

Теперь нужно настроить модуль отчёта CUFlow. Его настройки находятся в файле /etc/flowscan/CUFlow.cf и у меня они приняли следующий вид:

Subnet 192.168.80.0/24
Subnet 192.168.81.0/24
Subnet 92.50.0.1/32

Network 192.168.80.0/24 lan
Network 192.168.81.0/24 vpn

OutputDir /var/cuflow

Multicast

Scoreboard 10 /var/www/cuflow/ /var/www/cuflow/topten.html

AggregateScore 10 /var/cuflow/agg.dat /var/www/cuflow/overall.html

Router 127.0.0.1 ufa

Service 20-21/tcp ftp
Service 22/tcp ssh
Service 25/tcp smtp
Service 53/udp,53/tcp dns
Service 80/tcp,81/tcp http
Service 110/tcp pop3
Service 443/tcp https
Service 1433/udp,1433/tcp ms-sql
Service 3389/tcp ms-rdp
Service 4899/udp,4899/tcp radmin

Protocol 1 icmp
Protocol 6 tcp
Protocol 17 udp
Protocol 47 gre

#TOS 0 normal
#TOS 1-255 other
#ASNumber 1 Genuity

Настройка Subnet указывает сети, которые считаются локальными. Эти сети используются для определения типа трафика: входящий или исходящий.

В настройках Network указываются сети, для которых будут создаваться отдельные RRD-файлы.

Настройка OutputDir задаёт каталог, в который будут складываться RRD-файлы.

Если необходимо учитывать мультикаст-трафик, укажите опцию Multicast.

Настройка Scoreboard задаёт количество адресов в хит-параде интенсивности трафика за последние 5 минут, каталог, где будут храниться отчёты за произвольные 5 минут и файл, в котором будет храниться отчёт за последнюю пятиминутку.

Аналогично, настройка AggregateScore задаёт количество адресов в хит-параде интенсивности трафика за всю историю наблюдений, dat-файл, где будут храниться суммированные данные и HTML-файл с хитпарадом за всю историю наблюдений.

В настройке Router можно указать один или несколько IP-адресов (через запятую), соответствующих адресам, с которых сенсоры NetFlow отправляют информацию. Информация с этих сенсоров будет собираться в отдельный RRD-файл.

В настройке Service задаются номера портов протоколов UDP и TCP, которые будут учитываться в отдельном RRD-файле.

Настройка Protocol имеет аналогичный смысл, но распространяется уже на протоколы.

Настройка TOS позволяет вести учёт пакетов по классам обслуживания в отдельном RRD-файле. Такая информация мне не интересна, поэтому соответствующие строчки я закоментировал.

Настройка ASNumber позволяет вести статистику по трафику номерам автономных систем в сетях с маршрутизацией BGP (Интернет). У каждого провайдера есть по крайней мере один номер автономной системы, так что можно учитывать статистику по трафику по направлению от и к определённым провайдерам. fprobe не предоставляет такую информацию, да она и не интересна мне, поэтому эту опцию я тоже закоментировал.

Теперь нужно создать каталоги для хранения RRD-файлов и HTML-отчётов:

# mkdir /var/cuflow /var/www/cuflow

Каталоги готовы, можно делать тестовый запуск flowscan:

# flowscan

flowscan должен начать обрабатывать доступные файлы из каталога /var/flow/ufa. По завершении обработки он уснёт на указанные нами в настройках 300 секунд, после чего его можно прервать нажатием Ctrl-C. В каталоге /var/cuflow должны появиться RRD-файлы, а в каталоге /var/www/cuflow - файлы topten.html и overall.html, а также каталоги с файлами подобными topten.html за предыдущие пятиминутки наблюдений.

Если у вас настроен веб-сервер, вы можете зайти на него при помощи браузера и посмотреть HTML-файлы.

Если flowscan во время обработки файлов будет выдавать предупреждения вроде этого:

Use of uninitialized value in numeric gt (>) at /usr/share/perl5/HTML/Table.pm line 2685.

Не беспокойтесь, программа работает штатно.

Осталось настроить CUGrapher. Его настройки хранятся в файле /etc/flowscan/CUGrapher.cf и у меня они выглядят следующим образом:

OutputDir /var/cuflow
Organization My Insurance Company

Width 1024
Height 320

DefaultGraph report=bits&hours=12&imageType=png&width=1024&height=320&duration=&router=all&all_all_services=1&router=ufa&title=Well+Known+Protocols%2FServices&legend=1

AggregateScore /var/www/cuflow/overall.html
Scoreboard /var/www/cuflow/topten.html

OutputDir - каталог, где хранятся RRD-файлы.

Organization - название вашей компании.

Width и Height - ширина и высота графика в пикселях.

DefaultGraph - адрес страницы с графиком по умолчанию. Достаточно зайти на страницу, перейти на нужный график и скопировать в эту опцию текст из адресной строки браузера после знака ?. Также можно удалить из строки опцию &showmenu=1.

AggregateScore - местоположение файла overall.html

Scoreboard - местоположение файла topten.html

Можно зайти браузером по адресу /cgi-bin/CUGrapher.pl и смотреть графики.

Кое-какие предупреждения и пояснения.
1. fprobe перехватывает весь трафик, проходящий через все интерфейсы компьютера, поэтому для высоконагруженных серверов или маршрутизаторов такое решение непригодно.
2. flowscan/CUFlow/CUGrapher избыточны в ситуациях, когда нужно всего лишь наблюдать за графиком загрузки интерфейса. Для таких простых задач существуют более простые программы.
3. flowscan/CUFlow/CUGrapher - это относительно старые программы, поэтому не ждите от них красоты и удобства.

Статья написана по мотивам статьи Игоря Чубина NetFlow. Некоторые моменты переосмыслены. Переосмысление в основном заключается в том, что в Debian теперь все пакеты из комплекта flowscan/CUFlow/CUGrapher обновлены до их последних версий, поэтому скачивать и обновлять ничего не нужно. Также переосмыслен способ настройки CUGrapher, у которого для настройки есть собственный конфигурационный файл.

Настройка квот в Dovecot и Postfix с хранением счётчиков и правил в словаре MySQL

2011-11-24T15:05:00.008+06:00

Уже третий день подряд мучился с настройкой квот в Dovecot прямо на работающем сервере. Мучился очень аккуратно и имея в запасе бэкапы рабочих конфигураций на начало каждого дня.

Хранение счётчиков квот в MySQL настроил быстро, формирование правил квот по данным из MySQL тоже настроил быстро. Однако после настройки текущие значения счётчиков квот становились отрицательными и со временем только уменьшались. Я сразу подумал, что POP3-сервер обновляет счётчики квот, т.к. его задача лишь забирать почту из ящика, а вот LDA (агент локальной доставки) - не обновляет, т.к. именно он кладёт почту в ящики и должен увеличивать значения счётчиков.

В конечном итоге оказалось, что вместо LDA delivery из Dovecot по-прежнему используется LDA virtual из Postfix. Произошло это потому что действие настройки virtual_transport = dovecot перекрывается настройкой transport_maps = mysql:/etc/postfix/sql/transport.cf, где для тестируемого домена был настроен транспорт virtual. Здесь можно поблагодарить Вьетце Венема за отличную документацию - это я прочитал прямо в man 5 postconf. Dovecot практически не документирован, а вики-страницы с Howto по настройке различных фишек Dovecot за документацию я не считаю.

После исправления значения транспорта в базе данных возникло ещё несколько проблем:
1. В настройках LDA Dovecot не был указан параметр postmaster_address,
2. Не был настроен сокет /var/run/dovecot/auth-master,
3. Имена каталогов, в которые LDA delivery из Dovecot складывал почту, были строчными, а имена существующих каталогов почтовых ящиков, в которые складывал почту LDA virtual из Postfix, содержали символы в разном регистре.

Проблемы решались следующим образом:
1. Указан параметр postmaster_address,
2. Прописана секция master в секции socket listen из секции auth default,
3.1. Добавлены буквы L в настройке mail_location, которые указывают принудительно использовать нижний регистр для каталогов почтовых ящиков.
3.2. Использована команда rename 'y/A-Z/a-z/' * для того, чтобы переименовать каталоги почтовых ящиков. Некоторые каталоги, из которых уже успели попробовать забрать почту, пришлось обрабатывать вручную - нужно было перенести письма из старых каталогов в новые, а старые затем удалить.

Итоговые конфигурационные файлы Dovecot помещаю сюда, чтобы в следующий раз не наступать на те же грабли:

protocols = pop3
disable_plaintext_auth = no
log_timestamp = "%Y-%m-%d %H:%M:%S "
mail_location = maildir:/var/mail/virtual/%Ld/%Ln
first_valid_uid = 999
first_valid_gid = 999

dict {
  quotadict = mysql:/etc/dovecot/dovecot-dict-mysql.conf
}
plugin {
  quota = dict:user::proxy::quotadict
  # Квота по умолчанию - объём ящика 1 гигабайт,
  # не более 1000 писем в ящике
  # Эта квота заменяется квотой, найденной в БД
  quota_rule = *:storage=1G:messages=1000
}
protocol pop3 {
  mail_plugins = quota
  mail_executable = /etc/dovecot/pop-update-lastlog.sh
}
protocol lda {
  # Ящик администратора почтовой системы
  postmaster_address = postadmin@domain.tld
  mail_plugins = quota
}

# Домен по умолчанию для пользователей, пытающихся
# аутентифицироваться в Dovecot без указания домена
auth_default_realm = domain.tld

auth default {
  mechanisms = plain login
  passdb sql {
    args = /etc/dovecot/dovecot-mysql.conf
  }
  userdb sql {
    args = /etc/dovecot/dovecot-mysql.conf
  }
  socket listen {
    client {
      path = /var/spool/postfix/private/auth
      mode = 0660
      user = postfix
      group = postfix
    }
    master {
      path = /var/run/dovecot/auth-master
      mode = 0660
      user = vmail
      group = vmail
    }
  }
}

Уже знакомый скрипт /etc/dovecot/pop-before-smtp.sh для аутентификации POP before SMTP:

#!/bin/sh

mysql -uuser -ppassword -h127.0.0.1 mail <<END
UPDATE users SET lasttime = NOW(), lastip='$IP' WHERE login = '$USER';
END
exec /usr/lib/dovecot/pop3 "$@"

Файл настроек для хранения счётчиков квот в БД MySQL /etc/dovecot/dovecot-dict-mysq.conf:

connect = host=127.0.0.1 dbname=mail user=user password=password
map {
  pattern = priv/quota/storage
  table = users
  username_field = login
  value_field = bytes
}
map {
  pattern = priv/quota/messages
  table = users
  username_field = login
  value_field = messages
}

Файл настроек для проверки учётных данных пользователя и его квот по таблице в БД MySQL /etc/dovecot/dovecot-mysql.conf:

driver = mysql
connect = host=127.0.0.1 dbname=mail user=user password=password
default_pass_scheme = CRYPT
password_query = SELECT password FROM users WHERE login = '%u'
user_query = SELECT CONCAT(SUBSTRING_INDEX(login, '@', -1), '/', SUBSTRING_INDEX(login, '@', 1), '/'), \
                    999 AS uid, \
                    999 AS gid, \
                    CONCAT('*:bytes=', max_bytes, ':messages=', max_messages) AS quota_rule \
             FROM users \
             WHERE login = '%u'

В настройки postfix добавлен LDA delivery из Dovecot, в файл /etc/postfix/master.cf добавлены две строчки:

dovecot unix - n n - - pipe
  flags=DRhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -f ${sender} -d ${recipient}

Столбцы со счётчиками и со значениями квот для пользователей добавлены с помощью четырёх SQL-запросов:

ALTER TABLE users ADD COLUMN bytes bigint default 0;
ALTER TABLE users ADD COLUMN messages integer default 0;
ALTER TABLE users ADD COLUMN max_bytes bigint default 1073741824;
ALTER TABLE users ADD COLUMN max_messages bigint default 1000;

Значения квот по умолчанию можете поменять на свои. Я поставил ограничения в 1 гигабайт на общий объём ящика и не более 1000 писем в одном почтовом ящике.

В таком виде Dovecot не будет принимать от Postfix письма для адресатов, превысивших квоту. Но такие письма будут просто попадать в очередь отложенных писем Postfix. Нужно же, чтобы письмо не занимало дисковое пространство ни в почтовом ящике получателя, ни в очереди отложенных писем, а отклонялось сразу же с соответствующим сообщением отправителю о том, что адресат превысил квоту.

Для этого нужно настроить проверку квот при приёме почты самим Postfix'ом. Для этого воспользуемся правилом check_recipient_access mysql:/etc/postfix/sql/quotas.cf, которое нужно поместить в том числе до правил permit_mynetworks и permit_sasl_authenticated. Если поместить его после этих двух проверок, то квоты получателя просто не будут проверяться, если отправитель аутентифицировался на почтовом сервере или он отправляет почту из доверенной сети.

Файл /etc/postfix/sql/quotas.cf для проверки квоты получателя:

user = user
password = password
dbname = mail
hosts = 127.0.0.1
query = SELECT '452 Mailbox is over quota'
        FROM users
        WHERE login = '%s'
          AND ((bytes >= max_bytes AND max_bytes > 0)
            OR (messages >= max_messages AND max_messages > 0))

О расширенных статусах REJECT я прочитал в man 5 access, а подходящий код статуса подобрал в RFC2821 на этой странице: http://tools.ietf.org/html/rfc2821.

В случае если квота по объёму или по количеству сообщений равна нулю, то этот SQL-запрос такую квоту не проверяет. Таким образом значения 0 в полях max_bytes или max_messages означают, что ограничение по этому параметру не действует.

При попытке отправить письмо на ящик, превысивший квоту, Outlook Express сообщает следующее:

Не удается отправить сообщение, поскольку сервер отказался принять адрес одного из получателей. В письме был указан адрес: 'user@domain.tld'. Тема 'test1', Учетная запись: 'mail', Сервер: 'domain.tld', Протокол: SMTP, Ответ сервера: '452 4.7.1 <user@domain.tld>: Recipient address rejected: Mailbox is over quota', Порт: 25, Защита (SSL): Нет, Ошибка сервера: 452, Код ошибки: 0x800CCC79

Обновление времени последнего входа пользователя dovecot и авторизация POP before SMTP

2011-11-17T14:45:00.011+06:00

Захотел сделать так, чтобы Dovecot, при подключении пользователя по протоколу POP3, отмечал в базе данных текущее время. Нужно это для того, чтобы определить, какими ящиками давно не пользуются. Нашёл такую вот страницу в wiki Dovecot: http://wiki.dovecot.org/PostLoginScripting.

Для начала нужно узнать текущее значение mail_executable. Для этого воспользуемся командой:

# dovecot -a | grep mail_executable

У меня это значение равно /usr/lib/dovecot/pop3. Именно это значение мы и заменим, так чтобы наш скрипт вызывался до этой программы, обновлял информацию в базе данных, а затем запускал первоначальную программу.

Cкрипт /etc/dovecot/pop-update-lastlog.sh, обновляющий информацию в базе данных:

#!/bin/sh

mysql -uuser -ppassword -h127.0.0.1 mail <<END
UPDATE users SET lasttime = NOW(), lastip='$IP' WHERE login = '$USER';
END
exec /usr/lib/dovecot/pop3 "$@"

Установил на него права доступа чтобы простые пользователи не смогли узнать пароль от базы данных и чтобы этот скрипт мог выполняться:

# chmod +x,o= pop-update-lastlog.sh

Затем этот скрипт я прописал в /etc/dovecot.conf:

protocol pop3 {
  mail_executable = /etc/dovecot/pop-update-lastlog.sh
}

Затем добавил пару столбцов в базу данных (структура базы данных - самодельная, не взята от какого-либо веб-интерфейса администрирования):

$ mail -uuser -ppassword mail <<END
ALTER TABLE users ADD COLUMN lasttime datetime DEFAULT '1900-01-01 00:00:00';
ALTER TABLE users ADD COLUMN lastip varchar(32) DEFAULT '0.0.0.0';
END

И перезапустил dovecot:

# /etc/init.d/dovecot restart

В базе данных начали появляться отметки о времени последнего входа и об IP-адресе клиента, с которого входили последний раз.

Если у вас настроен также imap-сервер, вы можете создать для него похожий скрипт.

Дополнение от 18 ноября 2011 года. Информацию из таблиц можно использовать для авторизации POP before SMTP в Postfix (перед отправкой почты по SMTP нужно авторизоваться на POP-сервере).

В /etc/postfix/main.cf можно прописать следующее:

mynetworks = 127.0.0.1/8, mysql:/etc/postfix/sql/pop-before-smtp.cf

А в файле /etc/postfix/sql/pop-before-smtp.cf указать запрос и параметры подключения к базе данных:

user = user
password = password
dbname = mail
hosts = 127.0.0.1
query = SELECT DISTINCT lastip FROM users WHERE lastip = '%s' AND ADDTIME(lasttime, '0:1:0') > NOW()

Запрос возвращает IP-адрес только в том случае, если этот IP-адрес аутентифицировался на POP-сервере в течение последней минуты. В случае, если этот IP-адрес в течение последней минуты аутентифицировался на нескольких учётных записях POP-сервера, то возвращается только один IP-адрес.

Не забудьте защитить прописанные в файле пароли доступа к базе данных почтового сервера от обычных пользователей:

# chmod o= pop-before-smtp.cf

Попробовал - POP before SMTP действительно работает. Если с момента последнего подключения к POP серверу прошло не больше минуты, то почта отправляется. Если больше или ровно минута - то почта уже не уходит. Получилось такое вот, на мой взгляд, довольно изящное решение.

Перенос Windows XP на другой диск средствами Linux

2011-11-11T23:30:00.004+06:00

Для начала хочу предупредить, что это не точная инструкция как и что делать. Это описание ключевых моментов, для правильного применения которых нужно ещё приложить собственную голову. Если вы не уверены в своих силах, то лучше воспользуйтесь специализированными программами (Acronis True Image или Norton Ghost), а не этим способом, который описывает только средства из Linux.

Перенос средствами Linux оказался не настолько простым делом, как это могло показаться первоначально. Не буду рассказывать обо всём, что мне довелось попробовать и на какие грабли наступить, я просто резюмирую весь полученный опыт.

У меня стоит загрузчик GRUB2, но почему-то не стояло очень важного компонента - os-prober. Он умеет при подсовывании ему дискового раздела определять, что за операционная система там стоит. Его наличие позволит упростить настройку GRUB2. Также, поскольку мы будем переносить систему Windows XP с раздела NTFS на раздел NTFS, нам потребуется пакет ntfsprogs. Ну и если у вас ещё нет раздела на диске, в который вы хотите перенести Windows, вам могут потребоваться fdisk и/или parted. Полезным может оказаться и модуль ntfs-3g для монтирования NTFS-раздела в режиме записи.

# apt-get install os-prober ntfsprogs hexedit

Останавливаться на создании раздела для Windows я не стану, т.к. это дело тривиальное и, на мой взгляд, не требующее объяснений.

Первым делом скопируем NTFS-раздел. Делается это командой ntfsclone:

# ntfsclone --overwrite /dev/sdb3 /dev/sda1

/dev/sda1 - это исходный раздел с Windows,
/dev/sdb3 - это целевой раздел, на который мы переносим систему.
БУДЬТЕ ВНИМАТЕЛЬНЫ, ничего не перепутайте! Посмотреть, какие разделы есть на дисках, можно с помощью команды:

# fdisk -l

Если возникают сомнения, смонтируйте разделы и убедитесь в том, что вы точно знаете, с какого на какой раздел нужно перенести систему. У меня таких проблем не было, т.к. диска было всего два, на одном из дисков было аж 6 разделов, а на другом - только 1, поэтому перепутать их было трудно.

После клонирования мы получим раздел в точности повторяющий исходный. Ловушка заключается в том, что загрузчик Windows, располагающийся в начале раздела (NTFS Boot Record), содержит в себе информацию о геометрии диска, положении раздела и о серийном номере этого раздела.

На данном этапе мне помогла статья Relocating Windows to a new Hard Drive, в которой есть ссылка на исходный текст простенькой программы, которая исправляет загрузчик NTFS так, чтобы он узнал о новой геометрии диска. Эту программу я на всякий случай скопировал себе и разместил тут: ntfsreloc.c

Соберём её (для этого может потребоваться установить компилятор языка Си, который у меня уже стоял, т.к. я иногда на нём пишу сам):

$ gcc -o ntfsreloc ntfsreloc.c

Теперь её нужно запустить:

# ntfsreloc -w -p /dev/sdb3

Затем нужно смонтировать диск и исправить в файле boot.ini в корневом каталоге номер раздела, с которого будет грузиться Windows. Раньше у меня это был раздел №1, а теперь - №3.

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(3)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Microsoft Windows XP Professional RU" /noexecute=optin /fastdetect

Теперь нужно исправить карту дисков GRUB, которая находится в файле /boot/grub/device.map:

(fd0)   /dev/fd0
(hd0)   /dev/disk/by-id/ata-WDC_WD10EADS-65L5B1_WD-WCAU4A888959
(hd1)   /dev/disk/by-id/ata-ST34313A_6CR0J30R

Диском (hd0) должен быть тот, на который мы переносим систему. Или можно исправить номер диска в файле boot.ini Windows, так чтобы номер загрузочного диска совпадал с номером диска в device.map. Полезно также перед этим настроить привязку дисков в /etc/fstab к UUID раздела или к метке раздела, чтобы в случае путаницы с номерами дисков Linux всё-таки загрузился. Практически во всех современных системах Linux это уже так, т.к. с заменой драйвера IDE на унифицированный драйвер дисков, номер, под которым определится диск, стал непредсказуем.

Дальше нужно обновить конфигурацию GRUB2:

# update-grub

И можно перезагружаться. При первой загрузке нам потребуются оба диска, т.к. в реестре Windows сохранилась привязка к идентификатору прежнего диска. После загрузки системы запускаем regedit и редактируем раздел HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices. В нём нужно поменять буквы дисков C и того, который по содержимому идентичен диску C. У меня это были диски C и D. Сделал я это в три приёма:
C -> Z
D -> C
Z -> D
После этого завершаем работу, отключаем старый диск и пробуем загрузиться снова. Если всё было сделано правильно, система загрузится с нового диска.

Я таким образом смог отключить противно свистящий старый диск, на котором у меня стоял Windows XP. Сама эта заметка является, по сути, продолжением предыдущей: Настройка fancontrol - демона управления вентиляторами компьютера.

Желаю вам удачного переноса Windows!

Настройка fancontrol - демона управления вентиляторами компьютера

2011-11-11T22:13:00.009+06:00

Надоело слушать постоянное жужжание домашнего компьютера, поэтому решил заняться вопросом. Первым делом были закуплены и установлены тихие вентиляторы на процессор и корпус.

Шум хоть и стал меньше, меня он всё равно не устроил. Компьютер и, соответственно, корпус у меня 2006 года, поэтому что-либо совсем уж тихое найти было сложновато. Опытным путём было выяснено, что больше всего шума даёт корпусной вентилятор (для этого достаточно на секунду остановить все вентиляторы поочерёдно пальцем или другим подходящим предметом). Поскольку на вентиляторе имелся не только стандартный 3-контактный разъём, но и разъём Molex, нашлось простое решение - перекинуть контакты, так чтобы снизилось питающее вентилятор напряжение. Подробнее это можно увидеть в разделе "Подключение вентиляторов" из статьи "Конструируем систему охлаждения компьютера". Жёлтый провод я всё-же воткнул в 3-контактный разъём на положенное место, дабы следить за скоростью вращения вентилятора, о чем будет написано чуть ниже.

Вторым кандидатом на настройку стал вентилятор процессора. В BIOS я узнал, что моя материнская плата поддерживает функцию PWM - управление скоростью вращения вентилятора в зависимости от показаний температурного датчика. Простейшее трёхскоростное управление я настроил прямо из BIOS, и если оно вас устроит, то нужды настраивать fancontrol в принципе нет. Меня эти три режима не устроили, захотелось более плавного разгона вентилятора по мере нагревания процессора.

Поскольку я пользуюсь Linux (Debian 6), то и настраивать управление будем в нём.

Первым делом, установим пакет для слежения за сенсорами и запустим обнаружение сенсоров:

# apt-get install lm-sensors
# sensors-detect

Отвечаем на все вопросы буквой y. Это важно, т.к. на один из вопросов ответ по умолчанию - n. Без этого пункта у меня не находились сенсоры материнской платы.

Now follows a summary of the probes I have just done.
Just press ENTER to continue: 

Driver `it87':
  * ISA bus, address 0x290
    Chip `ITE IT8712F Super IO Sensors' (confidence: 9)

Driver `k8temp' (autoloaded):
  * Chip `AMD K8 thermal sensors' (confidence: 9)

To load everything that is needed, add this to /etc/modules:
#----cut here----
# Chip drivers
it87
#----cut here----
If you have some drivers built into your kernel, the list above will
contain too many modules. Skip the appropriate ones!

Теперь можно заглянуть в /etc/modules и проверить, появились ли там новые модули, добавленные sensors-detect.

Чтобы не перезагружать систему, загрузим эти модули вручную. У меня был добавлен модуль it87, поэтому я подгружаю его:

# modprobe it87

Теперь можно посмотреть информацию, предоставляемую сенсорами:

$ sensors

k8temp-pci-00c3
Adapter: PCI adapter
Core0 Temp:  +32.0°C                                    

it8712-isa-0290
Adapter: ISA adapter
in0:         +1.07 V  (min =  +0.00 V, max =  +4.08 V)   
in1:         +2.58 V  (min =  +0.00 V, max =  +4.08 V)   
in2:         +3.33 V  (min =  +0.00 V, max =  +4.08 V)   
in3:         +2.21 V  (min =  +0.00 V, max =  +4.08 V)   
in4:         +3.02 V  (min =  +0.00 V, max =  +4.08 V)   
in5:         +1.76 V  (min =  +0.00 V, max =  +4.08 V)   
in6:         +2.00 V  (min =  +0.00 V, max =  +4.08 V)   
in7:         +2.35 V  (min =  +0.00 V, max =  +4.08 V)   
Vbat:        +4.08 V
fan1:          0 RPM  (min =    0 RPM, div = 8)
fan3:       1670 RPM  (min =    0 RPM, div = 8)
temp1:       +25.0°C  (low  = +127.0°C, high = +127.0°C)  sensor = thermistor
temp2:       +29.0°C  (low  = +127.0°C, high = +60.0°C)  sensor = thermistor
temp3:       +70.0°C  (low  = +127.0°C, high = +127.0°C)  sensor = thermistor
cpu0_vid:   +1.100 V

У меня есть сенсоры температуры на процессоре и на материнской плате (не знаю, в каких именно местах).

Теперь установим пакет для управления скоростью вращения вентиляторов.

# apt-get install fancontrol

И запустим программу для автоматизированной настройки fancontrol:

# pwmconfig

Программа сразу после запуска сообщает информацию об обнаруженных ею сенсорах температуры, устройствах управления вентиляторами и сенсорах скорости вращения вентиляторов:

Found the following devices:
   hwmon0/device is k8temp
   hwmon1/device is it8712

Found the following PWM controls:
   hwmon1/device/pwm1
   hwmon1/device/pwm2
   hwmon1/device/pwm3

Giving the fans some time to reach full speed...
Found the following fan sensors:
   hwmon1/device/fan1_input     current speed: 2556 RPM
   hwmon1/device/fan3_input     current speed: 1654 RPM

Лучше всего сразу куда-нибудь скопировать эту информацию, чтобы понимать, что за устройства программа имеет в виду, когда спрашивает вас о чём-то. Например, для меня было важно, что hwmon0/device - это процессор, а hwmon1/device - это материнская плата.

Дальше программа по очереди пытается остановить каждый из вентиляторов и пытается по сенсорам вращения вентиляторов установить соответствие между устройством управления скоростью вращения вентилятора и связанным с ним сенсором.

У меня было обнаружено только одно соответствие:

Testing pwm control hwmon1/device/pwm1 ...
  hwmon1/device/fan1_input ... speed was 2556 now 0
    It appears that fan hwmon1/device/fan1_input
    is controlled by pwm hwmon1/device/pwm1

После этого программа предложила составить таблицу соответствия между значениями управляющего байта (от 0 до 255) и скоростью вращения вентилятора:

Would you like to generate a detailed correlation (y)?

Я ответил утвердительно.


    PWM 255 FAN 2596
    PWM 240 FAN 2596
    PWM 225 FAN 2556
    PWM 210 FAN 2556
    PWM 195 FAN 2556
    PWM 180 FAN 2556
    PWM 165 FAN 2596
    PWM 150 FAN 2556
    PWM 135 FAN 2556
    PWM 120 FAN 2596
    PWM 105 FAN 2596
    PWM 90 FAN 2596
    PWM 75 FAN 2556
    PWM 60 FAN 2556
    PWM 45 FAN 2445
    PWM 30 FAN 2280
    PWM 28 FAN 2250
    PWM 26 FAN 2191
    PWM 24 FAN 2163
    PWM 22 FAN 2109
    PWM 20 FAN 2057
    PWM 18 FAN 1985
    PWM 16 FAN 1917
    PWM 14 FAN 1834
    PWM 12 FAN 1721
    PWM 10 FAN 1622
    PWM 8 FAN 1493
    PWM 6 FAN 1339
    PWM 4 FAN 1171
    PWM 2 FAN 964
    PWM 0 FAN 0
    Fan Stopped at PWM = 0

Программа не обнаружила, каким из вентиляторов управляло устройство hwmon1/device/pwm2 и спросила меня, слышал или видел ли я, что какой-то из вентиляторов во время теста останавливался.

Did you see/hear a fan stopping during the above test (n)?

Я этого не видел и не заметил уменьшения шума, поэтому ответил n.

То же самое произошло и с устройством hwmon1/device/pwm3. Я также ответил n.

Затем программа говорит о том, что программа fancontrol может следить за температурой устройств, управляя скоростью вращения вентиляторов. pwmconfig предлагает мне настроить fancontrol. Я соглашаюсь.

The fancontrol script can automatically respond to temperature changes
of your system by changing fanspeeds.
Do you want to set up its configuration file now (y)?

Задаёт вопрос о том, где должен находиться файл конфигурации fancontrol. Можно нажать enter и тем самым согласиться на предложенный файл, а можно ввести другое имя файла.

What should be the path to your fancontrol config file (/etc/fancontrol)?

Дальше программа предлагает настроить устройство управления только одним из вентиляторов, для которого установлено соответствие канала управления и сенсора скорости вращения.

Select fan output to configure, or other action:
1) hwmon1/device/pwm1  3) Just quit       5) Show configuration
2) Change INTERVAL     4) Save and quit

Пункт 2 позволяет настроить периодичность проверки температуры и коррекции скорости вращения.

Пункт 3 позволяет просто выйти.

Пункт 4 - сохранить настройки и выйти.

Пункт 5 - показать конфигурацию.

Выбираем пункт 1, чтобы указать, какой из сенсоров температуры следует использовать для управления вентилятором. У меня таких сенсоров 4, я выбираю первый из них, который соответствует сенсору температуры на процессоре.

Select a temperature sensor as source for hwmon1/device/pwm1:
1) hwmon0/device/temp1_input
2) hwmon1/device/temp1_input
3) hwmon1/device/temp2_input
4) hwmon1/device/temp3_input
5) None (Do not affect this PWM output)
select (1-n):

Остальные сенсоры - это сенсоры температуры на материнской плате. Их положение мне неизвестно, да и управлять больше у меня нечем, кроме как скоростью вращения вентилятора на процессоре. Есть ещё корпусной вентилятор, но он, судя по тестам pwmconfig, фактически не управляется.

Дальше нужно ответить на несколько простых вопросов. Нам понадобится составленная выше таблица зависимости скорости вращения вентилятора от значения управляющего сигнала и немного здравого смысла. Судя по таблице, вентилятор работает на максимальной скорости уже при значении сигнала управления 105. Останавливается он при значении 2, а запускается при значении 4 (это я смог узнать только пробуя разные значения этого параметра в конфигурации fancontrol).

Как я выбирал предельные температуры? Очень просто - температура воздуха дома сейчас около 30 градусов Цельсия (на системнике висит магнит с термометром). Не вижу смысла насиловать кулер, заставляя его охлаждать процессор простым обдувом комнатным воздухом до 30 градусов или ниже - это просто невозможно. Накидываю 5 градусов и считаю такую температуру процессора нормальной. Пока температруа процессора ниже 35 градусов, включать охлаждение особого смысла нет. Включать его на полную мощность следует только при той температуре, при которой BIOS начнёт предупреждать о перегреве звуковым сигналом. У меня это 60 градусов Цельсия. Пока не достигнута эта температура, разгоняем вентилятор плавно, не в полную силу.

Enter the low temperature (degree C)
below which the fan should spin at minimum speed (20): 35

Указать самую высокую температуру, выше которой вентилятор должен включаться на полную мощность.

Enter the high temperature (degree C)
over which the fan should spin at maximum speed (60): 60

Минимальное значение канала управления, при котором вентилятор останавливается.

Enter the minimum PWM value (0-255)
at which the fan STOPS spinning (press t to test) (100): 2

Минимальное значение канала управления, при котором вентилятор начинает вращаться.

Enter the minimum PWM value (4-255)
at which the fan STARTS spinning (press t to test) (150): 4

Значение канала управления, если температура ниже минимальной.

Enter the PWM value (0-4) to use when the temperature
is below the low temperature limit (0): 0

Значение канала управления, если температура выше максимальной.

Enter the PWM value (4-255) to use when the temperature
is over the high temperature limit (255): 105

Теперь можно посмотреть конфигурацию (пункт 5) или сохранить изменения и закончить настройку (пункт 4). Можно снова ответить на вопросы, выбрав канал управления из списка.

Все эти настройки вносятся в файл /etc/fancontrol, где их можно отредактировать вручную:

# Configuration file generated by pwmconfig, changes will be lost
INTERVAL=5
DEVPATH=hwmon0=devices/pci0000:00/0000:00:18.3 hwmon1=devices/platform/it87.656
DEVNAME=hwmon0=k8temp hwmon1=it8712
FCTEMPS= hwmon1/device/pwm1=hwmon0/device/temp1_input
FCFANS= hwmon1/device/pwm1=hwmon1/device/fan1_input
MINTEMP= hwmon1/device/pwm1=35
MAXTEMP= hwmon1/device/pwm1=60
MINSTART= hwmon1/device/pwm1=4
MINSTOP= hwmon1/device/pwm1=2
MAXPWM=hwmon1/device/pwm1=105

Осталось только запустить службу fancontrol и вентиляторы будут управляться автоматически:

# /etc/init.d/fancontrol start

Самое главное, что нужно от pwmconfig - это установить соответствие между сенсорами скорости вращения вентилятора, температуры и каналом управления скоростью вращения вентилятора. Остальное можно настраивать уже простым редактированием файла /etc/fancontrol с последующим перезапуском демона fancontrol. Следить за индикаторами можно с помощью команд watch sensors. Именно таким образом я настроил подходящие параметры fancontrol.

С такими настройками я могу редактировать тексты при полностью остановленном вентиляторе. При полной загрузке процессора температура его поднимается до 45 градусов и держится на этом уровне стараниями fancontrol.

Я пользуюсь XFCE и нашёл для него два интересных плагина для более удобного наблюдения за температурой и процессором: xfce4-cpufreq-plugin и xfce4-sensors-plugin.

Установим их вместе с другими рекомендованными пакетами:

# apt-get install xfce4-cpufreq-plugin xfce4-sensors-plugin xsensors hddtemp cpufreq

Дальше их нужно просто добавить в панель и настроить. Всё это делается через меню панели.

Рядом с двумя индикаторами температур (процессора и жёсткого диска) удобно разместился индикатор текущей частоты процессора. Мой процессор умеет вдвое уменьшать свою рабочую частоту, когда он не сильно загружен - с 2 Гигагерц до 1 Гигагерца.

Впрочем, я не стремлюсь превратить свой компьютер в кабину самолёта, поэтому эти апплеты будут висеть в панели лишь некоторое время, пока конфигурация может потребовать доработки. Затем я скорее всего уберу эти апплеты, поскольку никакой жизненно важной информации они не предоставляют.

После всех этих манипуляций самым громким источником шума стал старенький жёсткий диск Seagate на 4,3 Гигабайта, на котором у меня установлена Windows XP. Во время работы он издаёт раздражающий свист. Осталось перенести Windows XP на менее шумный жёсткий диск WD на 1 Терабайт, где у меня установлена основная система - Debian GNU/Linux 6.0.

Неожиданно, сделать это оказалось непросто. Но об этом - в следующей заметке.

Настройка FastCGI и PHP с индивидуальными правами пользователей

2011-10-26T11:23:00.007+06:00

Перевод статьи: Setup FastCGI and PHP with individual user permissions

Автор: silverjam и другие.

Примечания переводчика: для порядка я иногда перевожу материалы, которыми собираюсь воспользоваться. Начав делать этот перевод, я сразу же пожалел о том, что ввязался в это гиблое дело - статья разжёвывает элементарные вещи вроде заведения пользователей, групп, членство в группах и права доступа. Ну и запуск сценариев инициализации из cron'а я, конечно, не одобряю. Кроме того, автор использовал FreeBSD 6.2, в которой существовало ограничение на максимальное количество групп для одного пользователя. В качестве решения автор предлагает перейти на FreeBSD 8.0, однако я думаю, что есть по меньшей мере ещё два решения: 1. воспользоваться TCP-сокетами, вместо сокетов домена Unix, 2. воспользоваться каким-нибудь дистрибутивом Linux.

Перво-наперво отметим, что этот рецепт является только примером, поэтому не предъявляйте претензий, если предпочитаете делать такие вещи другим способом, или рассердили клиентов или что-то в этом роде...

Execwrap или php-fpm можно использовать в тех же целях, но этот рецепт не касается этих методов.

Замечание: Этот рецепт работает только на операционных системах типа Unix. Я не знаю, как сделать подобное на Windows.

Введение

Запуск хостинга веб-сайтов для обслуживания индивидуальных пользователей/клиентов потребует дополнительного доведения до ума настроек вашего веб-сервера.

Для начала, нужно назначить каждому пользователю собственную учётную запись на веб-сервере. Пользователь загрузит файлы своих скриптов PHP в его собственный виртуальный корневой каталог документов.

Нужно, чтобы все файлы скриптов PHP выполнялись с правами того же пользователя, который управляет этим виртуальным узлом. Если это так, то можно быть уверенным, что ни один из пользователей не сможет увидеть чужие скрипты PHP.

Рассмотрим следующий скрипт PHP, выполняемый на веб-сервере без индивидуальных разрешений пользователя (не пытайтесь сделать это, поскольку вы можете кончить тем, что полиция постучится в вашу дверь!):

<?php
  $filename = "/path_to_other_users_vhost_root/index.php";
  $handle = fopen($filename, "rb");
  $contents = fread($handle, filesize($filename));
  fclose($handle);
  echo $contents;
?>

Этот сценарий прочитает и покажет исходный код скрипта PHP какого-то другого пользователя. Исходный код может содержать пароли, используемые для подключения к пользовательским базам данных MySQL, или другую интересную информацию. Можно даже сделать скрипт PHP, который сможет перезаписать файлы в каталогах пользователя другого виртуального узла!

Мы хотим этого избежать!

Как насчёт встроенного в PHP безопасного режима safe_mode?

Я не хочу сказать что-то плохое о PHP, но я не рекомендую использовать PHP с возможностями встроенного безопасного режима safe_mode. (Обратитесь к документации по safe_mode на php.net за более подробным описанием.)

Однако, некоторые настройки php.ini могут предотвратить или замедлить большинство видов атак без необходимости изменять исходный код. Для предотвращения удалённого доступа из php воспользуйтесь allow_url_fopen, а для предотвращения вставки удалённых файлов в php вы можете воспользоваться allow_url_include. Настройка open_basedir - это хороший способ усложнить работу взломщика, но этот способ не заменит разрешений пользователей. Для замедления некоторых видов угона сеансов можно отключить опцию session.use_trans_sid.

Но всё же будет лучше, если положиться на возможности ограничения доступа пользователей, встроенные в операционную систему.

Установка

Подразумевается, что на сервере уже установлены Lighttpd и PHP с поддержкой FastCGI. (Как установить PHP с поддержкой FastCGI.)

Чтобы выполнить установку, нужно войти под пользователем root.

1. Добавим пользователей в операционную систему

(Это необходимо только в том случае, если пользователи ещё не добавлены.)

Нужно добавить учётную запись пользователя в операционную систему для каждого пользователя, права которого требуется отделить, чтобы предотвратить возможность доступа к чужому исходному коду.

Предположим, что таких пользователей три (fred, george и ron).

Выполним следующие команды:

# useradd fred
# useradd george
# useradd ron

2. Добавим группы пользователей в операционную систему

Нужно добавить по одной группе для каждого из добавленных выше пользователей. Для простоты назовём группы так же, как и пользователей:

Выполним следующие команды:

# groupadd fred
# groupadd george
# groupadd ron

Теперь нужно добавить каждого пользователя в его группу. В каждой группе пользователей будет два члена: сам пользователь и пользователь демона lighttpd.

Группы пользователей можно настроить, отредактировав файл /etc/group в любом текстовом редакторе.

Файл должен выглядеть примерно так (номера групп могут отличаться):

... [пропущенные строки]
fred:x:441:fred,lighttpd
george:x:442:george,lighttpd
ron:x:443:ron,lighttpd

Можно также воспользоваться командой sed:

# sed -i "s/^\(fred.*\)$/\1,fred,lighttpd/g" /etc/group
# sed -i "s/^\(george.*\)$/\1,george,lighttpd/g" /etc/group
# sed -i "s/^\(ron.*\)$/\1,ron,lighttpd/g" /etc/group

Эти команды добавят самого пользователя и пользователя lighttpd в группы.

3. Настроим структуру файловой системы

Предположим, что мы хотим сохранить все связанные с веб-сервером файлы виртуальных узлов в подкаталогах "/var/www". (Конечно, вы можете выбрать другое место, просто удостоверьтесь, что созданные пользователи имеют права на чтение и выполнение их каталогов. (Например, "chmod 755 /var/www && chown root:root /var/www").

3.1 Создадим корневой каталог

Теперь, создадим два каталога: один для нескольких сценариев запуска, к которому будет иметь доступ только пользователь root, и другой для всех виртуальных узлов:

Выполним следующие команды:

# cd /var/www
# mkdir fastcgi
# mkdir vhosts
# chown lighttpd:lighttpd *
# chmod 755 *
# ls -l /var/www
drwxr-xr-x 2 lighttpd lighttpd 4096 Feb 15 12:17 fastcgi
drwxr-xr-x 9 lighttpd lighttpd 4096 Feb 15 11:21 vhosts

3.2 Создадим каталог для каждого из виртуальных узлов

Теперь создадим каталог для каждого из виртуальных узлов в каталоге "/var/www/vhosts" и зададим соответствующие права для их пользователей:

Выполним следующие команды:

# cd /var/www/vhosts
# mkdir fred-weasley.com
# mkdir george-weasley.com
# mkdir ron-weasley.com
# chown fred:fred fred-weasley.com
# chown george:george george-weasley.com
# chown ron:ron ron-weasley.com
# chmod 750 *
# ls -l /var/www/vhosts
drwxr-x--- 7 fred fred 4096 Feb 15 20:18 fred-weasley.com
drwxr-x--- 6 george george 4096 Feb 15 11:02 george-weasley.com
drwxr-x--- 6 ron ron 4096 Feb 15 11:23 ron-weasley.com

Теперь у нас есть три каталога, в которых три пользователя не могут увидеть файлы друг друга, однако демон lighttpd может видеть их все.

3.3 Создадим структуру каталогов для каждого виртуального узла

Теперь нужно создать структуру каталогов для каждого виртуального узла:

Выполним следующие команды:

# cd /var/www/vhosts/fred-weasley.com
# mkdir html
# mkdir includes (не обязательно)
# mkdir logs
# chown fred:fred *
# chown lighttpd:fred logs
# chmod 750 *
# ls -l /var/www/vhosts/fred-weasley.com
drwxr-x--- 14 fred fred 4096 Feb 17 11:55 html
drwxr-x--- 2 fred fred 4096 Feb 15 12:05 includes
drwxr-x--- 2 lighttpd fred 4096 Feb 15 11:11 logs

Нужно повторить эти команды для каждого из пользователей виртуального узла, заменяя имя пользователя "fred" на имя соответствующего пользователя.

3.4 Создадим каталог FastCGI для каждого пользователя

Теперь мы готовы приступить к самому интересному!

Теперь, перейдём в каталог "/var/www/fastcgi", где мы хотим создать каталог каждого из пользователей. (Когда мы закончим, эти каталоги будут содержать сокеты процессов сервера FastCGI):

Выполним следующие команды:

# cd /var/www/fastcgi
# mkdir fred
# mkdir george
# mkdir ron
# chown fred:fred fred
# chown george:george george
# chown ron:ron ron
# chmod 750 *
# ls -l /var/www/fastcgi
drwxr-x--- 7 fred fred 4096 Feb 15 20:18 fred
drwxr-x--- 6 george george 4096 Feb 15 11:02 george
drwxr-x--- 6 ron ron 4096 Feb 15 11:23 ron

(Отметим, что пользователь lighttpd может читать все каталоги, в то время как три пользователя имеют доступ только к собственным каталогам.)

4. Создадим скрипт запуска FastCGI для каждого пользователя

Создадим каталог, который будет содержать все скрипты запуска FastCGI, выполнив следующие команды:

# cd /var/www/fastcgi
# mkdir startup
# chmod 750 startup
# ls -l /var/www/fastcgi
drwxr-x--- 7 fred fred 4096 Feb 15 20:18 fred
drwxr-x--- 6 george george 4096 Feb 15 11:02 george
drwxr-x--- 6 ron ron 4096 Feb 15 11:23 ron
drwxr-x--- 6 root root 4096 Feb 15 11:23 startup

Теперь, перейдём в каталог "/var/www/fastcgi/startup", создадим скрипт запуска для пользователя fred (давайте назовём его fred-startup.sh), воспользовавшись любым текстовым редактором:

Скрипт оболочки:

#!/bin/sh

## АБСОЛЮТНЫЙ путь к двоичному файлу spawn-fcgi
SPAWNFCGI="/usr/bin/spawn-fcgi" 

## АБСОЛЮТНЫЙ путь к двоичному файлу PHP
FCGIPROGRAM="/usr/bin/php-cgi" 

## Прослушивание порта TCP на localhost
FCGISOCKET="/var/www/fastcgi/fred/fred.socket" 

## Раскомментируйте строку PHPRC, если имеется дополнительный файл php.ini для этого пользователя
## Положите этот файл php.ini в /var/www/fastcgi/fred/php.ini
## С помощью этого файла php.ini можно увеличить безопасность системы
## Просто настройте параметр open_basedir на веб-каталоги пользователей
## Например: (добавьте эту строку в ваш настроенный файл php.ini)
## open_basedir = /var/www/vhosts/fred/html
#PHPRC="/var/www/fastcgi/fred/" 

## Количество детей PHP порождаемых дополнительно к основным. Минимум 2.
## Действительное количество детей = PHP_FCGI_CHILDREN + 1
PHP_FCGI_CHILDREN=5

## Количество запросов выполненных сервером к одному процессу php, прежде чем этот процесс будет перезапущен
PHP_FCGI_MAX_REQUESTS=1000

## IP-адреса, с которых PHP должен принимать соединения серверов
FCGI_WEB_SERVER_ADDRS="127.0.0.1" 

# Доступные переменные окружения, разделённые пробелами
ALLOWED_ENV="PATH USER" 

## Если этот скрипт запускается от имени пользователя root, то fastcgi переключится на следующего пользователя:
USERID=fred
GROUPID=fred

################## После этой строки настроек нет
if test x$PHP_FCGI_CHILDREN = x; then
  PHP_FCGI_CHILDREN=5
fi
export PHP_FCGI_MAX_REQUESTS
export FCGI_WEB_SERVER_ADDRS
export PHPRC
ALLOWED_ENV="$ALLOWED_ENV PHP_FCGI_MAX_REQUESTS FCGI_WEB_SERVER_ADDRS PHPRC"

# Скопируем доступные переменные окружения
E=
for i in $ALLOWED_ENV; do
  E="$E $i=$(eval echo "\$$i")" 
done

# Очистим переменные окружения и настроим новые
env - $E $SPAWNFCGI -s $FCGISOCKET -f $FCGIPROGRAM -u $USERID -g $GROUPID -C $PHP_FCGI_CHILDREN
chmod 770 $FCGISOCKET

Будьте аккуратны с путями, USERID и GROUPID.

Отметим, что в этом примере процессы php запускаются от имени пользователя, созданного ранее ("fred"). Это означает, что код php будет иметь права доступа к файлам html и php. Это может быть удобно, но может быть менее безопасно.

В качестве альтернативы можно задать USERID значение "nobody" (или любого другого пользователя без каких-либо особых разрешений), чтобы запретить процессу php запись.

Нужно повторить процесс и создать скрипт запуска для каждого пользователя из каталога "/var/www/fastcgi/startup". (Просто скопируйте фалй и замените FCGISOCKET, USERID и GROUPID на правильные значения).

Не забудьте установить разрешения на выполнение всех скриптов запуска:

Выполним следующие команды:

# cd /var/www/fastcgi/startup
# chmod 750 *

5. Проверим настройку PHP

Если вы не знаете точно, где находится файл php.ini, просто выполните следующие команды:

$ php-cgi -i | grep php.ini

Удостоверьтесь, что в файле php.ini имеется следующая строка:

cgi.fix_pathinfo=1

Если вы раскомментировали строку PHPRC в скрипте из раздела 4, проверьте владельца и права доступа к файлу php.ini. Чтобы он использовался, нужно выполнить команды:

# chmod 644 php.ini
# chown root:root php.ini

6. Запустим все скрипты запуска FastCGI

Теперь запустим все процессы-серверы FastCGI, выполнив следующие команды:

# /var/www/fastcgi/startup/fred-startup.sh
spawn-fcgi.c.170: child spawned successfully: PID: xxxxx
# /var/www/fastcgi/startup/george-startup.sh
spawn-fcgi.c.170: child spawned successfully: PID: xxxxx
# /var/www/fastcgi/startup/ron-startup.sh
spawn-fcgi.c.170: child spawned successfully: PID: xxxxx

Если будут какие-то сообщения об ошибках, проверьте скрипты запуска и права доступа к каталогу "/var/www/fastcgi", включая все подкаталоги.

7. Настроим виртуальные узлы на сервере lighttpd

Отредактируем файл "/etc/lighttpd.conf" в любом текстовом редакторе:

...[некоторое количество строк конфигурации]...
$HTTP["host"] =~ "(^|\.)fred-weasley.com$" {
  server.document-root = "/var/www/vhosts/fred-weasley.com/html" 
  accesslog.filename = "/var/www/vhosts/fred-weasley.com/logs/access_log" 
  fastcgi.server = ( ".php" =>
    (
      ( "socket" => "/var/www/fastcgi/fred/fred.socket",
        "broken-scriptfilename" => "enable" 
      )
    )
  )
}

$HTTP["host"] =~ "(^|\.)george-weasley.com$" {
  server.document-root = "/var/www/vhosts/george-weasley.com/html" 
  accesslog.filename = "/var/www/vhosts/george-weasley.com/logs/access_log" 
  fastcgi.server = ( ".php" =>
    (
      ( "socket" => "/var/www/fastcgi/george/george.socket",
        "broken-scriptfilename" => "enable" 
      )
    )
  )
}

$HTTP["host"] =~ "(^|\.)ron-weasley.com$" {
  server.document-root = "/var/www/vhosts/ron-weasley.com/html" 
  accesslog.filename = "/var/www/vhosts/ron-weasley.com/logs/access_log" 
  fastcgi.server = ( ".php" =>
    (
      ( "socket" => "/var/www/fastcgi/ron/ron.socket",
        "broken-scriptfilename" => "enable" 
      )
    )
  )
}

Обратите внимание на пути к сокетам FastCGI каждого виртуального узла.

Условные блоки НЕ оказывают действия на server.errorlog, все сообщения об ошибках попадают в последний указанный файл журнала. Поэтому используется один глобальный журнал.

8. Перезапустим процесс демона lighttpd

Просто выполним следующую команду:

# /etc/init.d/lighttpd restart

Если будут какие-то сообщения об ошибках, проверьте файл конфигурации "/etc/lighttpd.conf".

9. Здравствуй мир!

Теперь, войдём под пользователем fred и создадим скрипт PHP в его виртуальном узле (например, "/var/www/vhosts/fred-weasley.com/html/index.php"):


<?php
  echo "<h1>Здравствуй мир!</h1>";
  echo "<p>Идентификатор текущего пользователя: ". posix_getuid();
  echo "<p>Идентификатор текущей группы: ". posix_getgid();
?>

Убедитесь, что вы задали разрешения на доступ к файлу:

Выполните следующие команды:

# chown fred:fred /var/www/vhosts/fred-weasley.com/html/index.php
# chmod 640 /var/www/vhosts/fred-weasley.com/html/index.php
# ls -l /var/www/vhosts/fred-weasley.com/html
-rw-r----- 1 fred fred 116 Jul 25 2004 index.php

Теперь, запустим веб-браузер и проверим вывод скрипта PHP. (Здесь: http://www.fred-weasley.com/index.php)

Если всё хорошо, вы увидите страницу, на которой будут отображены идентификаторы пользователя и группы fred. (Вы можете увидеть эти идентификаторы в файлах "/etc/passwd" и "/etc/group").

10. Автоматический вызов скриптов запуска FastCGI

При желании можно также создать запись в планировщике задач crontab для автоматического вызова скриптов запуска FastCGI при загрузке сервера.

Воспользуемся следующей командой для редактирования заданий планировщика crontab:

# crontab -e

Теперь добавим следующую строку:

@reboot for i in /var/www/fastcgi/startup/*.sh; do $i; done

А затем введём ":x" для сохранения и выхода.

Эта запись в планировщике задач crontab выполнит все файлы с расширением .sh, найденные в каталоге /var/www/fastcgi/startup, после загрузки сервера.

Поздравляю! Теперь у вас есть быстрый сервер, настроенный с отдельными правами для пользователей.

Ограничения

Таким образом мы создали отдельные группы процессов fastcgi для каждого пользователя. Это означает, что у этих процессов нет общей памяти. Поэтому, если этот способ используется на компьютере с большим количеством пользователей, потребуется значительное количество доступной оперативной памяти. Также, если используется какой-нибудь кэш транслированного кода PHP, например, xcache, apc или eaccelerator, этот способ приведёт к созданию собственного кэша у каждого из пользователей (что полезно для повышения безопасности, но приводит к увеличению использования памяти). Можно уменьшить использование памяти с помощью файлов php.ini, в которых настроить ускоритель с разными объёмами кэша, а также изменить значение переменной PHP_FCGI_CHILDREN в каждом из пользовательских скриптов startup.sh.

В FreeBSD (6.2) каждый пользователь может состоять максимум в 14 группах. Этот верхний предел экземпляров fastcgi для виртуальных узлов, поскольку пользователю lighttpd (www) необходим доступ к этим сокетам. Я настроил мой веб-сервер 1-2 года назад этим способом и столкнулся с проблемой несколько недель назад, когда добавил пользователя www в пятнадцатую группу. Не было никаких сообщений об ошибках, иди-свищи ответа у google. Но всё-таки, есть ли решение? ;) Да, в FreeBSD 8.0 этот предел был поднят до 1024.

Разрешения

У mod_fastcgi имеется опция check-local. Если она включена, Lighttpd использует своего пользователя для проверки существования файла в document-root. Если вы хотите, чтобы пользователь Lighttpd не имел доступа к document-root, нужно отключить эту опцию.

Postfix maildir umask

2011-10-14T14:22:00.005+06:00

Захотел написать небольшое веб-приложение для управления почтовым сервером. Одна из функций этого приложения - удаление почтового ящика из БД. Стандартная задача, которая обычно возникает при удалении почтового ящика, - это создать пересылку с удалённого адреса на другой и перенести уже принятые письма в каталог преемника.

Пример: сотрудник раздавал клиентам визитки со своим электронным адресом. Сотрудник уволился, но его электронную почту нужно обрабатывать, чтобы не потерять клиентов. Для этого можно создать пересылку на другой почтовый ящик, уже полученные письма перенести в почтовый ящик преемника, а сам почтовый ящик уволившегося сотрудника удалить.

Переносом писем по задумке должно заниматься веб-приложение, работающее с правами веб-сервера. Чтобы веб-сервер мог перенести письма, ему нужно иметь соответствующие права доступа. Для этого я включил пользователя www-data в группу vmail, затем дал группе vmail права rwx на каталоги почтовых ящиков.

Каталоги почтовых ящиков создаёт программа virtual почтовой системы Postfix. Можно задать uid и gid, с которыми будет работать эта программа. Это делается с помощью параметров virtual_uid и virtual_gid. Я для пробы решил создать один почтовый ящик и отправить на него письмо. virtual создал каталоги почтового ящика, но выставил для группы vmail права доступа, которые не позволяют ей делать ничего с этим ящиком.

Я прочитал man virtual в надежде найти какой-нибудь параметр вроде virtual_umask, но не нашёл. Попробовал выставить umask в файле /etc/init.d/postfix, перезапустил его, удалил каталог почтового ящика и снова отправил тестовое письмо. Каталог создался с теми же правами. В недоумении я стал искать в интернете, не сталкивался ли кто с такой же проблемой.

Оказалось - сталкивались. А параметра virtual_umask нет и не будет. Вьетце Венема аргументирует свою позицию тем, что он сисадмин с 20-летним стажем и доступ к письмам со стороны левых программ может отрицательно отразиться на безопасности почтовой системы. Никаких других доводов он слышать не желает. В том числе он не желает слышать о том, что система прав в Unix задумана такой не для того, чтобы искусственно обходить её стороной. Патчи, если кто такие и напишет, судя по молчанию Вьетце, приняты в основную ветку не будут.

Единственное приемлемое решение моей задачи, по мнению Вьетце Венема, - это забрать почту по протоколу POP из этого ящика и отправить её на другой ящик по протоколу SMTP.

У меня отношение к этому простое - безопасность ради безопасности не нужна. Я лучше постараюсь заменить Courier на какую-нибудь другую программу, которая сама умеет складывать письма в почтовые ящики и имеет собственный модуль доставки для Postfix или умеет работать по протоколу LMTP. В качестве замены исправно работающего много лет Courier воспользуюсь Dovecot.

В общем, если что - не удивляйтесь невменяемости этого уважаемого всеми товарища.

P.S. Настроил Dovecot вместо Courier и... всё то же самое. Настройка umask у Dovecot в прошлом была, но потом была удалена. Вместо неё придумали плагины для работы с общими почтовыми ящиками. Не смешно, но для такой простой операции, видимо, придётся воспользоваться чем-то вроде fetchmail. Хотя, можно воспользоваться sudo, в конфиге которой прописать одну строго ограниченную команду, можно сделать скрипт, работающий по cron'у, можно пропатчить сам Dovecot, а вот использование LMTP из Dovecot тоже не поможет.

Remmina

2011-10-04T20:17:00.008+06:00

Сегодня вновь посмотрел на программу Remmina и на этот раз она мне понравилась, т.к. я нашёл в ней функцию подключения по протоколу RDP через SSH-туннель, а также нашёл удобный апплет для XFCE.

Сама Remmina в Debian находится в пакете remmina и по умолчанию поддерживает только протоколы SSH и SFTP. Плагин для подключения по RDP находится в пакете remmina-rdp, а апплет находится в пакете remmina-xfce.

Для начала поставим всё это хозяйство:

# apt-get install remmina remmina-rdp remmina-xfce

Разобраться в настройках легко, я просто покажу как она выглядит.

Главное окно Remmina:

Окно настройки RDP:

Окно настройки SSH:

Окно настройки SFTP:

Кусочек экрана с апплетом для XFCE:

Удалённый рабочий стол, открытый по протоколу RDP с помощью Remmina:

Теперь подключаться к удалённым компьютерам стало значительно удобнее!

Программы, которыми я пользуюсь в Debian GNU/Linux

2011-10-03T15:35:00.014+06:00

Решил выложить обновлённую заметку Программы, которыми я пользуюсь в Linux. С тех пор много воды утекло и теперь я пользуюсь другими программами.

Пользуюсь средой XFCE. До этого я пользовался KDE3, но эта ветка прекратила своё существование в пользу более новой - KDE4, которая мне не понравилась. Я последовательно перепробовал IceWM, затем LXDE, и остановился на XFCE, которым сейчас и пользуюсь. Смена графической среды повлекла за собой замену многих программ из лагеря KDE/Qt на аналогичные из лагеря Gnome/GTK.

Сеть:

1. Torrent-клиент - Transmission.
2. FTP-клиент

Iceweasel или Chromium - когда нужно просто скачать несколько файлов.

lftp или ncftp - когда я работаю в консоли или мне нужно работать с FTP-сервером из скрипта.

3. Web-браузер - Iceweasel или Chromium.
4. Почтовый клиент - пользуюсь GMail.
5. RDP-клиент - Remmina.
6. Эмулятор терминала - Terminal (пакет xfce4-terminal).
7. IM-клиент - Pidgin.

Раньше пользовался Psi. Сейчас стал пользоваться Pidgin по двум причинам:
1. America Online продала ICQ компании Mail.ru. Mail.ru поменяли политику - открыли протокол, перестали его менять, разрешили использовать альтернативные ICQ-клиенты. Поэтому я вновь стал пользоваться ICQ, в дополнение к Jabber.
2. KDE4 мне не понравился, поэтому с KDE3 я перешёл на XFCE. Для XFCE родным тулкитом является GTK, поэтому вместо логичного для KDE мультипротокольного клиента Kopete я выбрал Pidgin, который лучше подходит для XFCE.

Офисные программы:

1. Офисный пакет - Openoffice.org.

В дальнейшем, видимо, будет заменён на LibreOffice. Почему - я думаю понятно без объяснений.

2. Калькулятор - KCalc или bc.
3. Просмотр PDF, DjVu, PostScript - Evince.
4. Просмотр FB2 - fbreader.
5. Файловый менеджер - Thunar и bash.
6. Архиватор - Xarchiver или консольные tar, bzip2/bunzip2, gzip/gunzip, unzip, unrar.

Картинки:

1. Просмотр картинок - GPicView.
2. Редактор картинок - KolourPaint (альтернатив не искал, т.к. практически не пользуюсь).
3. Скриншоты - ScreenShooter из XFCE (пакет xfce4-screenshooter).

Мультимедиа:

1. CD-риппер - консольный риппер ripit.
2. Запись CD/DVD - K3b (увы, лучше него пока ничего не нашёл).
3. Аудио-плеер - DeadBeef.
4. Простановка тегов в музыкальных треках - ExFalso.
5. Видеоплеер - SMPlayer.

Разработка:

1. Редактор кода, в том числе C и HTML - Geany или vim-lite.
2. Текстовый редактор - LeafPad, MousePad.
3. Переводы страниц руководства - POEdit и po4a.

Разное:

1. Учёт личных финансов - GNUCash.

Ещё я пользуюсь рядом самописных и подсмотренных где-то скриптов. В частности это скрипты для конвертирования кодировок текстовых файлов (на основе iconv), конвертирования кодировок в тегах mp3-файлов (на основе mid3iconv из пакета python-mutagen), конвертирования из doc, rtf и html в текст (antidoc, unrtf и unhtml соответственно), скрипты переименования фотографий по EXIF-тегам (exiftool из пакета libimage-exiftool-perl), скрипты разбивки FLAC-файлов (shntool).

Я перестал пользоваться клиентами DC++, т.к. в уфанетовском хабе с некоторых пор наблюдается голяк. На первый план вышли torrent-трекеры.

Перестал пользоваться менеджером дисков Gnome Catalog, так как купил жёсткий диск на 1 Терабайт. Кроме того, запись дисков отнимает очень много времени, которого у меня теперь мало. Да и барахольщиком нынче быть не очень выгодно, т.к. тарифы на интернет стали очень дешёвыми - что угодно можно найти и быстро скачать из Интернета в любой момент.

Перестал вообще пользоваться двухпанельными менеджерами файлов. Это связано со предыдущими пунктами: дешёвые тарифы на интернет, распространение торрентов, объёмный жёсткий диск, нехватка времени - теперь реже нужно разгребать завалы файлов.

Перестал играть в компьютерные игры - нет времени. Стал читать вместо этого книги. Обычные, бумажные.

Изменения от 4 октября 2011:

Для просмотра PDF, PostScript и DjVu вместо программ KPDF, KGhostView и DjView4 теперь пользуюсь Evince.

Вместо FreeRDP теперь использую Remmina - менеджер подключений SSH, SFTP и RDP (и других, которыми не пользуюсь). Плагин RDP использует для подключения FreeRDP. Использую апплет Remmina для XFCE.

Перекодирование FLAC

2011-07-31T16:35:00.002+06:00

Попались нестандартные FLAC-файлы с битрейтом 96 килогерц и с 24-битными сэмплами. Переделал в 44100-герцовые и 16-битные с помощью трёх команд:


flac -d infile.flac -o temp1.wav
sox temp1.wav -b 16 -r 44100 -t .wav temp2.wav
flac temp2.wav -o outfile.flac

Решил записать на память - может понадобится в будущем, а голову ломать второй раз не хочется.

Настройка DynDNS

2011-07-21T23:44:00.003+06:00

Давно не приходилось пользоваться DynDNS, а потому не заметил, что у ddclient поменялся формат файла конфигурации. Теперь в файле конфигурации можно указывать несколько записей для обновления и мне теперь больше не нужны трюки, к которым я прибегал в заметке Настройка DynDNS на Debian.

Всё стало очень просто, как и должно быть. Файл конфигурации /etc/ddclient.conf:


pid=/var/run/ddclient.pid

protocol=dyndns2, \
server=members.dyndns.org, \
login=username, \
password='mypassword', \
use=if, \
if=eth0, \
ufadeb.homelinux.org

protocol=dyndns2, \
server=members.dyndns.org, \
login=username, \
password='mypassword', \
use=if, \
if=ppp0, \
stupin.homelinux.org

Файл настройки параметров демона /etc/default/ddclient:


run_ipup="false"
run_daemon="true"
daemon_interval="60"

Затем я запустил демона с помощью команды

/etc/init.d/ddclient start

и всё заработало.

Xinerama: монитор и телевизор

2011-07-13T11:28:00.017+06:00

Примерно год назад у меня дома случилась перестановка мебели, в результате которой телевизор стал стоять недалеко от компьютера. Тогда же мне пришла в голову мысль подключить телевизор к компьютеру для более удобного просмотра фильмов. Но, прошёл почти год, прежде чем у меня появилось достаточно свободного времени, чтобы этим заняться. Сейчас я в отпуске и решил этим заняться.

Хочу заранее сказать, что я не любитель отслеживать разного рода новинки в области компьютерной и видеотехники. Телевизор этот купила моя жена, когда ещё начала работать, с ней мы тогда не были знакомы. Компьютер с этой видеокартой (NVidia GeForce 6600) я купил где-то в начале 2006 года, когда мой старый компьютер стал намертво виснуть при повышенной нагрузке на процессор (архивирование, просмотр некоторых фильмов, просмотр флеша). Старый компьютер модернизации не подлежал и поэтому из старого компьютера в новый попал только привод DVD-RW, который позже сломался и был заменён на другой.

Есть люди, которым нравится покупать все новинки компьютерной и видеотехники. Им вряд ли будет интересно читать всё нижеследующее, потому что всё это уже давно устарело. Эти люди будут любят задавать вопросы "зачем тебе этот хлам" и раздавать ценные советы вида "купи себе то-то и то-то и не возись с этим барахлом". Заранее прошу таких людей не беспокоить меня.

Итак, перво-наперво, нужно было купить кабели для соединения телевизора и компьютера.

Я обследовал видеокарту и нашёл там разъём S-Video (собственно, я и так знал, что он там есть). Один друг мне до этого рассказывал, что он тоже подключал телевизор к компьютеру (правда под Windows) и сказал, что с этим кабелем он намучился, потому что их бывает несколько разных видов. Я это вспомнил, внимательно рассмотрел разъём и поискал его в интернете. Нашёл вот такую статью Разъёмы S-Video, применяемые в видеокартах и убедился в том, что у меня на видеокарте именно разъём S-Video, стандартный 4-контактный.

Этот разъём может работать в двух режимах:

1. Композитный - по одному проводу передаются все три сигнала Y (яркость), Cr или U (разница между яркостью и синим), и Cb или V (разница между яркостью и красным). Сигналы мультиплексирются видеокартой и демультиплексируются телевизором. Обеспечивает менее качественную картинку, поскольку не может устранить взаимовлияние сигналов яркости и цвета.

2. S-Video - по одному проводу передаётся сигнал яркости Y, а по другому - мультиплексированный сигнал цвета Cr или U (разница между яркостью и синим), и Cb или V (разница между яркостью и красным). Обеспечивает более качественную картинку, поскольку исключается взаимовлияние сигнала яркости и сигнала цветности. Более подробно об этом написано в статье Особенности преобразования сигналов VGA в TV.

Самым лучшим вариантом был бы компонентный сигнал, при котором каждый компонент передаётся по отдельному проводу. Но, к сожалению, мой разъём S-Video такого варианта обеспечить не может, его могут обеспечить 7-контактный или 9-контактный варианты разъёма S-Video. Подробнее об этом можно почитать, например, здесь: Подключение компьютера к телевизору.

Ещё можно было бы попробовать воспользоваться разъёмом DVI, имеющимся на видеокарте, но забегая вперёд скажу, что переходников DVI на 3 RCA я не нашёл ни в каком виде. Если найду - опробую этот вариант.

Затем я обследовал телевизор. На телевизоре оказалось огромное количество разъёмов типа "Тюльпан", которые правильно называются RCA.

Фото задней панели телевизора:

Разъёмы на задней панели выделены в 3 группы:
1 группа. 5 разъёмов для подключения DVD-плеера с развёрткой на 480 строк:
1) Y,
2) U или Cr,
3) V или Cb,
4) левый аудио,
5) правый аудио.

2 группа. 3 разъёма для видеовхода:
1) композитный,
2) левый аудио,
3) правый аудио.

3 группа. 3 разъёма для видеовыхода:
1) композитный,
2) левый аудио,
3) правый аудио.

Фото передней панели телевизора:

Разъёмы на передней панели:
4 группа:
1) композитный,
2) левый аудио,
3) правый аудио.

Соответственно, вариантов подключения у меня оказалось не много - либо к группе 2 на задней панели, либо к группе 4 на передней панели. При этом используется композитный видеосигнал и два аудиосигнала. Это вариант подключения, обеспечивающий самое низкое качество видеосигнала.

Расстояние между телевизором и компьютером - примерно 2 метра. Итак, с кабелями я определился - мне нужны кабель S-Video-RCA и MiniJack-2RCA. Первая же попытка найти такие кабели в магазинах бытовой электроники окончилась неудачей - именно таких кабелей нигде не было. Вторая попытка оказалась успешной - я купил их в магазине, специализирующемся на продаже электронных компонентов. Были кабели длиной 1,5 метра и 3 метра, я взял трёхметровые.

Теперь дело стало за настройкой. Для начала воспользовался вот этой заметкой Подключение двух мониторов: Xinerama или TwinView?. Настроил Xinerama, т.к. мне показался этот способ более естественным для X-сервера.

Получился вот такой файл конфигурации /etc/X11/xorg.conf:


Section "ServerLayout"
    Identifier     "X.org Configured"
    Screen         "Screen0" 0 0
    Screen         "Screen1" RightOf "Screen0"
    InputDevice    "Mouse0" "CorePointer"
    InputDevice    "Keyboard0" "CoreKeyboard"
    Option         "Xinerama" "On"
EndSection

Section "Files"
    ModulePath      "/usr/lib/xorg/modules"
    FontPath        "/usr/share/fonts/X11/misc"
    FontPath        "/var/lib/defoma/x-ttcidfont-conf.d/dirs/TrueType"
EndSection

Section "Module"
    Load           "glx"
    Load           "dbe"
    Load           "record"
    Load           "extmod"
EndSection

Section "ServerFlags"
    Option         "AutoAddDevices" "False"
    Option         "AllowEmptyInput" "False"
    Option         "DontZap" "True"
EndSection

Section "InputDevice"
    Identifier     "Keyboard0"
    Driver         "kbd"
    Option         "XkbRules" "xorg"
    Option         "XkbModel" "pc104"
    Option         "XkbLayout" "us,ru"
    Option         "XkbOptions" "grp:alt_shift_toggle"
    Option         "XkbVariant" ",winkeys"
    Option         "AutoRepeat" "250 30"
EndSection

Section "InputDevice"
    Identifier     "Mouse0"
    Driver         "mouse"
    Option         "Protocol" "auto"
    Option         "Device" "/dev/input/mice"
    Option         "ZAxisMapping" "4 5 6 7"
EndSection

Section "Monitor"
    Identifier     "Monitor0"
    VendorName     "LG"
    ModelName      "Flatron L1730S"
    DisplaySize     338    270
    HorizSync       30.0 - 80.2
    VertRefresh     56.0 - 75.0
    ModeLine       "1280x1024_75.00" 138.54 1280 1368 1504 1728 1024 1025 1028 1069 -hsync +vsync
    ModeLine       "1024x768_75.00" 81.80 1024 1080 1192 1360 768 769 772 802 -hsync +vsync
    ModeLine       "800x600_75.00" 48.91 800 840 920 1040 600 601 604 627 -hsync +vsync
    ModeLine       "640x480_75.00" 30.72 640 664 728 816 480 481 484 502 -hsync +vsync
    Option         "DPMS"
EndSection

Section "Monitor"
    Identifier     "Monitor1"
    VendorName     "LG"
    ModelName      "Flatron RT-21FA32X"
    DisplaySize    450 350
    HorizSync      15.625 - 15.625
    VertRefresh    50.0 - 50.0
    Option         "DPMS"
EndSection

Section "Device"
    Identifier     "Card0"
    Driver         "nvidia"
    VendorName     "nVidia Corporation"
    BoardName      "NV43 [GeForce 6600]"
    BusID          "5:0:0"
EndSection

Section "Device"
    Identifier     "Card1"
    Driver         "nvidia"
    VendorName     "nVidia Corporation"
    BoardName      "NV43 [GeForce 6600]"
    BusID          "5:0:0"
    Screen         1
EndSection

Section "Screen"
    Identifier     "Screen0"
    Device         "Card0"
    Monitor        "Monitor0"
    DefaultDepth    24
    SubSection     "Display"
        Viewport    0 0
        Depth       8
        Modes      "1280x1024_75.00" "1024x768_75.00" "800x600_75.00" "640x480_75.00"
    EndSubSection
    SubSection     "Display"
        Viewport    0 0
        Depth       24
        Modes      "1280x1024_75.00" "1024x768_75.00" "800x600_75.00" "640x480_75.00"
    EndSubSection
    SubSection     "Display"
        Viewport    0 0
        Depth       32
        Modes      "1280x1024_75.00" "1024x768_75.00" "800x600_75.00" "640x480_75.00"
    EndSubSection
EndSection

Section "Screen"
    Identifier      "Screen1"
    Device          "Card1"
    Monitor         "Monitor1"
    DefaultDepth    24
    SubSection      "Display"
        Depth           24
        #Modes           "768x576"
        Modes           "800x600"
    EndSubSection
EndSection

Возможно, что некоторые настройки здесь избыточны и не необходимы для нормальной работы. Действительное разрешение S-Video 768x576 точек, поэтому я указал наиболее похожее из доступных - 800x600. Частоты вертикальной и горизонтальной развёртки для режима S-Video - 15,625 КГц и 50 Гц. Геометрические размеры растровой сетки телевизионного экрана - 450 на 350 мм (замерял линейкой).

Настройки монитора перекочевали из предыдущей конфигурации, где они были заданы явно, поскольку видеокарта по протоколу EDID принимает от монитора несколько заниженные режимы.

Действительные настройки видеокарты я смотрел с помощью программы nvidia-settings. Там можно найти доступные видеорежимы, посмотреть частоту вертикальной развёртки (действительная частота оказалась равной 60,32 Гц), можно отцентрировать картинку, задать её размеры на экране, настроить насыщенность цвета.

Базы данных postgrey

2011-04-22T13:56:00.003+06:00

Сегодня я заинтересовался содержимым баз данных Postgrey. Как известно, база данных Postgrey находится в каталоге /var/lib/postgrey/ и имеет формат Berkeley DB.

Собственно вся база находится в двух основных файлах: postgrey.db и postgrey_clients.db.

Для их просмотра нам понадобится пакет db4.6-utils. Точную версию необходимого пакета можно выяснить, если изучить зависимости самого postgrey. У меня в дистрибутиве Debian Squeeze было три различных версии этого пакета, из которых подошла только версия 4.6.

В файле postgrey.db находятся триплеты тестируемых отправителей.

Просмотреть их можно следующей командой:

db4.6_dump -p postgrey.db | less

Нашему взору предстанет таблица с записями двух видов:


 95.111.111.9/uzowu@sender.hu/ufa03@receiver.ru
 1303233971,1303234277


 95.138.211.0/vasiliy@sender.ru/sln@receiver.ru
 1303295139,1303295139,90

Это два способа записи одной и той же информации. Первый вид расшифровывается следующим образом:


 IP-адрес отправителя/почтовый адрес отправителя/почтовый адрес получателя
 отметка времени первой попытки отправки,отметка времени второй попытки отправки

Второй вид, насколько я понял анализируя исходник postgrey, соответствует случаю если в PTR-записи IP-адреса отправителя найдено одно последнее число из IP-адреса или два последних числа IP-адреса. То есть соответствует случаю заведомо динамического IP-адреса отправителя. Очень редко в домен попадает последнее число IP-адреса или сразу два последних числа из IP-адреса - в основном это соответствует именно случаю динамического IP-адреса. В таком случае postgrey откусывает у IP-адреса последнее число, заменяя его на ноль. Само откушенное число добавляется в конец записи. Указанный выше случай соответствует IP-адресу 95.138.211.90. То есть во втором случае формат такой:


 IP-адрес отправителя с последним числом заменённым на 0/почтовый адрес отправителя/почтовый адрес получателя
 отметка времени первой попытки отправки,отметка времени второй попытки отправки, последнее число из IP-адреса

Не совсем понимаю зачем это сделано, я с этим не разбирался. Скорее всего - для ускорения поиска динамических клиентов-отправителей. Такому клиенту скорее всего каждый раз будет выдаваться не сильно отличающийся от предыдущего IP-адрес, поэтому чтобы не множить триплеты и не заставлять такого клиента каждый раз пробиваться через процедуру проверки, повторные проверки выполняются только в случае отличия одного из первых трёх чисел IP-адреса. Но это - всего лишь мои догадки. Если вам интересно - изучайте исходники внимательнее.

Второй файл postgrey_clients.db используется для автоматического помещения IP-адресов отправителей в белый список. Посмотреть его можно следующей командой:

db4.6_dump -p postgrey_clients.db | less

Видим много записей следующего вида:


 1.122.11.90
 1,1303296308

Что здесь что?


 IP-адрес отправителя
 количество удачных отправок,отметка времени последней отправки

Опция --auto-whitelist-clients=10, заданная в настройках демона, указывает, после какого количества успешных отправок IP-адрес отправителя будет помещён в белый список. Эта база используется как раз для отслеживания клиентов, претендующих на помещение в белый список.

Опция --max-age=30 действует на оба списка и говорит о том, что записи, время последней отправки которых старше 30 дней, будут удалены. Таким образом записей с последней попыткой отправки бывшей более 30 дней назад, в базе быть не должно.

Для того, чтобы загнать отредактированную информацию обратно в базу данных, можно воспользоваться командой db4.6_load:


db4.6_dump -p postgrey.db > base
vi base
db4.6_load postgrey.db < base

Возможно перед загрузкой информации в базе данных придётся остановить postgrey. И не забудьте при экспериментах по редактированию делать резервные копии. Лучше - всего каталога после остановки postgrey.

Как воспользоваться полученной информацией, я пока не придумал. Например, можно составить рейтинг отправителей по IP-адресам, а можно составить рейтинг пар отправитель/получатель. Можно добавлять записи вручную (только зачем?), а можно удалять записи. Если придумали что-нибудь интересное, отпишитесь.

Настройка автодополнения адреса в Firefox

2011-04-14T09:29:00.007+06:00

Меня уже пару лет подбешивает автодополнение адреса в Firefox. Когда я ввожу адрес в адресную строку вручную, то я ввожу известный мне адрес сайта. Кроме адресов сайтов я туда больше никогда и ничего не ввожу. Но услужливый Firefox при вводе первой же буквы вываливает на меня чуть ли не всё содержимое адресной книги, журнала посещённых страниц, скопированных и вставленных откуда-нибудь ссылок и введённых в прошлом сайтов. Из всего этого хлама мне пригодился бы только последний пункт. Но я, будучи обладателем ангельского терпения и чудовищной лени, постоянно забивал на это всю эту пару лет.

И вот, наконец-то, я решил уделить полчаса своего времени на поиск решения и на его описания на будущее, если оно мне вдруг снова потребуется.

Итак, интересующие нас настройки находятся, понятное дело, на странице с адресом about:config. За настройки адресной строки отвечают параметры с именами, начинающимися с browser.urlbar. Из всех этих настроек мне нужны только две: browser.urlbar.default.behavior и browser.urlbar.matchBehavior

Параметр browser.urlbar.default.behavior представляет собой шестибитное значение, каждый из битов которого указывает, по каким источникам осуществлять автодополнение. Значение этого параметра может быть представлено в виде суммы следующих чисел:

1 Ограничить поиск только историей
2 Ограничить поиск только закладками
4 Ограничить поиск только метками
8 Искать совпадения в названии страницы
16 Искать совпадение в адресе страницы
32 Искать совпадение только с ранее введёнными адресами

Итак, моему желанию соответствует сумма 16 и 32, поэтому я задаю значение этого параметра равным 48.

Параметр browser.urlbar.matchBehavior может принимать одно из следующих значений:

0 Искать где угодно в доступном тексте, не обращая внимания на границы слов.
1 Искать в пределах слов перед тем, как искать во всём доступном тексте, не обращая внимания на границы слов. (По умолчанию)
2 Искать только в пределах слов в автодополнении адресной строки.
3 Подходят только начала адресов и названий страниц.

Мне нравится значение 3.

После этих настроек в строке адреса выпадают только те ресурсы, адреса которых начинаются с указанных букв.

Всё описанное выше сработало для Firefox версии 3.6.16.

Настройка NetFlow сенсора на Cisco и коллектора на Debian

2011-03-25T16:25:00.005+05:00

В прошлом году, в середине декабря, вышестоящее руководство по моему департаменту запросило суточную статистику в разрезе по IP-адресам по загрузке канала, соединяющего наш филиал с корпоративной сетью. Канал этот с нашей стороны заходит на один из портов маршуртизатора Cisco 2821. Недолго думая я решил прибегнуть к проверенному средству - NetFlow и пакету flow-tools. Может потом когда-нибудь пригодится мне или кому-нибудь ещё.

Для начала настроим NetFlow-сенсор на маршрутизаторе:


ip flow-export version 5
ip flow-export destination 192.168.0.1 9000
ip flow-export source GigabitEthernet 0/0
ip cef

interface GigabitEthernet 0/1
 ip flow ingress
 ip flow egress
 ip route-cache flow
 no ip mroute-cache

192.168.0.1 - это адрес компьютера, на котором настроен коллектор,
9000 - это UDP-порт на этом компьютере, куда будет сыпаться статистика,
GigabitEthernet 0/0 - это интерфейс, с которого будет исходить поток статистики,
GigabitEthernet 0/0 - это интерфейс, статистика трафика которого будет сниматься.

Теперь пришёл черёд NetFlow-коллектора. Поставим пакет flow-tools:


# apt-get install flow-tools

И зададим настройки коллектора в файле /etc/flow-tools/flow-capture.conf:


-w /var/flow/cisco2821 -n 24 -N 3 192.168.0.1/192.168.0.2/9000

/var/flow/cisco2821 - каталог с отловленными файлами потоков,
192.168.0.1 - адрес компьютера, а точнее - того интерфейса, на который льётся поток,
192.168.0.2 - адрес маршуртизатора Cisco 2821, с которого будет идти поток,
9000 - UDP-порт компьютера, на который будет сваливаться поток,
24 - количество ротаций журналов с потоком в сутки (по какой-то непонятной причине количество ротаций и момент их срабатывания всё-же не поддаются точному расчёту, поэтому это лишь приблизительная настройка),
3 - расфасовка файлов по подкаталогам вида YYYY/YYYY-MM/YYYY-MM-DD/

Обязательно нужно создать каталог для файлов /var/flow/cisco2821/:


# mkdir -p /var/flow/cisco2821/

И можно запускать коллектор:


# /etc/init.d/flow-capture start

С помощью следующей команды нужно убедиться, что коллектор запустился и приступил к работе:


# netstat -4nlp | grep 9000

Нужно также не забыть проковырять дырочку в пакетном фильтре, чтобы он не отбрасывал пакеты (это вы сделайте сами).

Пока статистика собирается, можно заняться фильтрами. Например, можно создать фильтр, отбирающий статистику только за рабочее время (хотя была запрошена в первую очередь суточная статистика). Например, в файл /etc/flow-tools/cfg/filter.cfg пропишем вот такие правила:


filter-primitive work-time-start
 type time
 permit gt 9:00

filter-primitive work-time-end
 type time
 permit lt 18:00

filter-definition work-time
 match start-time work-time-start
 match end-time work-time-end

Теперь этот фильтр можно использовать в команде flow-nfilter, которую можно включить в конвейер:


$ cd /var/flow/cisco2821/2010/2010-12/2010-12-16/
$ flow-cat ft-v05.2010-12-16.1* \
 | flow-nfilter -f /etc/flow-tools/cfg/filter.cfg -Fwork-time \
 | flow-stat -f10 > stat.txt

flow-cat объединяет отобранные файлы за сутки 2010-12-16,
flow-filter отбирает из объединённого потока ту информацию, которая соответствует правилу work-time,
flow-stat с опцией -f10 создаёт отчёт из пяти колонок: IP-адрес отправителя, IP-адрес получателя, количество соединений (уникальных триплетов протокол/порт-отправителя/порт-получателя), количество байт, количество пакетов.

Декодирование писем в формате TNEF в Postfix

2011-03-25T12:25:00.007+05:00

Вчера столкнулся с интересной проблемой, корень которой в очередной раз нашёлся в Microsoft. Один из сотрудников пожаловался, что некоторые письма к нему приходят без вложений. Я попытался разобраться в ситуации и выяснил, что письма в почтовом клиенте имеют точно такой же размер, какой они имеют, когда их принимает Postfix. Стало быть почтовый сервер, почтовый клиент, антивирус на сервере и на компьютере почтового клиента никаких изменений в письма не вносят.

Потом я обратил внимание на размер письма (несколько сотен килобайт) и на отображаемый в клиенте текст. Письмо было явно слишком большим для такого небольшого объёма информации. Я заглянул в исходный текст письма и обнаружил, что в нём имеется вложение с именем файла "winmail.dat" и MIME-типом "application/ms-tnef".

Я заинтересовался, а что же это вообще такое и обнаружил, что это изобретённый Microsoft новый формат для писем, а понимают его только почтовые клиенты Outlook и те клиенты, разработчики которых специально озаботились этой проблемой. Письмо открывалось с помощью изделия той же фирмы Microsoft - Outlook Express, но изделие молча игнорировало попытки старшего брата донести до него информацию.

Первым делом я нашёл рецепт отключения этой фичи в Outlook отправителя
Файлы winmail.dat в письмах и отправил эту ссылку отправителю.

Предвидя возможные повторы этой проблемы и необходимость снова и снова отправлять эту ссылку разным людям, я поискал, а нельзя ли этот TNEF преобразовывать прямо на сервере? Нашёл следующую заметку Postfix + ytnef filter, которая, к слову, была написана всего полтора месяца назад. Так что если бы я столкнулся с проблемой раньше, возможно мне так и пришлось бы отправлять людям ссылку.

Там описывается настройка прокси-конвертера ytnef smtpd для FreeBSD. Поскольку у меня сервер работает под Debian Lenny, я решил выложить тут адаптированный вариант, а иначе просто ограничился бы ссылкой.

Итак, перво-наперво, ставим сам конвертер ytnef и python:


# aptitude install --with-recommends ytnef
# aptitude install python

Качаем архив со скриптом по ссылке и распаковываем его:


$ wget http://www.viraj.org/ytnef_smtpd/ytnef_smtpd-1.1.tar.gz
$ tar xzvf ytnef_smtpd-1.1.tar.gz
$ cd ytnef_smtpd-1.1

Копируем скрипт туда, где ему положено лежать:


# cp ytnef_smtpd.py /usr/local/bin/
# chmod +x /usr/local/bin/ytnef_smtpd.py

И меняем настройки скрипта, которые находятся в нём самом-же. У меня в Postfix уже есть два прокси, первый сканирует письма на предмет наличия вирусов, а второй проставляет оценки уровня спама. Наша задача - встроить новый прокси в начало цепочки, чтобы сначала письмо преобразовывалось, а затем уже проверялось и оценивалось.

Приведу лишь изменённые строки:


LISTEN_PORT = 10028
REMOTE_PORT = 10026
YTNEF_BIN = '/usr/bin/ytnef'
FILE_BIN = '/usr/bin/file'
LOG_FILE = '/var/log/ytnef_smtpd.log'

Скрипт будет ожидать подключений к порту 10028, а преобразованное письмо будет отправлять на порт 10026, где его будет ловить уже антивирус.

Теперь создадим скрипт автозапуска /etc/init.d/ytnef_smtpd.sh (он немного отличается от оригинала):


#!/bin/sh

case "$1" in
start)
        if [ -f /var/run/ytnef_smtpd.pid ]
        then
                echo "Script already launched. PID: "\
                        `cat /var/run/ytnef_smtpd.pid`
        else
                echo "Starting ytnef smtpd..."
                /usr/local/bin/ytnef_smtpd.py &
                echo $! > /var/run/ytnef_smtpd.pid
                echo "...Done!"
        fi
        ;;
stop)
        if [ -f /var/run/ytnef_smtpd.pid ]
        then
                echo "Shutting down ytnef smtpd..."
                kill -TERM `cat /var/run/ytnef_smtpd.pid` && \
                        rm -f /var/run/ytnef_smtpd.pid && echo "...Done!"
        else
                echo "ytnef smtpd not launched."
        fi
        ;;
*)
        echo "Use start script for: { start | stop }" >&2
        exit 1
        ;;
esac

Пропишем его автозапуск и запустим:


# chmod +x /etc/init.d/ytnef_smtpd.sh
# update-rc.d ytnef_smtpd.sh defaults
# /etc/init.d/ytnef_smtpd.sh start

Теперь скрипт должен прослушивать порт 10028, это можно проверить следующей командой:


# netstat -nlp4 | grep 10028

Если это так, значит пока что всё идёт нормально.

Теперь нужно перенастроить Postfix, так чтобы он перенаправлял только что полученные письма на обработку ytnef smtpd.

В файле /etc/postfix/main.cf прописываем порт первого прокси в цепочке (в нашем случае это порт ytnef smtpd - 10028):


content_filter = scan:127.0.0.1:10028

И если до этого у вас не было прокси, добавляем в файл /etc/postfix/master.cf следующие строчки (обратите внимание на пробелы в начале всех строк, кроме первой):


127.0.0.1:10025 inet n - n - 16 smtpd
 -o content_filter=
 -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
 -o smtpd_helo_restrictions=
 -o smtpd_client_restrictions=
 -o smtpd_sender_restrictions=
 -o smtpd_recipient_restrictions=permit_mynetworks,reject
 -o mynetworks_style=host
 -o smtpd_authorized_xforward_hosts=127.0.0.0/8

Эти строчки настроят ещё один smtp-сервер, который будет принимать письма на порту 10025 только от локальных программ, но при этом не будет отправлять письма на дальнейшую проверку. Именно этот порт необходимо указать в настройке "REMOTE_PORT", если у вас больше нет никаких прокси в цепочке.

Осталось перезапустить postfix и всё должно заработать:


# /etc/init.d/postfix restart

Я специально ради этого устанавливал себе на компьютер Outlook, отправил из него письмо в формате tnef и принял в Outlook Express. Письмо прочиталось вместе с вложениями.

Что случится, когда компьютеры перестанут уменьшаться?

2011-03-25T12:17:00.004+05:00

Перевод статьи: What happens when computers stop shrinking?
Переводчики: Владимир Ступин, Егор Калиничев.
Пепеведено на сайте коллективных переводов translated.by

19 марта 2011, Мичио Каку (Michio Kaku)

Примерно в 2020, эпоха уменьшающихся интегральных схем подойдёт к концу -- и нам лучше подготовиться к этому

Эта статья является сокращённым изложением из новой книги Мичио Каку, "Физика будущего."

Я отлично помню, как я сидел в офисе Марка Вейсера в Кремниевой Долине почти двадцать лет назад, когда он объяснял мне его видение будущего. Жестикулируя руками, он азартно объяснял мне, что должна была произойти новая революция, которая изменит мир. Вейсер был членом компьютерной элиты, работавшей в исследовательском центре Xerox в Пало Альто (том самом, где были созданы первый персональный компьютер, лазерный принтер и оконная среда с графическим интерфейсом пользователя), но он был бунтарём, протестовавшим против значков, что противоречило общепринятому соглашению, а также он был членом неистовой рок-группы.

В то время (кажется, будто это было в прошлой жизни) персональные компьютеры были новы и только-только начинали проникать в жизнь людей, поскольку они медленно приходили к мысли о покупке огромных, неуклюжих настольных компьютеров для анализа таблиц и простой обработки текстов. Интернет всё ещё был огромной изолированной провинцией учёных вроде меня, записывающих формулы для приятелей-учёных на мистическом языке.

Тогда шли жаркие дебаты о том, что этот настольный ящик может обесчеловечить цивилизацию, сделать её холодной, бесчувственной. Даже политолог Уильям Ф. Бакли принялся защищать текстовые процессоры от интеллектуалов, которые их избегали и отказывались прикасаться к компьютеру, называя его инструментом обывателей.

Это была эпоха споров, для которой Вейсер придумал выражение "вездесущих компьютеров." Заглядывая в далёкое прошлое персонального компьютера, он предсказал, что микросхемы однажды станут настолько дешёвыми и доступными, что они проникнут во всю окружающую обстановку -- в нашу одежду, мебель, стены, в наши тела. И они все будут подключены к Интернет, предоставляя доступ к данным друг друга, делая нашу жизнь более приятной, отражая все наши желания. Куда бы мы ни направились, микросхемы будут незаметно выполнять наши желания. Среда станет живой.

По тем временам, мечты Вейсера были нелепыми, абсурдными. Большинство персональных компьютеров были всё ещё дорогими и не были подключены к Интернет. Идея, что эти миллиарды крохотных микросхем однажды станут так же дёшевы как проточная вода, считалась безумием.

И тогда я спросил его, почему он настолько уверен в этой революции. Он спокойно ответил, что мощность компьютеров растёт экспоненциально, а конца этому пока не видать. В математическом плане. Только это тогда имело значение. (К сожалению, Вейсер не прожил достаточно долго, чтобы увидеть что его революция произошла, он умер от рака в 1999.)

Основополагающим источником пророческой мечты Вейсера было нечто называемое законом Мура, эмпирическое правило, которое двигало компьютерную промышленность в течение пятидесяти, а то и больше, лет. Оно задавало темп современной цивилизации как часовой механизм. Закон Мура просто говорил, что мощность компьютеров удваивается каждые восемнадцать месяцев. В соответствии с ним, каждый Новый год вы получаете новые компьютерные игры как минимум в два раза мощнее (в терминах количества транзисторов), чем в прошлом году. Кроме того, по прошествии лет, эта увеличивающаяся шкала превратилась в колоссальную. Например, когда вы получаете по почте поздравительную открытку, она часто снабжена микросхемой, которая поёт вам поздравительную песню. Удивительно, что эта микросхема обладает большей вычислительной мощностью, чем все Союзные войска в 1945. Гитлер, Черчиль или Рузвельт могли бы убить ради этой микросхемы. Но что мы с ней делаем? После праздника мы выбрасываем открытку вместе с микросхемой. Сегодня ваш мобильный телефон обладает большей вычислительной мощностью, чем всё оборудование NASA, которое позволило им в 1969 высадить двоих астронавтов на луне. Видеоигры, требующие чудовищной вычислительной мощности для моделирования трёхмерных сцен, используют больше вычислительной мощности, чем мэйнфреймы предыдущего десятилетия. Сегодня Sony PlayStation, которая стоит $300, обладает мощностью военного суперкомпьютера 1997, который стоил миллионы долларов.

Итак, прежняя концепция (одна микросхема внутри настольного компьютера или ноутбука, подключенного к компьютеру) была вытеснена новой (сотни микросхем, рассеянных внутри каждой вещи, такой как мебель, техника, картины, стены, автомобили, одежда, всё общается друг с другом и подключено к Интернет).

Если эти микросхемы будут встроены в технику, она чудесным образом преобразится. Если микросхемы встроить в печатные машинки, они становятся текстовыми процессорами. Если вставить их в телефоны, они становятся мобильными телефонами. Если их встроить в камеры, они становятся цифровыми камерами. Автоматы для игры в пинбол становятся видеоиграми. Аудиопроигрыватели становятся iPod'ами. Самолёты становятся смертельными беспилотниками Predator. После каждого революционного преобразования промышленность перерождается. Со временем, практически всё вокруг станет умным. Микросхемы станут настолько дешёвыми, что они станут стоить меньше пластиковой упаковки и смогут заменить штрих-код. Компании, не сделавшие свою продукцию умной могут оказаться выброшенными за борт конкурентами, которые сделают.

Конечно, мы по-прежнему будем окружены мониторами компьютеров, но они примут вид обоев, фоторамок или семейных фотографий, а не компьютеров. Представьте все картины и фотографии, украшающие ваш сегодняшний дом; теперь представьте, что каждая из них стала анимированной, движущейся и подключенной к Интернет. Когда мы выйдем наружу, мы сможем увидеть движущиеся картинки, поскольку они будут стоить так же мало, как и неподвижные.

Предназначение компьютеров -- как и других массовых технологий вроде электричества, бумаги и водопровода -- стать незаметными, так чтобы раствориться в структуре нашей жизни, быть повсюду и постоянно, тихо и незаметно выполняя наши желания.

Сегодня входя в комнату мы не задумываясь начинаем искать выключатель для света, поскольку подразумевается, что в стенах проложена электропроводка. В будущем первой вещью, которую мы будем искать при входе в комнату - это окно в Интернет, потому что мы будем подразумевать, что комната умная. Как однажды сказал писатель-романист Макс Фрищ, "Технология - это привычка упорядочивать мир, который мы не можем прочувствовать."

Нам хочется спросить: до каких пор будет продолжаться эта компьютерная революция? Если закон Мура будет действовать следующие пятьдесят лет, вполне возможно, что компьютеры смогут скоро превзойти вычислительную мощность человеческого мозга. К середине века возникнет новая закономерность. Как однажды сказал Джордж Харрисон, "Всё когда-нибудь проходит". Закон Мура тоже должен закончиться, а с ним и значительный рост вычислительной мощности, который подпитывал рост экономики последние полвека.

Сейчас мы принимаем это как должное, веря что нам от рождения дано право обладать компьютерной продукцией с постоянно растущей мощностью и сложностью. Вот почему мы покупаем новую компьютерную продукцию каждый год, зная что она становится почти вдвое мощнее прошлогодних моделей. Но если закон Мура перестанет действовать -- и каждое новое поколение компьютерной продукции будет обладать почти такой же мощностью и скоростью, что и предыдущее поколение -- зачем беспокоиться о покупке новых компьютеров?

Поскольку микросхемы используются в самой разной продукции, это окажет разрушительное воздействие на всю экономику. Все промышленные мощности остановятся, миллионы могут потерять работу, а экономика может быть дестабилизирована.

Много лет назад, когда мы, физики, указывали на неизбежность краха закона Мура, промышленность обычно лишь иронизировала над нашими предупреждениями, относясь к нам, как к волкам, воющим на луну. Конец закона Мура предрекался неоднократно, но они просто не могли в это поверить.

Но не теперь.

Два года назад, я был ключевым докладчиком на конференции Microsoft в их штаб-квартире в Сиэтле, штат Вашингтон. Три сотни ведущих инженеров Microsoft присутствовали на этой встрече, ожидая услышать мою речь о будущем компьютеров и телекоммуникаций. Возвышаясь над огромной толпой, я мог видеть лица молодых, полных энтузиазма инженеров, которые создавали программы для настольных компьютеров и ноутбуков. Я резко высказался о законе Мура, и сказал что промышленность должна готовиться к грядущему кризису. Десятилетие назад я мог вызвать громкий смех или сдавленное хихиканье. Но в этот раз я видел только согласные кивки головами.

Коллапс закона Мура будет иметь международное значение, сопряжённое со ставками в миллиарды долларов. Но определённо, как он закончится и что его заменит, зависит от законов физики. Ответ на вопросы физики станет краеугольным камнем экономической структуры капитализма.

Чтобы понять сложившуюся ситуацию, важно понимать, что выдающийся успех компьютерной революции основывается на нескольких физических принципах. Первое, компьютер обладает умопомрачительной скоростью, поскольку электрические сигналы распространяются со скоростью близкой к скорости света, которая является максимальной скоростью во вселенной. За одну секунду луч света может совершить путешествие вокруг земли семь раз или достичь луны. Электроны также легко перемещаются и слабо связаны с атомом (и их можно соскрести при расчёсывании волос, при ходьбе по ковру или при надевании одежды -- это причина, по которой вещи липнут). Сочетание слабой привязанности электронов и их огромной скорости позволяет нам отправлять электрические сигналы в невероятном темпе, что привело к революции электричества в прошлом веке.

Второе, в сущности не существует предела объёма совокупной информации, которую можно поместить на лазерный луч. Световые колебания, поскольку они колеблются гораздо быстрее звуковых колебаний, могут нести значительно больше информации, нежели звук. (Например, представьте длинный кусок натянутой верёвки а затем быстро потрясите один из концов. Чем быстрее вы трясёте один конец, тем больше сигналов вы можете отправить вдоль верёвки. Следовательно, совокупность информации, которую вы втисните в волну растёт с увеличением скорости, с которой вы трясёте верёвку, то есть с увеличением частоты колебаний.) Свет - это волна, колеблющаяся с частотой порядка 10^14 циклов в секунду (это 1 с 14 нулями). Чтобы передать один бит информации (1 или 0), требуется множество циклов. Это означает, что оптоволоконный кабель может нести примерно 10^11 бит информации на одной частоте. И это число можно увеличить, если пустить по одному оптическому волокну несколько сигналов, а затем связать несколько волокон в одном кабеле. Это означает, что увеличив количество каналов в кабеле, а затем увеличив количество кабелей, можно передавать информацию практически с неограниченной скоростью.

Третье и наиболее важное, компьютерная революция проистекала из уменьшения размеров транзисторов. Транзистор - это заслонка, или переключатель, управляющий потоком электричества. Если электрическую схему сравнить с гидравлической, тогда транзистор будет аналогом вентиля, контролирующего поток жидкости. Как простой поворот вентиля может управлять огромным объёмом воды, так и транзистор позволяет небольшому потоку электричества управлять гораздо более объёмным потоком, усиливая его мощность.

В сердце этой революции находится компьютерная микросхема, которая может содержать сотни миллионов транзисторов на кремниевой подложке размером с ноготь вашего пальца. Внутри вашего ноутбука имеется микросхема, транзисторы на которой можно увидеть только через микроскоп. Это исключительно крохотные транзисторы, созданные тем же образом, каким создаются надписи на футболках.

Проектирование надписи для массовой футболки начинается с создания трафарета с очертаниями образца того, что вы хотите создать. Затем трафарет помещается над одеждой и используется окраска спреем. Только там, где были прорези, краска попадёт на одежду. Когда трафарет удалён, получается совершенная копия шаблона на футболке.

Точно так же создается трафарет, содержащий сложные очертания миллионов транзисторов. Он помещается на пластину, содержащую множество слоёв чувствительного к свету кремния. Потом трафарет подвергается облучению ультрафиолетом, который проникает сквозь прорези в трафарете и засвечивает кремниевую пластину.

После этого пластина погружается в кислоту, которая вытравливает очертания схем и создаёт сложный дизайн миллионов транзисторов. Так как пластина состоит из множества проводящих и полупроводниковых слоёв, кислота может вырезать куски различной формы и глубины, позволяя создавать неимоверно сложные схемы.

Причина неуклонного увеличения мощности микросхем по закону Мура состоит в том, что ультрафиолетовое излучение позволяет уменьшать и уменьшать длину волны, делая возможным вытравливание все более мелких транзисторов на кремниевых пластинах. Поскольку ультрафиолетовое излучение имеет длину волны в 10 нанометров (нанометр это одна миллиардная доля метра), самый маленький транзистор, который вы можете вытравить, имеет размер около 30 атомов в ширину.

Но этот процесс не может продолжаться вечно. В какой-то момент станет физически невозможно вытравливать транзисторы, сравнимые с размером атома. Вы даже можете примерно подсчитать, когда закон Мура окончательно перестанет действовать: когда размер транзистора будет равен размеру отдельного атома.

Около 2020 года или чуть позднее, закон Мура окончательно перестанет соответствовать действительности, и Кремниевая Долина может медленно превратиться в Ржавый Пояс*, если не найдёт замену этой технологии. Транзисторы станут так малы, что квантовая механика и ядерная физика будут действовать на них, и электроны будут утекать из проводов. Например, самый тонкий слой внутри вашего компьютера будет около пяти атомов шириной. На этом уровне, согласно законам физики, вступает в свои права квантовая механика. Принцип неопределённости Гейзенберга утверждает, что вы не можете одновременно знать положение и скорость некоторой частицы. Это может звучать нелогично, но на уровне атомов вы просто не можете знать, где находится электрон, так что он никогда не может быть заперт в ультратонком слое или проводе и обязательно утечет наружу, вызывая короткое замыкание. Согласно законам физики, в конечном итоге Эпоха Кремния подойдёт к концу, и мы вступим в Пост-Кремниевую Эру.

*) Ржавый Пояс - северо-восточная и средне-западная часть США, характеризующиеся устаревающей промышленностью, старыми заводами и снижением населения. Центром её являются города по производству стали в Пенсильвании и Огайо. (прим. перев.)

Выдержки из "Физика Будущего", Мичио Каку. (c) 2011 Мичио Каку. Взято с разрешения Doubleday, подразделения Random House, Inc. Все права защищены. Никакая часть из этих выдержек не может быть воспроизведена или напечатана без письменного разрешения издателя.

Мичио Каку - профессор физики в CUNY Graduate Center, со-основатель полевой теории струн и автор нескольких научных работ. Его новая книга - "Физика Будущего."

Сайт в отрубе

2011-02-18T19:39:00.004+05:00

Иногда админов считают бездельниками и раздолбаями. Кто в этом ролике настоящий бездельник и раздолбай - поймут скорее всего только админы. Может быть вы считаете, что бездельник - это тот, кто играет в компьютерные игры в рабочее время? Я считаю, что бездельник - это тот, кто за 8-9 лет не навёл порядок на рабочем столе, не видит разницы в том, какой именно сайт не открывается, играет на работе в пасьянсы, посещает сайты типа "секс с овощами" и подключается к Интернету через модем, только потому что у него там 4000 бесплатных часов, игнорируя Интернет по оптоволокну, за который компания платит штуки баксов. Один такой чудак может напрячь десяток человек и привести к перерыву в работе нескольких серверов.

P.S. Хотя админ тоже заигрался. Он должен был насторожиться уже в тот момент, когда увидел, что с сайтом всё в порядке, подключиться к компу этого Чипа и попросить его показать что именно не работает.

Новости проекта manpages.ylsoftware.com

2011-02-18T15:12:00.004+05:00

Некоторое время назад проект завершил очередной этап своего развития: все переводы страниц руководства, сделанные в рамках проекта, были сконвертированы в проекты для программы po4a. Одним из важнейших следующих этапов было предоставить посетителям веб-сайта просматривать переводы страниц руководства прямо на сайте, причём содержимое сайта должно обновляться автоматически с изменением перевода.

Лучшей программой, которая бы позволила это сделать, оказалась программа manServer, написанная на Perl. На хостинге возникли некоторые сложности с Perl, суть которых я опущу.

Таким образом, очередной этап развития сайта оказался трудновыполнимым. Я надолго потерял к сайту интерес. Но на днях я попробовал извернуться и не запускать скрипт прямо на хостинге, а запустил его на своём компьютере. Дальше с помощью wget, find и sed, tidy всё активное содержимое, доступное через скрипт, зеркалировалось в виде статических HTML-файлов. Дополнительно, я отказался от DokuWiki, поскольку необходимость в нём давно отпала. Ранее DokuWiki нужна была для выкладывания переводов, но затем переводы стали выполняться в программе po4a и выкладывать их на сайте стало не нужным. Поэтому сконвертировал все информационные страницы сайта в обычные HTML-страницы и получил новый сайт, выполненный полностью в виде статических HTML-страниц.

Заходите посмотреть на обновлённый сайт: http://manpages.ylsoftware.com

Настройка xdm

2010-11-02T23:22:00.007+05:00

После перехода с Lenny на Squeeze начал пользоваться xdm. Сегодня дошли руки до настройки более приятного вида этого дисплейного менеджера.

В файл /etc/X11/xdm/Xresources я добавил следующие строчки:


xlogin.Login.x:                 320
xlogin.Login.y:                 352
xlogin.Login.width:             640
xlogin.Login.height:            320
xlogin.Login.foreground:        black
xlogin.Login.face:              Liberation Sans-18
xlogin.Login.greeting:          Welcome to CLIENTHOST
xlogin.Login.greetFace:         Liberation Sans-24
xlogin.Login.greetColor:        darkred
xlogin.Login.namePrompt:        Login:    
xlogin.Login.passwdPrompt:      Password: 
xlogin.Login.promptFace:        Liberation Sans-18:bold
xlogin.Login.promptColor:       black
xlogin.Login.fail:              Login incorrect
xlogin.Login.failFace:          Liberation Sans-18
xlogin.Login.failColor:         red
xlogin.Login.failTimeout:       5
xlogin.Login.hiColor:           black
xlogin.Login.shdColor:          black
xlogin.Login.frameWidth:        3
xlogin.Login.innerFrameWidth:   3
xlogin.Login.sepWidth:          1
xlogin.Login.logoFileName:      /usr/share/X11/xdm/pixmaps/debian.xpm
xlogin.Login.logoPadding:       10
xlogin.Login.useShape:          true

В файл /etc/X11/xdm/Xsetup поместил следующую строчку:


xsetroot -solid grey

Если кому интересно, как запустить два X-сервера, то на всякий случай описываю и это. В файл /etc/X11/xdm/Xservers нужно прописать желаемое количество локальных X-серверов (мне хватает двух - один на консоли 7, второй на консоли 8):


:0 local /usr/bin/X :0 vt7 -nolisten tcp
:1 local /usr/bin/X :1 vt8 -nolisten tcp

Соответственно, вид настроенного xdm показан на нижеследующей фотографии:

К сожалению, снимок экрана программно сделать не удалось, хотя я знаю о существовании Xnest и Xephyr, но мне лень было с ними разбираться ради такой ерунды.

FreeRDP

2010-10-27T21:36:00.005+06:00

Сегодня в новостях услышал о существовании преемника rdesktop - freerdp. Судя по описанию в новости и по отзывам в комментариях, в нём устранены проблемы с несинхронным переключением раскладки на локальном и удалённом компьютере и устранены проблемы с залипанием клавиши Alt. Попробовал - и в самом деле, отлично работает. Ещё поправили глюк, когда вместо символа / вводился \. Наконец-то удалённое администрирование Windows-машин из Linux-компьютера превратилось в удовольствие! Спасибо добрым людям за то, что довели глючную поделку до ума.

В Debian пакет называется freerdp-x11, а команда для подключения - xfreerdp.

Автомонтирование с помощью autofs

2010-10-27T20:00:00.006+06:00

Давно мечтал настроить автомонтирование с помощью autofs. Вроде бы всё очень просто, но до сих пор до меня не доходила одна очень простая, но ключевая вещь. Но об этом попозже, сначала опишу настройку.

Сначала, как водится, нужно установить autofs:

# apt-get install autofs5

Затем задать ему настроечные файлы. Первый файл называется /etc/auto.master и содержит всего одну строчку:

/mnt/.autofs    /etc/auto.misc --timeout=60

Эта строчка говорит о том, что все обращения к каталогу /mnt/.autofs будут обрабатываться демоном automount, настройки которого указаны в файле /etc/auto.misc. Опция --timeout=60 сообщает, что если к какому-либо диску не обращались в течение 60 минут, его нужно автоматически размонтировать.

Второй файл, как вы уже наверное догадались, называется /etc/auto.misc, у меня на компьютере он содержит следующие строчки:


cdrom           -fstype=auto,ro         :/dev/sr0
floppy          -fstype=auto,umask=000  :/dev/fd0
usb1            -fstype=auto,umask=000  :/dev/sdc1
usb2            -fstype=auto,umask=000  :/dev/sdd1
usb3            -fstype=auto,umask=000  :/dev/sdc
usb4            -fstype=auto,umask=000  :/dev/sdd

В первом столбце сообщается название каталога, в который будет смонтирован диск, во второй колонке перечисляются опции монтирования, в третьей колонке - имя файла устройства. Двоеточие на самом деле является разделителем имени компьютера и диска на нём. Autofs может автоматически монтировать не только файловые системы на локальных устройствах, но и каталоги NFS или Samba.

Перед запуском autofs можно создать в каталоге /mnt/.autofs подкаталоги cdrom, floppy, usb1, usb2, usb3, usb4 и проставить на них права доступа. Например, я ограничился двумя группами - cdrom для устройства, с которого можно только читать, и floppy для устройств, на которые можно и читать и писать:


# cd /mnt/.autofs
# chgrp cdrom cdrom
# chmod 550 cdrom
# chgrp floppy floppy usb1 usb2 usb3 usb4
# chmod 770 floppy usb1 usb2 usb3 usb4

Теперь можно добавить в группы floppy и cdrom пользователей, которые должны иметь доступ к дискетам/USB-дискам и приводу компакт- и DVD-дисков. Например, вот так:


# adduser stupin cdrom
# adduser stupin floppy

Теперь можно запустить autofs:


# /etc/init.d/autofs start

Теперь о простой, но очень важной детали. Если теперь просто зайти в каталог /mnt/.autofs, то окажется, что он пуст. Не смотря на то, что мы создавали в каталоге /mnt/.autofs подкаталоги cdrom, floppy, usb1, usb2, usb3, usb4, эти каталоги после запуска демона autofs не отображаются. На самом деле мы создавали их только для того, чтобы определить права для смонтированных файловых систем.

Эти каталоги не появятся в /mnt/.autofs до тех пор, пока мы не попытаемся к ним обратиться!

Например, заходим в каталог /mnt/.autofs и видим, что там ничего сейчас нет:

# cd /mnt/.autofs
# ls

Не обращая на это внимания, пытаемся обратиться к каталогу /mnt/.autofs/usb1, как будто он есть:

# ls usb1
1  2

При обращении к этому каталогу autofs активировал скрытый каталог и смонтировал в него USB-диск. Теперь, пока каталог не успел ещё отмонтироваться, его можно увидеть:

# ls
usb1

Так вот, для того, чтобы вас не смущало отсутствие каталогов и вы не гадали, какие каталоги там могут появиться, если к ним обратиться по имени, можно создать в /mnt символические ссылки, которые сами всегда будут существовать и указывать на нужные каталоги:


# cd /mnt
# ln -s .autofs/cdrom cdrom
# ln -s .autofs/floppy floppy
# ln -s .autofs/usb1 usb1
# ln -s .autofs/usb2 usb2
# ln -s .autofs/usb3 usb3
# ln -s .autofs/usb4 usb4

Теперь можно зайти в каталог /mnt и увидеть все диски, которые смонтированы в настоящее время статически или монтируются автоматически при обращении к ним:


# cd /mnt
# ls # ls
cdrom  disk_c disk_d floppy iso  usb1  usb2  usb3  usb4

Можно зайти в любой из каталогов и увидеть его содержимое. При этом автоматически монтируемые диски смонтируются при обращении к каталогу.

Есть, правда, и несколько неприятные вещи. Например, умные файловые менеджеры не меняют текущий каталог для того, чтобы отобразить его содержимое. Как следствие, когда мы переходим по ссылке, происходит обращение к автоматически монтируемой файловой системе и она монтируется. Создаётся список файлов в точке монтирования, этот список выводится файловым менеджером на экран. Если теперь человек надолго задумается, диск автоматически отмонтируется, т.к. он никем не занят и к нему не было обращений. Подсистема inotify сразу же сообщит об исчезновении файлов из каталога файловому менеджеру и файловый менеджер обновит содержимое каталога - покажет пустоту.

Поэтому удобно пользоваться таким автомонтированием только из командной строки, из Midnight Commander и из других файловых менеджеров, которые меняют текущий каталог.

Перенос DHCP-сервера

2010-10-27T16:48:00.005+06:00

Встала задача - перенести настройки с DHCP-сервера Windows на DHCP-сервер в Linux. Основные настройки можно перенести и вручную, а вот таблицу с привязками имени, MAC- и IP-адреса каждого компьютера переносить вручную мне было лень. Было лень настолько, что я принялся писать конвейер для командной строки, который преобразует мне всю таблицу из одного формата в другой.

Для начала я снял дамп настроек DHCP-сервера в Windows:

netsh dhcp server \\11.11.11.1 dump > dump.txt

Потом я перенёс этот файл в Linux, сменил его кодировку и после получаса мучений, наваял такой конвейер (для того, чтобы увидеть целиком, придётся, видимо, скопировать его и вставить в текстовый редактор):

grep "Dhcp Server" dump.txt | \
        cut - -f8,9,10 -d" " | \
        grep domain | \
        cut -d. -f1-4 | \
        sed -e 's/\"//g' - | \
        sed -e 's/\(.*\) \(.*\) \(.*\)/\2 \1 \3/g' - | \
        sed - -e 's/^\([0-9a-f]\)\([0-9a-f]\)\([0-9a-f]\)\([0-9a-f]\)\([0-9a-f]\)\([0-9a-f]\)\([0-9a-f]\)\([0-9a-f]\)\([0-9a-f]\)/\1\2:\3\4:\5\6:\7\8:\9/g' | \
        sed - -e 's/:\([0-9a-f]\)\([0-9a-f]\)\([0-9a-f]\)\([0-9a-f]\)/:\1\2:\3\4/g' | \
        sed -e 's/\(.*\) \(.*\) \(.*\)/\thost \3 {\n\t\thardware ethernet \1;\n\t\tfixed-address \2;\n\t}/g' - \
        > hosts.txt

Эта строчка находит в файле dump.txt строки вида:

Dhcp Server 11.11.11.1 Scope 11.0.0.0 Add reservedip 11.11.11.11 00AABBCCDDEE "computer.domain" "" "DHCP"

И переделывает их в строки вида:

        host computer {
                hardware ethernet 00:AA:BB:CC:DD:EE;
                fixed-address 11.11.11.11;
        }

Которые записывает в текстовый файл hosts.txt.

Аудиоплееры в Debian

2010-10-18T20:34:00.004+06:00

С аудиоплеерами в Linux, на мой взгляд, сложилась парадоксальная ситуация. Плееров много, но выбрать из них нечего. Даже с видеоплеерами и то лучше - можно выбрать практически любой и он не будет написан на Python, mono или завязан на KDE4. А вот в случае с аудиоплеерами всё не так.

Недавно я не вытерпел и перешёл с Lenny на Squeeze - в Lenny оказалось неожиданно много глюков. Судя по графику глюков, Squeeze уже сейчас содержит глюков меньше, чем Lenny. По случаю этого обновления мной на пробу были протестированы несколько плееров:

1. Exaile - написан на Python, практически точная копия Amarok. По непонятной причине не захотел играть mp3. Разбираться было лень, т.к. есть много других плееров - как грязи.

2. Banshee - написан на mono. Даже смотреть не стал.

3. Audacious - вполне себе неплохой плеер с WinAMP-подобным интерфейсом. Всё бы ничего, но мне во-первых не очень нравятся программы со шкурками. Во-вторых, он не позволяет выбрать дорожку из многодорожечных FLAC-файлов. А в третьих, натерпелся я от него в Lenny глюков: неработающая поддержка MIDI, мёртвое зависание при попытке посмотреть свойства MIDI-файла, работающее через раз групповое добавление файлов.

4. Audacious GTK - вроде бы то, что надо, но невозможно двигать треки в списке, невозможно удалить несколько треков из списка за раз. Многодорожечные FLAC-файлы также не работают. Одним словом, покоцаный Audacious.

5. Listen Music Player - написан на Python. При обновлении библиотеки добавлял вновь обнаруженных артистов, альбомы и жанры в случайное место списка. В результате во время сканирования попытка запустить хоть какую-нибудь песню превращалась в увлекательную игру - попытка попасть мышью в только что увиденного артиста, который мгновенно убегал совершенно неожиданно то ли вверх по списку, то ли вниз. Уже выделенный однажды элемент так же неожиданно подменялся на другой случайный.

6. Amarok 2. Тяжёл и неповоротлив, как и всё современное KDE 4. Раньше пользовался Amarok, Amarok 2 пробовать не стал.

7. Quod Libet, написан на Python. Просто не запустился!

8. mpd - маргинальный плеер с клиент-серверной архитектурой.

9. mocp - см. пункт 8.

10. XMMS2 - после установки сообщил, что он будет работать только в режиме командной строки и вообще, что он deprecated и заменён на nyxmms2. Поиск такого пакета завершился молчаливым завершением пакетного менеджера - нет такого пакета.

11. BMP (Beep Media Player) - нет такого в пакетах.

12. QMMP - WinAMP-подобный плеер на основе Qt. Для Debian есть только в виде пакета для нестабильной (Sid) ветки. Ставить не стал.

13. Decibel Audio Player - без сканирования фонотеки добавить в список воспроизведения хотя бы файлик не дал (нужно лезть в настройки, чтобы можно было выбрать файлы из определённой папки). Во время сканирования коллекции с плеером ничего невозможно сделать - он не отображает уже отсканированные песни и не позволяет их запустить прямо сейчас, пока будет сканироваться остальное.

14. DeaDBeeF - плеер, стремящийся стать аналогом Foobar2000. Установил из репозитория проекта пакет для Squeeze. Поддерживает многодорожечные FLAC. Но, не позволяет воспроизводить MIDI через ALSA, можно воспроизводить MIDI только через собственный хиленький программный синтезатор с примитивным звучанием типа OPL3. Остановился пока на нём.

Добавление альтернативных имён портала SharePoint Services

2010-10-08T15:23:00.002+06:00

Пишу себе на память. Вот по этой ссылке можно найти всю интересующую информацию по сабжу: Update to using External URLs with WSS v3

Можно воспользоваться "Центром администрирования", меню "Операции", пунктом "Сопоставления для альтернативного доступа" и прописать там альтернативное имя портала.

Я воспользовался командой следующего вида:

STSADM.EXE -o addalternatedomain -url http://portal -incomingurl 
                http://anothername -urlzone intranet

Затем добавил новое имя на DNS-сервере и портал стал доступен под двумя именами одновременно.

Делается это с целью последующего переименования сервера в имя, соответствующее корпоративному стандарту. Затем сервер будет переведён из домена филиала в общекорпоративный домен по уже обкатанной мной технологии: Миграция портала SharePoint Services в домен Active Directory.

flac & cue в mp3

2010-08-23T20:49:00.008+06:00

Иногда попадаются рипы компакт-дисков, сделанные аудиофилами. Аудиофилам обычно очень важно, чтобы рип представлял собой точную копию компакт-диска, поэтому они часто делают рипы всего диска в виде одного файла формате flac, который они сопровождают ещё и файлом со списком дорожек в формате cue.

Чтобы закачать такую музыку на аудио-плеер, умеющий воспроизводить только mp3 или ogg, приходится разбивать flac на отдельные mp3-треки.

Кроме разбивки flac-файла на отдельные файлы и преобразования каждого из файлов в формат mp3 полезно также перенести всю полезную информацию из cue-файла в теги mp3-файла. Для этого нам понадобятся следующие пакеты: shntool, cuetools, lame, enca. Установим их:

# apt-get install shntool cuetools lame enca

shntool потребуется для того, чтобы разбить flac-файл на отдельные wav-файлы, cuetools понадобится для извлечения полезной информации из cue-файла, lame - для кодирования wav-файлов в формат mp3 и простановки тегов, enca используется для автоматического определения кодировки текста в cue-файле (поскольку cue-файл мог быть создан как в Windows, так и в Linux и может иметь символы самых разных алфавитов).

Теперь можно попытаться соединить всё это в единый скрипт:


#!/bin/sh

FROMCP=`enca -e *.cue`
iconv -f $FROMCP -t UTF-8 *.cue > /tmp/list.cue

DATE=`grep "REM DATE" /tmp/list.cue | sed -e 's/REM DATE \(.*\)/\1/g'`
GENRE=`grep "REM GENRE" /tmp/list.cue | sed -e 's/REM GENRE \(.*\)/\1/g'`
COMMENT=`grep "REM COMMENT" /tmp/list.cue | sed -e 's/REM COMMENT \(.*\)/\1/g'`
NUMBER=`cueprint -d "%N" /tmp/list.cue`

shntool split -f /tmp/list.cue *.flac -t %n

for((I=1;I<=NUMBER;I++));
do
        cueprint -n $I -t "ARTIST=\"%p\"\nALBUM=\"%T\"\nTRACKNUMBER=\"%n\"\nTITLE=\"%t\"\n" /tmp/list.cue > /tmp/tags
        . /tmp/tags
        J=`printf "%02d" $I`
        lame -b 192 --cbr \
                --ty "$DATE" \
                --tg "$GENRE" \
                --tc "$COMMENT" \
                --ta "$ARTIST" \
                --tl "$ALBUM" \
                --tn "$TRACKNUMBER" \
                --tt "$TITLE" \
                --add-id3v2 \
                --id3v2-only \
                $J.wav $J.mp3
        rm $J.wav
done

rm /tmp/list.cue /tmp/tags

Скрипт рассчитан на то, что в текущем каталоге имеется только один cue-файл и один flac-файл.

Иногда вместо flac используется ape, который с лицензионной стороны намного хуже flac'а. В частности, существовавший когда-то на просторах опенсорса проект mac (Monkey's Audio Codec), исчез именно из-за лицензионных проблем. Не смотря на это, кое-где ещё можно найти как исходники, так и deb-пакет. После установки пакета shntool можно использовать прежним образом, единственное отличие будет заключаться лишь в том, что вместо flac-файла нужно будет указать ape-файл.

Обновлено 3 сентября 2010 года. При обновлении этой заметки и скрипта был использован комментарий к моей старой заметке Конвертируем FLAC в MP3 под Debian.

Duke Nukem 3D в Debian GNU/Linux

2010-08-21T00:18:00.007+06:00

Продолжаю серию заметок о запуске старых игр - стрелялок от первого лица:
1. Quake в Linux
2. Запуск Quake на движке Nexuiz
3. Quake2 на Debian GNU/Linux

На этот раз я откопал современный порт Duke Nukem 3D, который называется Eduke32. Официальный сайт проекта находится по следующему адресу: http://www.eduke32.com/ Для установки движка игры воспользуемся репозиторием Debian на сайте проекта. На странице Apt Repository находим интересующий нас раздел Lenny. В соответствии с инструкциями добавляем репозиторий в систему, прописав следующие две строчки в файл /etc/apt/sources.list:

deb http://apt.duke4.net lenny main
deb-src http://apt.duke4.net lenny main

Теперь добавим PGP-ключ репозитория с помощью следующей команды:

# wget http://apt.duke4.net/key/eduke32.gpg -O- | apt-key add -

Обновим список пакетов:

# apt-get update

И установим интересующие нас пакеты с движком игры и с условно-бесплатной версией самой игры:

# apt-get install eduke32 duke3d-shareware

Кроме этих двух пакетов в репозитории имеются ещё два пакета: build-engine-utils - коллекция инструментов, предназначенных для манипуляции данными игр, основанных на движке Build (из таковых я припоминаю ещё игры Blood, Redneck Rampage и Outlaws) и mapster32 - редактор карт, работающий в режиме OpenGL. В общем, в этом репозитории, похоже, есть всё необходимое, чтобы делать новые карты и модификации игры.

Но это ещё не всё. Ещё я нашёл проект High Resolution Pack, в рамках которого люди занимаются повышением разрешения текстур и заменой всех спрайтов на модели: polymer_hrp132.zip, архивчик уже достиг объёма 466 мегабайт!

Скачаем последний релиз HRP и распакуем его в каталог с настройками личными игры текущего пользователя:


$ wget http://www.duke4.org/files/nightfright/beta/polymer_hrp132.zip
$ unzip polymer_hrp132.zip -d ~/.eduke32

Теперь при запуске игры, в окошке выбора разрешения нужно указать использование движка Polymer, который как раз и умеет рисовать трёхмерные модели.

Вот так игра выглядит на разрешении 1280x1024 без использования HRP:

А вот так выглядит на разрешении 800x600 с использованием HRP:

Ещё пара снимков с использованием HRP. Этот с разрешением 1280x1024:

Этот с разрешением 800x600:

Имеются, однако, и недостатки - игра довольно сильно тормозит, требует много ресурсов (на моём компьютере игра отъела полгигабайта памяти в режиме без HRP), отчего иногда замораживается секунд на 5-10 и иногда падает. Если хотите поиграть в игру полноценно, советую найти полную, не условно-бесплатную версию файла ресурсов и уменьшить настройки качества картинки.

Lighttpd и gamin

2010-08-13T09:29:00.003+06:00

Ранее я уже писал, что начал пользоваться Mathopd: Биография одного домашнего сервера и настройка Mathopd. Тогда я решил попробовать его, потому что привычный Lighttpd отказывался устанавливаться в отсутствии famd, а famd конфликтовал с gamin, который я установил, чтобы избежать внезапных зависаний программ: famd vs gamin. Нужно было пересобрать Lighttpd с gamin вместо famd, но мне тогда было лень этим заниматься, т.к. это было прекрасным поводом попробовать Mathopd :)

На днях Mathopd мне наконец надоел и я решил всё-таки собрать Lighttpd с gamin. Рецептом сборки этой связки я и хочу поделиться.

Для начала, скачаем исходники:

$ apt-get source lighttpd

И перейдём в каталог с распакованными исходниками и информацией для сборки:

$ cd lighttpd-1.4.19

Затем, заглянем в файл debian/control и просмотрим список зависимостей для сборки пакета (Build-Depends): debhelper (>= 5.0.0), cdbs, mime-support, libssl-dev, zlib1g-dev, libbz2-dev, libattr1-dev, libpcre3-dev, libmysqlclient15-dev, libfam-dev, libldap2-dev, libfcgi-dev, libgdbm-dev, libmemcache-dev, liblua5.1-0-dev, quilt, patchutils, pkg-config, uuid-dev, libsqlite3-dev, libxml2-dev, libkrb5-dev, perl

Установим всё это хозяйство, за исключением libfam-dev, который мы заменим на libgamin-dev:

# apt-get install debhelper cdbs mime-support libssl-dev zlib1g-dev libbz2-dev \
libattr1-dev libpcre3-dev libmysqlclient15-dev libgamin-dev libldap2-dev libfcgi-dev \
libgdbm-dev libmemcache-dev liblua5.1-0-dev quilt patchutils pkg-config uuid-dev \
libsqlite3-dev libxml2-dev libkrb5-dev perl

Теперь отредактируем файл debian/control, заменив в нём libfam-dev на libgamin-dev.

Далее, опишем изменения, сделанные в пакете с помощью dch:

$ dch -i

Я внёс следующее описание сделанных изменений:

lighttpd (1.4.19-5+lenny1gamin) stable-security; urgency=low

  * Changed dependency from libfam-dev to libgamin-dev.

 -- Vladimir Stupin   Fri, 13 Aug 2010 10:17:22 +0600

Осталось лишь собрать изменённый пакет:

$ dpkg-buildpackage -b -us -uc -rfakeroot

Всё. Переходим в каталог выше, где и находятся собранные пакеты:


lighttpd_1.4.19-5+lenny1gamin_i386.deb
lighttpd-doc_1.4.19-5+lenny1gamin_all.deb
lighttpd-mod-cml_1.4.19-5+lenny1gamin_i386.deb
lighttpd-mod-magnet_1.4.19-5+lenny1gamin_i386.deb
lighttpd-mod-mysql-vhost_1.4.19-5+lenny1gamin_i386.deb
lighttpd-mod-trigger-b4-dl_1.4.19-5+lenny1gamin_i386.deb
lighttpd-mod-webdav_1.4.19-5+lenny1gamin_i386.deb

Устанавливаем нужные пакеты с помощью dpkg и пользуемся:

# dpkg -i lighttpd_1.4.19-5+lenny1gamin_i386.deb

Доступ к буферу обмена X Window System из командной строки с помощью xclip

2010-08-04T15:09:00.001+06:00

Перевод статьи: Access the X Window System Clipboard from the Command Line with xclip

17 марта 2009, Эрик Фэлор (Erik Falor)

Вы когда-нибудь выделяли текст в окне терминала, чтобы скопировать его в X-приложение? Отбросьте мышь и воспользуйтесь вместо неё xclip. С помощью xclip вы просто перенаправляете через конвейер в xclip тот текст, который вы хотите скопировать:

$ lspci | xclip

Теперь перейдите в X-приложение и вставьте захваченный вывод в программу. xclip также позволит вам “вставить” выбранный текст в терминал. Просто воспользуйтесь опцией -o для вывода выделенного текста:

$ xclip -o

xclip можно найти на sourceforge.net/projects/xclip.

Изменение громкости из сценария Bash

2010-08-04T14:50:00.002+06:00

Перевод статьи: Change Volume From a Bash Script

24 сентября 2008, Митч Фрэзер (Mitch Frazier)

Если вы пользуетесь звуковой системой ALSA, вы можете воспользоваться функциями, содержащимися в представленном сценарии, для получения и установки громкости звука вашей системы. Вы можете использовать его, если у вас запущен сторожевой сценарий и вы хотите увеличить громкость сигнала во время тревоги, а затем вернуть громкость обратно к предыдущему уровеню.

Функция get просто использует amixer для вывода информации о канале управления миксером "Master" и затем использует grep для вырезания нужного значения из выведенной информации.

Функция set также использует amixer для задания громкости. Она использует опцию "cset" программы amixer.

Сценарий следующий:


#!/bin/bash
#

#####################################################################
# Получить текущую громкость.
function get_volume()
{
    mixer=$(amixer get Master | grep 'Front Left:')
    echo $mixer | cut -d ' ' -f 4
}

#####################################################################
# Задать громкость.
function set_volume()
{
    amixer cset iface=MIXER,name="Master Playback Volume" $1 >/dev/null
}

if [[ $(basename $0 .sh) == 'sound' ]]; then
    sound_file=~/Documents/sounds/notify.wav
    if [[ "$1" ]]; then sound_file="$1"; fi

    ovol=$(get_volume)
    echo "Текущая громкость: $ovol"
    aplay $sound_file
    sleep 2

    vol=40
    echo "Воспроизведение на громкости: $vol"
    set_volume $vol
    aplay $sound_file
    sleep 2

    echo "Возвращение к громкости: $ovol"
    set_volume $ovol
    aplay $sound_file
fi

# vim: tabstop=4: shiftwidth=4: noexpandtab:
# kate: tab-width 4; indent-width 4; replace-tabs false;

Если вы сохраните этот сценарий под именем sound.sh и запустите его самого, передав имя звукового файла, сценарий воспроизведёт файл на текущей громкости, затем поднимет громкость и воспроизведёт его снова, и наконец, восстановит громкость и воспроизведёт его последний раз. Если вы откроете средство управления миксером перед запуском сценария, вы должны увидеть как громкость главного канала изменяется под действием сценария. Вы можете изменить значение громкости в строке vol=40 на значение, которое вам нужно.

Митч Фрэзер (Mitch Frazier) является помощником редактора в Linux Journal и веб-редактором в linuxjournal.com.

Скачать весь веб-сайт с помощью wget

2010-08-04T14:24:00.002+06:00

Перевод статьи: Downloading an Entire Web Site with wget

05 сентября 2008, Дашамир Хоксха (Dashamir Hoxha)

Если вам когда-нибудь потребуется скачать целый веб-сайт, например для просмотра без доступа в интернет, wget может это сделать -- например:


$ wget \
    --recursive \
    --no-clobber \
    --page-requisites \
    --html-extension \
    --convert-links \
    --restrict-file-names=windows \
    --domains website.org \
    --no-parent \
        www.website.org/tutorials/html/

Эта команда скачает веб-сайт www.website.org/tutorials/html/.

Используются следующие опции:

--recursive: скачивать весь веб-сайт.

--domains website.org: не переходить по ссылкам вне сайта website.org.

--no-parent: не переходить по ссылкам вне каталога tutorials/html/.

--page-requisites: собрать все элементы, относящиеся к странице (изображения, CSS и так далее).

--html-extension: сохранять файлы с расширением .html.

--convert-links: преобразовывать ссылки так, чтобы они работали локально, без доступа в интернет.

--restrict-file-names=windows: изменять имена файлов таким образом, чтобы они работали в Windows.

--no-clobber: не заменять какие-либо существующие файлы (используется в случае, если скачивание было прервано и возобновлено).

Наслаждайтесь Gawk

2010-08-04T14:11:00.002+06:00

Перевод статьи: Fun With Gawk

15 февраля 2010, Джеймс Хайннэнт (James Hinnant)

Когда grep и sed бывает недостаточно, gawk может предоставить дополнительную лошадиную силу, которая вам необходима. Следующий совет содержит образец того, что можно делать с помощью gawk.

Выделить последний столбец из текстового файла, столбцы которого разделены пробелами:

cat myfile | gawk '{print $NF}'

или:

gawk '{print $NF}' myfile

Вывести количества файлов, которыми владеет каждый из пользователей в текущем каталоге:

/bin/ls -l | \
    gawk 'NR > 1 {counts[$3]++;}
        END {for (s in counts) {
            printf(" %-15s : % 5d\n",
                s, counts[s]);}}' | \
        sort

Завершить ваши процессы (одно из применений - завершить зависший сеанс, если вы можете удалённо войти на рабочую станцию с другого компьютера):

ps -elf | \
    gawk -v me="$USER" '$3 == me {print $4}' | \
        egrep -v $$ | \
            xargs -i@@ kill -9 @@; kill -9 $$

Преобразовать имена файлов к нижнему регистру

2010-08-04T13:57:00.004+06:00

Перевод статьи: Convert Filenames to Lowercase

25 июля 2008, Фил Хьюз (Phil Hughes)

Я собирался сказать, что я написал это вчера, но отметка времени файла указывает на то, что это было 22 ноября 1998. Ничего нового, ничего особенного, это просто работает.

Вернёмся в старое-доброе время операционных систем, не понимавших разницы между NAME и name. В результате, если иногда приходится копировать файлы с гибких дисков (помните такие?), созданных на Давно Онемевшей Системе, можно получить свалку каталогов с именами файлов в верхнем регистре. Поскольку мы, опытные старожилы UNIX, пользуемся хитрой уловкой для вывода имён каталогов до имён файлов файлов по команде ls (а именно - начинаем имена каталогов с букв в верхнем регистре), наличие имён файлов с символами в верхнем регистре нас раздражает.

Поскольку я слишком часто пользовался командой mv и ввод команд типа mv FILE.TXT file.txt меня окончательно изнурил, я написал этот сценарий. Я думал, что я просто сделал косметический ремонт, но на самом деле сценарий делает работу и в нём легко разобраться. (Номера строк приведены просто для того, чтобы на них ссылаться.)


 1   #!/bin/sh
 2   # lowerit
 3   # преобразовывает имена всех файлов в текущем каталоге к нижнему регистру
 4   # работает только над обычными файлами -- не меняет имена каталогов
 5   # запрашивает подтверждение перед заменой существующего файла
 6   for x in `ls`
 7   do
 8     if [ ! -f $x ]; then
 9       continue
10     fi
11     lc=`echo $x | tr '[A-Z]' '[a-z]'`
12     if [ $lc != $x ]; then
13       mv -i $x $lc
14     fi
15   done

Строка 6 начинает цикл (который заканчивается в строке 15). Команда ls возвращает список имён файлов, которые последовательно назначаются переменной оболочки x. if test (строки с 8 по 10) проверяет, является ли имя текущего файла именем простого файла. Если нет, остаток выражения в текущего прохода цикла пропускается.

Если выполняется строка 11, то известно, что обрабатывается обычный файл. С помощью tr мы приводим имя файла в нижний регистр и присваиваем новое имя переменной оболочки lc. Затем в строке 12 происходит проверка, что имя файла в нижнем регистре отличается от исходного. Если это так, то выполняется 13 строка, которая меняет исходное имя файла на новое имя в нижнем регистре. Опция -i заставляет mv спрашивать подтверждение, если команда собирается перезаписать существующий файл.

Фил Хьюз (Phil Hughes)

Проверка правильности IP-адресов из сценария Bash

2010-08-04T12:20:00.004+06:00

Перевод статьи: Validating an IP Address in a Bash Script

26 июня 2008, Митч Фрэзер (Mitch Frazier)

Я часто пишу об использовании массивов bash и о регулярных выражениях bash, поэтому решил привести более полезный пример их использования для проверки правильности IP-адресов.

Задача очевидна: IP-адреса являются 32-битными значениями, записанными как четыре числа (отдельные байты IP-адреса), разделённых точками. Каждое из четырёх чисел может принимать значение в диапазоне от 0 до 255.

Следующий сценарий bash содержит функцию, которая возвращает истину, если её передан правильный IP-адрес и ложь в противном случае. В bash под истиной понимают завершение с нулевым кодом, всё остальное означает ложь. Код команды/функции bash помещается в переменную "$?".

#!/bin/bash

# Проверка правильности IP-адреса:
# Способ применения:
#      valid_ip IP_АДРЕС
#      if [[ $? -eq 0 ]]; then echo good; else echo bad; fi
#   ИЛИ
#      if valid_ip IP_ADDRESS; then echo good; else echo bad; fi
#
function valid_ip()
{
    local ip=$1
    local stat=1

    if [[ $ip =~ ^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}$ ]]; then
        OIFS=$IFS
        IFS='.'
        ip=($ip)
        IFS=$OIFS
        [[ ${ip[0]} -le 255 && ${ip[1]} -le 255 \
            && ${ip[2]} -le 255 && ${ip[3]} -le 255 ]]
        stat=$?
    fi
    return $stat
}

# При непосредственном запуске выполним несколько проверок.
if [[ "$(basename $0 .sh)" == 'valid_ip' ]]; then
    ips='
        4.2.2.2
        a.b.c.d
        192.168.1.1
        0.0.0.0
        255.255.255.255
        255.255.255.256
        192.168.0.1
        192.168.0
        1234.123.123.123
        '
    for ip in $ips
    do
        if valid_ip $ip; then stat='good'; else stat='bad'; fi
        printf "%-20s: %s\n" "$ip" "$stat"
    done
    fi

Если сохранить этот сценарий под именем "valid_ip.sh" и запустить его напрямую, он проведёт несколько проверок и выведет результаты:


  # sh valid_ip.sh
  4.2.2.2             : good
  a.b.c.d             : bad
  192.168.1.1         : good
  0.0.0.0             : good
  255.255.255.255     : good
  255.255.255.256     : bad
  192.168.0.1         : good
  192.168.0           : bad
  1234.123.123.123    : bad

В функции valid_ip, чтобы удостовериться в том, что рассматриваемый IP-адрес состоит из четырёх разделённых точками чисел, используется регулярное выражение в операторе if:

  if [[ $ip =~ ^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}$ ]]; then

Если проверка пройдена, код внутри оператора if разделяет рассматриваемый IP-адрес на четыре части по точкам и помещает части в массив:


  OIFS=$IFS
  IFS='.'
  ip=($ip)
  IFS=$OIFS

Эти действия меняют переменную bash, которая называется "внутренний разделитель полей" (Internal Field Separator). Обычно она используется для обработки слов, разделённых пробелами, по после этого bash будет использовать для разделения полей точки. Поместим значение рассматриваемого IP-адреса внутрь скобок и присвоим их значение массиву, поместив каждое из полей, разделённых точками, в отдельную ячейку массива. Теперь проверим отдельные поля, чтобы удостовериться в том, что они меньше или равны 255. Результат проверки сохраним, так чтобы его можно было вернуть в качестве значения функции:


  [[ ${ip[0]} -le 255 && ${ip[1]} -le 255 \
          && ${ip[2]} -le 255 && ${ip[3]} -le 255 ]]
  stat=$?

Отметим, что не обязательно проводить проверку равно ли число нулю или оно больше нуля, так как проверка регулярным выражением уже отфильтровала всё, что не состоит из точек и цифр.

Митч Фрэзер (Mitch Frazier) является помощником редактора в Linux Journal и веб-редактором в linuxjournal.com.

Quake2 на Debian GNU/Linux

2010-07-25T20:20:00.003+06:00

Ранее я уже писал про то, как можно запустить Quake в Linux:
1. Quake в Linux
2. Запуск Quake на движке Nexuiz

Запуск Quake 3 тоже не представляет проблем, если воспользоваться для этого игрой OpenArena.

Вот чего мне до сих пор не удавалось, так это приличным образом запустить в Debian любимый мной Quake 2, который во времена студенчества мы с тремя моими друзьями перевели на русский язык. Но теперь я нашёл готовые deb-пекеты для установки Quake 2 в Debian: Yamagi Quake II Client

Для установки Quake 2 скачиваем три пакета вот отсюда Debian packages of Yamagi Quake II:

$ wget http://deponie.yamagi.org/quake2/debs/i386/yamagi-quake2_2.11-1_i386.deb
$ wget http://deponie.yamagi.org/quake2/debs/all/quake2-data_16_all.deb
$ wget http://deponie.yamagi.org/quake2/debs/i386/yamagi-quake2-addons_1.1_i386.deb

И незамедлительно устанавливаем их:

# dpkg -i yamagi-quake2_2.11-1_i386.deb
# dpkg -i quake2-data_16_all.deb
# dpkg -i yamagi-quake2-addons_1.1_i386.deb

Теперь достаём с полки диск с Quake 2 и копируем содержимое каталога baseq2 в каталог /usr/share/games/quake2/baseq2. Достаточно скопировать только файл pak0.pak:

# cp /cdrom/BASEQ2/PAK0.PAK /usr/share/games/quake2/baseq2/pak0.pak

И запускаем:

$ yamagiq2

Как всегда, без ложки дёгтя в бочке мёда не обходится.

Во-первых, для работы quake2 необходимо наличие в системе пакетов libogg0 (>= 1.1.3), libsdl1.2debian (>= 1.2.10-1), libvorbis0a (>= 1.1.2), libvorbisfile3 (>= 1.1.2), zlib1g (>= 1:1.2.1). Проверяем наличие нужных пакетов и устанавливаем недостающие.

Во-вторых, звук в игре по непонятной мне причине немного заикается и хрипит. Как я ни пытался улучшить звук, ничего особого не получилось. С помощью следующей команды:

$ yamagiq2 +s_khz 44 +s_loadas8bit 0 +snd_restart

Удалось лишь немного улучшить качество звука в те моменты, когда он не заикается и не хрипит. Но заикаться и хрипеть от этого он всё равно не перестал.

И ещё - для запуска игры необходимо наличие видеокарты, поддерживающей аппаратное ускорение OpenGL. Поддержка программной отрисовки из этого пакета была нещадно выпилена.

Из приятного можно отметить следующее:

1. Можно играть не только в классический Quake 2, но и в его моды Reckoning от Xatrix и Ground Zero от Rogue.

2. Можно слушать музыку с компакт-диска без компакт-диска, благо в состав пакета входит скрипт, который может снять треки с диска, закодировать их в OGG/Vorbis и положить на жёсткий диск, откуда и можно в дальнейшем воспроизводить треки.

Для добавления модов скопируем каталоги с модами в соответствующее место, откуда их может взять движок игры.


# cp -R /home/stupin/quake2/Quake2Mods/RecKoning/xatrix /usr/share/games/quake2/
# cp -R /home/stupin/quake2/Quake2Mods/GroundZero/rogue /usr/share/games/quake2/

Теперь для запуска одного из модов можно воспользоваться следующими командами:


$ yamagiq2 +s_khz 44 +s_loadas8bit 0 +snd_restart +set game xatrix
$ yamagiq2 +s_khz 44 +s_loadas8bit 0 +snd_restart +set game rogue

Для съёма треков с компакт-диска можно воспользоваться примером скрипта, находящимся в одном из пакетов с игрой: /usr/share/doc/yamagi-quake2/examples/cdripper.sh

Ну и напоследок, снимок на память:

Миграция портала SharePoint Services в домен Active Directory

2010-06-19T23:35:00.005+06:00

Предупреждение. Всё нижеследующее вы можете использовать на свой страх и риск! Автор не несёт никакой ответственности за возможные риски: утерю информации, некорректное функционирование программного обеспечения и т.п.

Постановка задачи. Имеется веб-портал SharePoint Services 3.0, аутентификация пользователей в котором происходит по локальным учётным записям на самом сервере. Требуется ввести сервер в домен Active Directory и использовать для аутентификации на портале учётные записи из домена.

1. Получение информации об имеющихся на портале учётных записях

Запускаем MS SQL Enterprise Manager, открываем базу данных WSS_Content. Информация о пользователях находится в таблице UserInfo. Запускаем из Enterprise Manager'а инструмент SQL Query Analyzer, в которм выполняем следующий запрос:


select tp_SystemID, tp_Login, tp_Title
from UserInfo;

Полученную информацию копируем в таблицу Excel. В выбранных колонках находятся: SID пользователя, логин пользователя вместе с доменом в виде "ДОМЕН\Логин", строка описания пользователя. SID пользователя в базе данных хранится в двоичном виде, а Query Analyzer выводит его в шестнадцатеричном виде.

После этого в таблице должны иметься следующие столбцы:
A - шестнадцатеричный SID локальной учётной записи,
B - логин локальной учётной записи,
C - описание локальной учётной записи.

2. Добавляем в полученный список столбец с учётными записями пользователей из домена

Каждой учётной записи, используемой для входа на портал, нужно сопоставить учётную запись из домена. Возможно, на этом этапе понадобится завести в домене учётные записи недостающих пользователей.

После этого в таблице должны иметься следующие столбцы:
A - шестнадцатеричный SID локальной учётной записи,
B - логин локальной учётной записи,
C - описание локальной учётной записи,
D - логин доменной учётной записи.

3. Получение SID пользователей из домена

Берём программу user2sid Евгения Рудного по ссылке http://evgenii.rudnyi.ru/programming.html#sid2user. Копируем столбец D в текстовый файл, а в начале каждой строки добавляем команду user2sid. Копируем получившийся bat-файл в каталог с программой. Запускаем bat-файл, перенаправив вывод из него в другой текстовый файл. В полученном текстовом файле убираем всё, кроме SID'ов, так чтобы в каждой строчке файла было по одному SID'у. Информацию из текстового файла добавляем в столбец E файла Excel.

После этого в таблице должны иметься следующие столбцы:
A - шестнадцатеричный SID локальной учётной записи,
B - логин локальной учётной записи,
C - описание локальной учётной записи,
D - логин доменной учётной записи,
E - SID доменной учётной записи.

Будьте внимательны! В списке должны присутствовать ровно столько SID'ов пользователей, сколько их имелось в первоначальном столбце. Также они должны следовать точно в таком же порядке, как в Excel-файле. Если что-то идёт не так, нужно поправить Excel-таблицу и bat-файл и повторить этот этап снова.

4. Конвертирование доменных SID в шестнадцатеричный вид

Для понимания того, каким образом SID хранится в двоичном виде в системе, можно воспользоваться следующей статьёй: Microsoft Security Descriptor(SID)Attributes.

Пишем на PHP сценарий для конвертирования SID:


<?

function swap($hexdword)
{
  $res = "";
  for($i = 6; $i >= 0 ; $i -= 2)
    $res .= $hexdword[$i] . $hexdword[$i+1];
  return $res;
}

function sid2hex($sid)
{
  $sidl = explode("-", $sid);

  $hex_sid = "0x" .
             sprintf("%02X", $sidl[1]+0) .
             sprintf("%02X", $sidl[2]+0) .
             "000000000005";

  for($i = 0; $i < $sidl[2]; $i++)
    $hex_sid .= swap(sprintf("%08X", $sidl[3+$i]+0));

  return $hex_sid;
}

function hex2sid($hex_sid)
{
  $hex_sid = trim($hex_sid);
  $sidl[0] = "S";
  $sidl[1] = hexdec(substr($hex_sid, 2, 2));

  $sidl[2] = hexdec(substr($hex_sid, 4, 2));

  for($i = 0; $i < $sidl[2]; $i++)
    $sidl[3+$i] = hexdec(swap(substr($hex_sid, 18+$i*8, 8)));

  $sid = implode("-", $sidl);
  return $sid;
}

$sids = "S-1-5-21-583367659-4273102991-479599032-4176
S-1-5-21-583367659-4273102991-479599032-4450";

$sidsl = explode("\n", $sids);

foreach ($sidsl as $sid)
  echo sid2hex($sid) . "<br>";
?>

Для того, чтобы быть уверенным в правильности написанных функций, я написал их пару. Проверив, что преобразование SID в шестнадцатеричный вид и обратно, не искажает его, я удостоверился, что функции написаны правильно.

В вышеприведённом сценарии я оставил только пару SID'ов. Вам следует вставить на место этих двух SID'ов содержимое столбца E. Полученный после выполнения сценария результат нужно скопировать в столбец F.

После этого в таблице должны иметься следующие столбцы:
A - шестнадцатеричный SID локальной учётной записи,
B - логин локальной учётной записи,
C - описание локальной учётной записи,
D - логин доменной учётной записи,
E - SID доменной учётной записи,
F - шестнадцатеричный SID доменной учётной записи.

5. Получение SQL-запросов для миграции портала на доменные учётные записи

Забегая вперёд, я хочу сказать, что обнаружил в базе данных ещё одну таблицу, в которой упоминаются логины пользователей. Эти логины не используются для проверки входа пользователей, они используются лишь для вывода информации о пользователе. Можно не менять их - в конце концов мы занимаемся не вполне чистым делом, а грязным хаком, а можно поменять, чтобы несоответствие реального логина и информации о логине не бросалось в глаза. итак, эта информация находилась в таблице AllUserData в поле nvarchar3.

Теперь мы можем написать в Excel'е формулы, которые сгенерируют нам SQL-запросы, необходимые для внесения необходимых изменений в БД SharePoint Services.


G ="update UserInfo set tp_Login = '" & D2 &"', tp_SystemID = " & F2 & " where tp_Login = '" & B2 &"' "

H ="update AllUserData set nvarchar3 = '" & D2 &"' where nvarchar3 = '" & B2 &"' "

Чтобы не бросаться голой задницей на амбразуру, подготовим SQL-запросы для отката навороченного:


I ="update UserInfo set tp_Login = '" & B2 &"', tp_SystemID = " & A2 & " where tp_Login = '" & D2 &"' "

J ="update AllUserData set nvarchar3 = '" & B2 &"' where nvarchar3 = '" & D2 &"' "

После этого в таблице должны иметься следующие столбцы:
A - шестнадцатеричный SID локальной учётной записи,
B - логин локальной учётной записи,
C - описание локальной учётной записи,
D - логин доменной учётной записи,
E - SID доменной учётной записи,
F - шестнадцатеричный SID доменной учётной записи,
G - SQL-запрос для обновления информации в таблице UserInfo,
H - SQL-запрос для обновления информации в таблице AllUserData,
I - SQL-запрос для отката обновления таблицы UserInfo,
J - SQL-запрос для отката обновления таблицы AllUserData.

Создаём два текстовых файла - update.txt и rollback.txt. В первый копируем столбцы G и H, а во второй - I и J.

6. Миграция

Для миграции нужно выделить перерыв обслуживания примерно в 15 минут. За это время можно будет выполнить SQL-запросы из файла update.txt и ввести компьютер в домен. На случай если что-то пойдёт не так, лучше увеличить паузу до 30 минут, чтобы вывести компьютер из домена и выполнить SQL-запросы из файла rollback.txt.

На случай же если же что-то пойдёт совсем не так, следует заготовить резервную копию базы данных. Перед снятием резервной копии нужно перевести базу данных портала в режим "Только чтение" через "Центр администрирования" SharePoint Services, вкладку "Управление приложениями", пункт "Квоты и блокировки семейства узлов", а затем снять резервную копию средствами MS SQL Enterprise Manager. После восстановления следует не забыть восстановить режим "Нет блокировки".

Я выполнял обновление из дома, глубоким вечером, разумеется проработав в рабочее время сценарий миграции и текстовые файлы с SQL-запросами.

7. Кое-что ещё

Дополнительно, я поменял учётную запись администратора SharePoint Services в "Центре администрирования" на доменную. Поменял я её в базе данных SharePoint_Admincontent_многобукв в таблицах AllUserData и UserInfo. Это уже не столь критично и не столь сложно. Администраторов мало и они, в отличие от пользователей, могут выдержать и больший перерыв в обслуживании.

Применение групповых политик

2010-06-18T12:35:00.005+06:00

На днях боролся с групповыми политиками Active Directory.

У нас на работе действует стандарт по обеспечению безопасности, предписывающий использовать сложные длинные пароли и периодически менять их (конкретные требования в этом изложении роли не играют). В то же время, есть несколько служебных учётных записей, которые используются большим количеством людей. Например, для доступа к порталу Share Point из агентств, используются учётные записи agent и readonly. Эти учётные записи имеют простые пароли, совпадающие с именем пользователя.

Сейчас эти учётные записи заведены на том же компьютере, где установлен Share Point. Этот компьютер не введён в домен. Чтобы упростить жизнь людям, хочется использовать учётные записи из домена Active Directory. Люди, работающие под той же учётной записью, под которой они входят на портал, смогли бы больше не задумываться о пароле и автоматически попадать на портал под своей учётной записью. Пароль личной учётной записи постоянно менялся бы синхронно со сменой пароля "на вход в компьютер", чем достигалась бы повышенная безопасность.

Перед вводом сервера в домен и переводом портала на использование учётных записей из Active Directory нужно завести недостающих пользователей портала в домене. Как минимум, это учётные записи agent и readonly, обладающие простыми паролями. Соответственно, для того, чтобы их можно было завести с теми же паролями, необходимо смягчить политику безопасности паролей. Для этого я создал в Active Directory новое подразделение, для которого создал новую групповую политику "Простые пароли". Я применил её к подразделению, и попробовал завести пользователей. Но пользователей завести не удалось, т.к. их пароли не удовлетворяли требованиям безопасности.

Я посмотрел результирующую групповую политику и увидел следующее:

При просмотре любого из параметров в окошке свойств параметра выводится следующий текст:

Цитирую, чтобы мой пост легче находился поиском: "GPO, расположенные выше, имеют более высокий приоритет. Процессор обработки политики не пытался настроить параметр. Дополнительная информация приведена в %windir%\security\logs\winlogon.log на целевом компьютере."

Я долго искал в интернете ответ на вопрос почему это не работает. В конце концов вышел на обсуждение Применение групповых политик, где нашёл следующий ответ:

Дело в том, что политика паролей (как и все политики учетных записей) применяется к доменным учетным записям, которые находятся на контроллерах домена, а не на рабочих станциях. Поэтому всякие запреты наследования бесполезны, т.к. применяются не там.

К сожалению, невозможно предложить что-либо разумное, не создавая отдельный домен. Разве что внедрить для группы пользователей аутентификацию по смарт-картам - руководству обычно это нравится.

Вы можете назначить иную политику паролей на уровне OU, но она будет применяться только к локальным учетным записям пользователей, которые могут быть определены на компьютерах, входящих в данную OU. К доменным пользователям применяется единая политика паролей, определенная на уровне домена.

Так что ваша задача не имеет решения в рамках одного домена.

Поясню простыми словами. Ограничить требования к безопасности паролей можно только в политике компьютера. Политика компьютера применяется к учётным записям, хранящимся на самом компьютере, то есть к локальным учётным записям этого компьютера. Единственными компьютерами, на которых хранятся доменные учётные записи пользователей, являются контроллеры домена. Поэтому политика безопасности паролей по отношению к доменным учётным данным едина.

Причём отвечающие говорят об этом, как о достаточно известном fuck'те. Как я понимаю, обойти это можно только поменяв быстренько, пока никто не заметил, политику безопасности, завести нужных пользователей или поменять пароли, а затем так же быстро и незаметно вернуть прежнюю политику =D Вам смешно? Мне тоже. Хотя для кое-кого, это всё было бы смешно, если бы не было столь грустно. Например, для тех, кто не имеет возможности поменять политику домена - для администраторов подразделений.

Настройка IPSEC туннеля между Cisco и FreeBSD

2010-06-10T17:10:00.007+06:00

Не очень люблю дублировать лишний раз информацию, поэтому просто сошлюсь на статью, по которой я настроил IPSec-туннель между Cisco и FreeBSD: Настройка IPSEC туннеля между Cisco и FreeBSD

От себя лишь хочу добавить вот что.

1. Если все соединения настроены по данной статье, тогда sainfo в конфигурации racoon будет везде совпадать. А это значит, что вместо повторения одной и той же секции, можно написать секцию sainfo один раз, заменив секции вида:

sainfo subnet 10.5.3.0/24 any address 10.11.16.0/23 any {
  pfs_group 2;
  lifetime time 24 hour;
  encryption_algorithm aes;
  authentication_algorithm hmac_sha1;
  compression_algorithm deflate;
}

на одну секцию вида

sainfo anonymous{
  pfs_group 2;
  lifetime time 24 hour;
  encryption_algorithm aes;
  authentication_algorithm hmac_sha1;
  compression_algorithm deflate;
}

2. Реальные таблицы маршрутизации бывают много сложнее выдуманных книжных.

Во всех найденных мной статьях между собой связываются два не пересекающихся диапазона IP-адресов. Например, сети 192.168.0.0/24 и 172.16.1.0/25 или 10.0.1.0/24 и 10.0.2.0/24 и т.п.

Но реальные ситуации могут оказаться гораздо сложнее. Например, на одном из маршрутизаторов под управлением FreeBSD могут оказаться три интерфейса:
1. Интернет-интерфейс, через который идёт трафик по-умолчанию, и трафик на сеть 192.168.1.0/24,
2. Локальный интерфейс, к которому подключена сеть 10.0.0.0/25,
3. Некий дополнительный интерфейс, через который нужно направлять шифрованный трафик из локальной сети в сеть 192.168.0.0/16.


        LAN 10.0.0.0/25
             |
             |
         ____|______
        |           |
        |  FreeBSD  |------> Internet, LAN 192.168.1.0/24
        |___________|
             ||
             || IPSec
        _____||_____
       |            |
       |   Cisco    |
       |____________|
             |
             |
             |  
       LAN 192.168.0.0/16

Что мы видим в этом случае? Два пересекающихся диапазона IP-адресов: 192.168.1.0/24 и 192.168.0.0/16. В файле ipsec.conf FreeBSD можно указать лишь сети, для которых будет осуществляться шифрование, но нельзя указать интерфейс, для которого действует это правило. В итоге может получиться, что будет шифроваться весь трафик из сети 10.0.0.0/25 в сеть 192.168.0.0/16, включая трафик на сеть 192.168.1.0/24, уходящий через Интернет-интерфейс, где никто не ожидает, что он будет зашифрован.

Или другой подобный случай. Есть большая IPSec-сеть, в которой филиальные маршрутизаторы FreeBSD соединяются только с центральным офисом компании. Маршрутизаторов много, скажем три-четыре десятка, за каждым из них закреплён свой диапазон 10.0.x.0/24. Что делать, если к центральному офису будет подключен ещё один филиальный маршрутизатор? Нужно будет прописывать эту сеть в политики шифрования каждого из остальных филиальных маршрутизаторов? А не устанешь?


        LAN 10.0.x.0/24
             |
             |
         ____|______
        |           |
        |  FreeBSD  |
        |  10.1.0.x |
        |___________|
             ||
             || IPSec
        _____||_____           ___________
       |            |         |           |
       |   Cisco    |  IPSec  |  FreeBSD  |
       |  10.1.0.1  |=========| 10.1.0.y  |--------LAN 10.0.y.0/24
       |____________|         |___________|
             ||
             || IPSec
         ____||_____
        |           |
        |  FreeBSD  |
        | 10.1.0.z  |
        |___________|
              |
              |
              |
        LAN 10.0.z.0/24

В таком случае было бы хорошо настроить на маршрутизаторах филиалов некое подобие маршрута по умолчанию. Например, прописать, что филиальный маршрутизатор должен шифровать трафик между сетями 10.0.0.0/8 в центральном офисе и 10.0.x.0/24 в филиале. Но если написать так в ipsec.conf, то маршрутизатор будет шифровать трафик между своей локальной сетью 10.0.x.0/24 и собой 10.0.x.1, поскольку его собственный адрес 10.0.x.1 формально тоже находится в "большой сети" 10.0.0.0/8. А ведь FreeBSD может быть не только маршрутизатором, а и, например, почтовым сервером. В таком случае почтой в локальной сети филиала пользоваться не смогут.

Именно на такую ловушку я и попался. Хорошо, что я перед настройкой на реальном оборудовании собрал тестовый стенд, на котором и выявил такую проблему.

В подобных случаях можно исключить некую подсеть из большой сети следующим образом:


spdadd 10.0.8.0/24 10.0.8.0/24 any -P out none;
spdadd 10.0.8.0/24 10.0.8.0/24 any -P in none;
spdadd 10.0.8.0/24 10.0.0.0/8 any -P out ipsec esp/tunnel/10.1.0.8-10.1.0.1/unique;
spdadd 10.0.0.0/8 10.0.8.0/24 any -P in ipsec esp/tunnel/10.1.0.1-10.1.0.8/unique;

В этом примере мы исключаем из шифрования сети 10.0.0.0/8 подсеть 10.0.8.0/24.

Недостатки инициализации сети в CentOS

2010-05-30T02:32:00.009+06:00

На днях пытался настроить сеть в CentOS по образу и подобию того, как я делал это ранее в статьях Два VPN-подключения к Уфанет и VPN-подключение к Уфанет и локальные ресурсы через Ethernet. Попробовал и понял: приличных средств для реализации такой настройки нет.

Для начала - у меня на компьютере имеются два интерфейса Ethernet, определились они под именами eth0 и eth1, как и положено. Только вот мне вдруг невтерпёж захотелось их поменять именами. Сказано - сделано, в RedHat и им подобным (включая CentOS) для привязки интерфейса к MAC-адресу кошерно использовать не udevd, а опцию HWADDR. Прописал необходимое значение этой опции в файлах /etc/sysconfig/network-scripts/ifcfg-eth0 и /etc/sysconfig/network-scripts/ifcfg-eth1. Попытки применить настройки скриптами инициализации сети и udev ни к чем не привели, поэтому пришлось перезагрузиться. После перезагрузки интерфейсы получили необходимые имена.

К слову, смена MAC-адреса на сетевой карте осуществляется с помощью опции MACADDR, но совместное использование HWADDR и MACADDR не допускается, т.к. может привести к непредсказуемым последствиям. То ли дело в Debian, где привязки имён интерфейсов к MAC-адресам осуществляются автоматически с помощью udev, а для смены привязок достаточно отредактировать уже имеющиеся правила. Для смены MAC-адреса в файле /etc/network/interfaces можно прописать опцию hwaddress ether XX:XX:XX:XX:XX:XX, а для надёжности, чтобы udevd не присвоил интерфейсу с этим MAC-адресом другое имя интерфейса, скопипастить одно правило udevd, прописав в него новый MAC-адрес, так что интерфейс с этими MAC-адресами будет иметь одно и то же имя.

Далее, хотел отключить прописывание маршрута по умолчанию, полученного по DHCP с помощью опции DHCLIENT_IGNORE_GATEWAY=yes. Игнорировать маршрут от DHCP? Отвечаем "да". Как бы не так. Я не сразу понял, почему оно не работает, а не работает оно из-за бага: /sbin/dhclient-script gets DHCLIENT_IGNORE_GATEWAY test backwards, который зарепорчен аж 16 февраля 2010 года, да ещё и актуальной в тот момент версией CentOS была 5.4, а я обнаружил этот баг в 5.5. Может не хотят исправлять ради сохранения совместимости с Enterprise-системой от Red Hat? Это, дескать, не баг, а фича.

Далее. Для настройки собственных маршрутов и правил маршрутизации можно создавать файлы /etc/sysconfig/network-scripts/route-* и /etc/sysconfig/network-scripts/rule-*. При чём для файла маршрутов есть два формата: устаревший и актуальный. Устаревшим считается формат, в котором можно было прописывать команды ip route, а новым - жалкие пронумерованные по порядку переменные ADDRESSn, NETMASKn, GATEWAYn. Захотел в новом формате удалить или закомментировать какой-нибудь маршрут из середины, как перед тобой встаёт выбор: либо все следующие маршруты перестанут работать, либо тебе нужно перенумеровать все оставшиеся маршруты так, чтобы их нумерация не прерывалась и шла строго по порядку.

Казалось бы - наплюй на этот новый формат, да воспользуйся вменяемым старым. Но нет! Я хотел написать нечто такое:

81.30.176.0/20 via $GATEWAY dev $DEVICE src $IPADDR table main

а в правила - нечто такое:

from $IPADDR table lunlim

думая, что переменные $GATEWAY, $IPADDR, $DEVICE должны быть определены и взяты либо из файла /etc/sysconfig/network-scripts/ifcfg-eth0, либо получены по DHCP. Нет! Этих переменных там нет!

Ну что я могу сказать? Это Enterprise, детка. Для настройки маршрутов используются графические конфигурялки, баги признают фичами, а в скриптах не допускается самодеятельность, дабы не ввести в заблуждение железобетонную логику системы. Всё как у военных - строго по уставу, не важно что квадратное приходится катать, а круглое таскать.

Может среди прочитавших эту заметку попадутся знатоки Red Hat, CentOS и Fedora? Люди, будьте добры, подскажите, можно ли сделать то, что я хочу, какими-нибудь простыми средствами?

Видимо придётся воспользоваться для настройки маршрутов всё теми-же нестандартными скриптами dhcp-клиента и скриптами /etc/ppp/ip-up.local и /etc/ppp/ip-down.loclal.

Источники:
1. Interface Configuration Files
2. Files in /etc/sysconfig
3. Как избежать неправильной нумерации сетевых карт в системах Red Hat Enterprise Linux с несколькими сетевыми интерфейсами?
4. Как настроить дополнительные маршруты в Red Hat Enterprise Linux?
5. Настройка сети в Linux через конфиг-файлы, ч.1

Дополнение от 30 мая 2010.

При попытке настроить нестандартный скрипт dhclient наступил на selinux, ударивший меня в лоб: он запрещал dhclient'у обращаться к каким-то левым, по мнению selinux, файлам. Разбираться с политиками selinux я не стал и просто отключил его. dhclient после этого сработал нормально. Прописал все настройки pptp, скрипты для добавления и удаления маршрутов. Попытался поднять соединение и обломился: про pptp-клиент я-то забыл. Ну, думаю, сейчас из репов поставлю и всё нормально. Поискал в репах, а pptp-клиента нет! Вот чёрт, опять Enterprise...

Резервная копия настроек сервера

2010-05-21T19:03:00.005+06:00

Всё написанное ниже ни в коем случае не стоит воспринимать как руководство к действию, это лишь информация к размышлению.

Для резервного копирования настроек сервера можно использовать простенький скрипт, ежедневно отправляющий на почтовый ящик резервную копию настроек сервера (для отправки используется пакет biabam). Главное достоинство таких резервных копий - их малый объём, а процесса резервного копирования - очень высокая скорость. Сам скрипт может быть, например, таким:

#!/bin/sh

DATE=`date "+%Y-%m-%d"`

dpkg --get-selections > /root/backups/dpkg.list
mysqldump -u root --password=password --all-databases > /root/backups/mysql.sql

tar -cjvf /root/backup-$DATE.tbz --files-from=- << END
/etc//root/bin/
/home/stupin/bin/
/usr/local/bin/
/var/cache/bind/
/var/spool/cron/crontabs/
/root/backups/dpkg.list
/root/backups/mysql.sql
END
rm /root/backups/dpkg.list /root/backups/mysql.sql

echo "This is a Backup of your Debian Server!!! Keep this!" |\
   biabam /root/backup-`date "+%Y-%m-%d"`.tbz \
   -s "Daily backup Debian Server Configs: $DATE" stupin@mydomain.ru
rm /root/backup-$DATE.tbz

Будьте осторожны, т.к. злоумышленник, получивший доступ к этому сообщению, фактически получает полный доступ к серверу.

Файлик dpkg.list позволяет быстро установить все необходимые пакеты (перед этим лучше сначала перенести учётные записи).


dpkg --set-selections < dpkg.list
apt-get dselect-upgrade

Файлик mysql.sql позволяет быстро восстановить состояние БД mysql:


mysql -u root --password=password < mysql.sql

Что делать с остальными файлами - я думаю вы догадаетесь сами. Можно, например, сделать rsync нужных каталогов:


rsync /root/backup/var/cache/bind/ /var/cache/bind/

Можно сделать rsync каталога /etc/, но тут стоит соблюдать осторожность. Если восстановление происходит на другом оборудовании, то как минимум не стоит бездумно копировать /etc/fstab и /etc/udev/. Если перенос осуществляется ещё и на другую систему, то стоит подумать также о том, можно ли безболезненно скопировать /etc/passwd и /etc/shadow.

Переименование фотографий по EXIF-тегам

2010-01-09T18:01:00.004+05:00

В августе-сентябре прошлого года я ездил в отпуск в компании из пяти человек. На всю компанию было два цифровых фотоаппарата. Отдыхали в другом часовом поясе и в середине отпуска мне приспичило выставить на своём фотоаппарате второе время. По приезду из отпуска мы обменялись фотографиями. Я слил все фотографии в один каталог, попутно переименовав их в соответствии со временем из EXIF-тегов.

Время на фотоаппаратах несколько различалось в начале поездки, поэтому итоговые фотографии были слегка перемешаны, к чему я был готов. Но вот что было неожиданным, так это то, что функция двойного времени на моём фотоаппарате не прописывала оба времени в снимок. Если задано одно время, то в EXIF-теги прописывалась информация о первом времени, а если заданы оба времени, то в EXIF-теги прописывалась информация из второго времени. Поэтому кроме небольшого перемешивания в начале, с некоторого момента фотографии с разных фотоаппаратов перемешались с разницей в 2 часа.

Для начала я решил всё вернуть на место и разделить фотографии по фотоаппаратам. Один из фотоаппаратов прописывал в EXIF-теги название модели "Canon PowerShot A560", поэтому я выделил с помощью grep и xargs все фотографии с этого фотоаппарата в отдельный каталог:

$ mkdir canon
$ grep -Ul "Canon PowerShot A560" | xargs -n1 -I'{}' mv '{}' canon/

Оставшиеся фотографии были с первого фотоаппарата и я поместил их в другой каталог под именем olympus.

Далее, просматривая фотографии, я сначала нашёл тот момент, когда я прописал второе время. А затем нашёл два практически одинаковых снимка, сделанных с разных фотоаппаратов, но в разных ракурсах. Так я узнал разницу в синхронизации часов - она составляла 36 секунд.

Теперь о главном. В результате поиска инструмента, который бы мог перевести время в EXIF-тегах, я нашёл утилиту exiftool. Оказалось, что эта утилита не только умеет менять время в EXIF-тегах, но и умеет переименовывать фотографии в соответствии с тегами. Она также поддерживает редактирование не только EXIF-информации из JPEG-файлов, но и редактирование тегов музыкальных файлов, например MP3. Подробнее об утилите можно прочитать здесь: http://www.sno.phy.queensu.ca/~phil/exiftool/. Я же остановлюсь на тех полезных функциях, которые мне пригодились именно для решения моих проблем: корректировка времени в EXIF-тегах и переименование.

Для начала поставим пакет с утилитой:

# aptitude install libimage-exiftool-perl

Теперь, для корректировки времени можно воспользоваться следующей командой (сначала я скорректировал разницу в часах между двумя фотоаппаратами):

$ exiftool "-AllDates-=0:0:0 0:0:36" olympus/moscow-time/
$ exiftool "-AllDates-=0:0:0 0:0:36" olympus/ufa-time/

Потом я ещё раз скорректировал время (ликвидировав разницу в часовых поясах между снимками):

$ exiftool "-AllDates+=0:0:0 2:0:0" olympus/moscow-time/

Знак плюс или минус говорит о том, нужно ли прибавить разницу к показаниям часов или отнять её. Следующие шесть цифр, разделённых двоеточиями и пробелами, указывают разницу в годах, месяцах, днях, часах, минутах и секундах.

И так, теперь время во всех EXIF-тегах фотоснимков синхронизировано и нужно их переименовать. Раньше я это делал с помощью пакета exifprobe, в соответствии с этой статьёй: Цифровые фотографии. Наводим порядок. Однако exiftool оказался способен заменить эту статью одной строчкой:

$ exiftool -r -d %Y%m%d-%H%M%S%%-c.jpg "-filename<DateTimeOriginal" .

Опция -r означает, что фотографии нужно искать и в подкаталогах указанного каталога - рекурсивно.

Строка %Y%m%d кодирует 4 цифры года, две цифры месяца, две цифры дня. Строка %H%M%S кодирует две цифры часов в 24-часовом формате, две цифры минут, две цифры секунд. Строка %%-c используется при наличии нескольких файлов с одинаковым именем, при повторах она добавляет знак минус и номер файла. Строка .jpg указывает расширение файла.

Теперь все фотографии синхронизированы по времени, переименованы в соответствии с датой и временем, одновременно сделанные фотографии снабжены номером.

Легкий перевод страниц руководства с помощью po4a

2009-12-22T09:01:00.008+05:00

Страницы руководства (man'ы) переводить тяжело. Ещё тяжелее поддерживать перевод в актуальном состоянии. Тяжело потому, что нужно изучать разметку по шаблону groff_man и при переводе нужно выискивать среди директив и управляющих последовательностей сам текст, который нужно перевести. Можно, конечно, сконвертировать страницу руководства в текстовый формат, перевести, а потом проставить разметку по аналогии с исходным текстом. Но представьте объём и муторность работы! Проделав всё это хотя бы раз с одним большим переводом, вы решите больше не заниматься этой неблагодарной работой.

Примерно год назад я тоже попробовал сконвертировать несколько текстовых переводов в формат man вручную. Я попробовал, ужаснулся и решил больше этим не заниматься, а стал просто выкладывать переводы в wiki-систему: http://manpages.ylsoftware.com. Всё это время я надеялся на то, что когда-нибудь они кому-то пригодятся, если повезёт, то кто-нибудь возьмётся сконвертировать их в подобающий формат, отправит разработчикам соответствующих программ или ментейнерам и мои переводы попадут в дистрибутивы.

Несколько месяцев назад я даже написал на PHP простенький конвертер из wiki-формата в man, но разметка некоторых кусков wiki-формата оставалась по-прежнему недоступной регэкспам конвертера и переводы всё-же необходимо было доводить до готовности вручную. Ещё один минус такого подхода заключается в том, что перевод не соответствует оригинальной странице руководства из дистрибутива и поддерживать его актуальность по-прежнему тяжело.

Но теперь я нашёл великолепный пакет, с помощью которого можно с легкостью переводить и поддерживать актуальность переводов страниц руководства. Это пакет po4a - Portable Object For Anything. Он имеется в составе дистрибутива Debian и я считаю очень странным то, что о нём нет ни одного упоминания на русском языке (а англоговорящим людям этот пакет и не нужен). Поставим пакет:

# aptitude install po4a

Этот пакет позволяет переводить тексты в следующих форматах:

$ po4a-gettextize --help-format
Список допустимых форматов:
  - dia: несжатые диаграммы Dia.
  - docbook: Docbook XML.
  - guide: формат документации Gentoo Linux xml.
  - ini: формат .INI.
  - kernelhelp: описание каждого параметра компиляции ядра.
  - latex: формат LaTeX.
  - man: формат страниц руководства.
  - pod: формат документации языка Perl.
  - sgml: форматы debiandoc или docbook DTD.
  - texinfo: формат страницы info.
  - tex: обобщенные документы TeX (смотрите также latex).
  - text: простой текстовый документ.
  - wml: WML documents.
  - xhtml: документы XHTML.
  - xml: обобщенные документы XML (смотрите также docbook).

Перевод обычных файлов HTML не поддерживается, они обязательно должны быть приведены к формату XHTML.

Приступим к созданию проекта перевода страниц руководства. Перво-наперво поставим пакет, страницы из которого мы будем переводить:

# aptitude install pppoe

Теперь создадим каталог для проекта перевода:

$ mkdir pppoe

Скопируем страницы руководства из системы в этот каталог и распакуем их:

cd pppoe
dpkg -L pppoe | grep man | xargs -I {} cp {} .
gunzip *

Теперь напишем файл конфигурации проекта po4a.conf:


[po4a_langs] ru
[po4a_paths] pppoe.pot ru:pppoe.ru.po
[type: man] pppoe.8 ru:pppoe.ru.8 add_ru:pppoe.ru.8.add
[type: man] pppoe-connect.8 ru:pppoe-connect.ru.8 add_ru:pppoe-connect.ru.8.add
[type: man] pppoe-start.8 ru:pppoe-start.ru.8 add_ru:pppoe-start.ru.8.add
[type: man] pppoe-stop.8 ru:pppoe-stop.ru.8 add_ru:pppoe-stop.ru.8.add
[type: man] pppoe-status.8 ru:pppoe-status.ru.8 add_ru:pppoe-status.ru.8.add
[type: man] pppoe-sniff.8 ru:pppoe-sniff.ru.8 add_ru:pppoe-sniff.ru.8.add
[type: man] pppoe-server.8 ru:pppoe-server.ru.8 add_ru:pppoe-server.ru.8.add
[type: man] pppoe-relay.8 ru:pppoe-relay.ru.8 add_ru:pppoe-relay.ru.8.add
[type: man] pppoe-setup.8 ru:pppoe-setup.ru.8 add_ru:pppoe-setup.ru.8.add

Первая строка перечисляет список кодов языков, на которые будем осуществлять перевод. Можно переводить на несколько языков сразу, но мы укажем только русский язык.

Во второй строке задаём файл-шаблон и список файлов-переводов для каждого языка. В файле-шаблоне будут все строки, подлежащие переводу, в остальных файлах будут храниться пары оригинал-перевод.

В последующих строках указываются формат переводимого документа, сам документ. С префиксами ru указываются файлы с переводами на русский язык. С префиксами add_ru указываются аддендум-файлы - файлы с дополнительным текстом, который нужно вставить в перевод (например, информация об авторах перевода).

Например, в моём случае аддендумы были двух видов. Файлы pppoe-relay.ru.8.add, pppoe.ru.8.add, pppoe-server.ru.8.add, pppoe-sniff.ru.8.add выглядят так:

PO4A-HEADER:mode=after;position=АВТОРЫ;beginboundary=\.SH

.SH "АВТОР ПЕРЕВОДА"
Перевод на русский язык выполнил Владимир Ступин <wheelof@gmail.com>.

А файлы pppoe-connect.ru.8.add, pppoe-setup.ru.8.add, pppoe-start.ru.8.add, pppoe-status.ru.8.add, pppoe-stop.ru.8.add выглядят так:


PO4A-HEADER:mode=after;position=АВТОР;beginboundary=\.SH

.SH "АВТОР ПЕРЕВОДА"
Перевод на русский язык выполнил Владимир Ступин <wheelof@gmail.com>.

Аддендумы, фактически, написаны по образу и подобию примеров из страниц руководства po4a. Они предписывают вставить текст после текста "АВТОРЫ" или "АВТОР", разметка которого выполнена с помощью шаблона ".SH". Подробнее о разметке страниц руководства можно прочитать на странице руководства groff_man(7). Некоторое время назад я начал её перевод и в последующем постараюсь довести его до конца.

Теперь главное, выполняем компиляцию проекта:

po4a po4a.conf

В каталоге проекта появятся файлы pppoe.pot и pppoe.ru.po. Файл po теперь можно переводить с помощью любого редактора po-файлов. Например, я использую poedit. Вам может понравиться gtranslate или kbabel.

В переводимом тексте встречается разметка, которая однако намного проще разметки groff_man и легко редактируется вручную. Например, текст B<pppoe> означает разметку жирным шрифтом будет выглядеть так: pppoe, текст I<pppoe> означает разметку курсивным шрифтом и будет выглядеть так: pppoe. Знаки больше и меньше имеют вид E<gt> и E<lt>. Например, текст E<gt>htmlE<lt> будет выглядеть на печати следующим образом: <html>. Другие способы разметки я не встречал.

После перевода файла po, можно скомпилировать проект снова. Для оригинальных страниц, у которых переведено более 80% текста, будут созданы страницы-переводы. Впрочем, принудительно посмотреть незаконченный перевод можно и вручную:

po4a-translate -f man -m pppoe.8 -p pppoe.ru.po -l pppoe.ru.8 -a pppoe.ru.8.add -k 0
man ./pppoe.ru.8

Не всегда разметка исходных страниц руководства бывает идеальной, а потому для успешной компиляции проекта бывает нужно отредактировать исходную страницу. Иногда встречаются неэкранированные знаки минуса или точки, иногда - неправильные теги разметки текста, например вместо \fB может встретиться \fb. На этот случай нужно вооружиться groff_man(7) и исправить неправильные участки страницы руководства.

Также, в процессе перевода, может пригодиться знание пакета gettext. Например, мне очень пригодилась команда msgmerge для слияния нескольких po-файлов в один.

Пример этого и других переведённых проектов можно взять из svn-репозитория: https://man-ylsoftware.svn.sourceforge.net/svnroot/man-ylsoftware/

Если кто-то заинтересован в том, чтобы помочь мне в оформлении переводов, можете зарегистрироваться на сайте http://www.transifex.net/projects/p/manpages-ylsoftware-ru/ и попроситься в команду перевода на русский. Укажите в профиле адрес своей электронной почты - я свяжусь с вами и мы поговорим о том, каким образом вы можете помочь проекту.

В рамках проекта планируется следующая деятельность: перевод страниц руководства из различных пакетов, сбор готовых переводов из интернета с последующим конвертированием переводов в формат проекта po4a, актуализация имеющихся переводов, помощь в конвертировании готовых переводов в формат страниц руководства. Проект на сайте transifex.net и svn-репозиторий на sourceforge планирует приобщить к своему дистрибутиву русское сообщество Fedora. Можете предлагать другие способы взаимодействия и прочую посильную помощь. Удачных и лёгких переводов!

Дополнение. Чтобы получить po-файл для одной страницы руководства, можно воспользоваться следующей командой:

po4a-gettextize -f man -m apt-cache.8 -p apt-cache.ru.po

Если нужно получить новую версию po-файла, то можно указать уже имеющийся po-файл с переводом старой версии:

po4a-gettextize -f man -m apt-cache.8 -l apt-cache.ru.po.old -p apt-cache.ru.po.new

Обновлено: 28 ноября 2010 года.

Настройка почтовой системы на основе Postfix, Dovecot, PostfixAdmin

2009-11-05T16:48:00.005+05:00

Перед тем, как приступить к настройке почтового сервера, необходимо убедиться в том, что на сервере имеется прямой доступ в Интернет, то есть на одном из интерфейсов имеется так называемый «белый» IP. Также на сервере должна быть доступна служба DNS. Поскольку почтовый сервер очень часто обращается к службе DNS, может потребоваться настроить локальный кэширующий DNS-сервер для снижения нагрузки на сеть и повышения отзывчивости подсистемы DNS.

Настраиваемая почтовая система обладает возможностями по администрированию доменов и почтовых ящиков через веб-интерфейс PostfixAdmin, в качестве основного домена в статье фигурирует домен stupin.homelinux.org, все учётные записи при этом хранятся в базе данных MySQL. Имеется почтовый клиент с веб-интерфейсом SquirrelMail, фильтрация спама средствами PostGrey, фильтрация вирусов средствами ClamSMTPd, отметка подозрительных писем с помощью SpamPd и SpamAssassin.

Не смотря на то, что настройка почтовой системы рассмотрена довольно подробно, данная статья конечно же не претендует на полноту. За кадром остаётся настройка защищённого подключения к веб-серверу, тонкая настройка фильтрации почты с помощью SpamAssassin, Postfix и PostGrey, повышение безопасности почтовой системы посредством запуска отдельных подсистем от имени непривилегированных пользователей и т.п. Статью можно использовать в качестве опорной для построения более развитой почтовой системы.

Настройка Lighttpd

Первым делом устанавливаем веб-сервер lighttpd, php.

# aptitude install lighttpd php5-cgi php5-json

Включаем модуль fastcgi веб-сервера lighttpd:

# lighty-enable-mod fastcgi

Заменяем в конфигурации модуля /etc/lighttpd/conf-enabled/10-fastcgi.conf интерпретатор PHP4 на PHP5:

fastcgi.server = ( ".php" =>
  ((
    "bin-path" => "/usr/bin/php5-cgi",
    "socket" => "/tmp/php.socket",
    "max-procs" => 2,
    "idle-timeout" => 20,
    "bin-environment" => (
      "PHP_FCGI_CHILDREN" => "4",
      "PHP_FCGI_MAX_REQUESTS" => "10000"

    ),
    "bin-copy-environment" => (
      "PATH", "SHELL", "USER"
    ),
    "broken-scriptfilename" => "enable",
    "check-local" => "disable"

  ))
)

Перезапускаем веб-сервер:

# /etc/init.d/lighttpd restart

Настройка PostfixAdmin

Качаем последнюю стабильную версию PostfixAdmin со страницы http://sourceforge.net/projects/postfixadmin/files/. Для Debian существует готовый пакет postfixadmin_2.2.1.1_all.deb, его и скачаем:

$ wget "http://downloads.sourceforge.net/project/postfixadmin/postfixadmin/postfixadmin-2.2.1.1/postfixadmin_2.2.1.1_all.deb?use_mirror=sunet"

Установим пакет в систему:

# dpkg -i postfixadmin_2.2.1.1_all.deb

Пакет устанавливает все файлы проекта в каталог /usr/share/postfixadmin, файлы документации - в каталог /usr/share/doc/postfixadmin. Также создаются файлы с настройками самого PostfixAdmin - /etc/postfixadmin/config.inc.php и настройками Apache 2 - /etc/apache2/conf.d/postfixadmin.

Поскольку я собираюсь пользоваться PostfixAdmin на web-сервере Lighttpd, заглянем в файл /etc/apache2/conf.d/postfixadmin:

Alias /postfixadmin /usr/share/postfixadmin

И создадим на его основе настройки для Lighttpd - в файл /etc/lighttpd/lighttpd.conf нужно будет добавить строчки:

alias.url += (
        "/postfixadmin" => "/usr/share/postfixadmin",
)

Дополнительно, защитим каталог на web-сервере от случайных зевак:

auth.backend                   = "htdigest"
auth.backend.htdigest.userfile = "/etc/lighttpd/htdigest"
auth.require = ( "/posfixadmin" =>
        (
                "method" => "digest",
                "realm" => "PostfixAdmin",
                "require" => "user=morbo"

        )
)

И с помощью утилиты htdigest из пакета apache2-utils задаём пароль для пользователя morbo и рилма PostfixAdmin:

$ htdigest /etc/lighttpd/htdigest "PostfixAdmin" morbo

Настроим Postfix Admin в соответствии с вашей спецификой (например, зададим подходящий пароль к базе данных, настроим домен по умолчанию и т.п.)

Отредактируем файл /usr/share/postfixadmin/config.inc.php и укажем следующее:

# vi config.inc.php
[...]
$CONF['configured'] = true;
$CONF['postfix_admin_url'] = 'http://stupin.homelinux.org/postfixadmin';
$CONF['database_type'] = 'mysql';
$CONF['database_host'] = 'localhost';
$CONF['database_user'] = 'postfixadmin';
$CONF['database_password'] = 'SecretPassword!';
$CONF['database_name'] = 'postfix';
$CONF['domain_path'] = 'YES';
$CONF['domain_in_mailbox'] = 'NO';
$CONF['encrypt'] = 'cleartext';

Просмотрите остаток файла, если вам захочется сделать более тонкие настройки.

Вы можете быстро заменить домен по умолчанию на ваш собственный:

replace "change-this-to-your.domain.tld" "stupin.homelinux.org" - /usr/share/postfixadmin/config.inc.php

Создайте базу данных и пользователя в mysql:

shell> mysql -u root -p
mysql> create database postfix;
mysql> grant all privileges on postfix.* to 'postfixadmin'@'localhost' identified by 'SecretPassword!';
mysql> flush privileges;
mysql> q

Откройте браузер и перейдите по ссылке http://stupin.homelinux.org/postfix/setup.php или http://ваш-IP/postfixadmin/. Будет предложено запустить процесс настройки. Удостоверьтесь, что все проверки установщика сообщают 'OK'.

Рекомендуется удалить setup.php.

Теперь перейдите по ссылке http://stupin.homelinux.org/postfixadmin/admin. Вы должны получить приглашение. Войдите с использованием почтового ящика администратора, заведённого ранее на странице настройки. Отсюда вы можете добавлять домены, почтовые ящики и т.п. Но Postfix этого не увидит. Нам нужно установить Postfix и настроить его.

Настройка Postfix

Установим Postfix и SASL2 с поддержкой MySQL:

# aptitude install postfix-mysql postfix-tls libsasl2-modules-sql libsasl2-modules

Добавим в файл /etc/postfix/main.cf следующие строки:

virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf
virtual_gid_maps = static:106
virtual_mailbox_base = /var/spool/mail/virtual
virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_maps.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf
virtual_minimum_uid = 106
virtual_transport = virtual
virtual_uid_maps = static:106
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated,
    reject_non_fqdn_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient,
    reject_unauth_destination, reject_unauth_pipelining, reject_invalid_hostname
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous

ЗАМЕЧАНИЕ: UID и GID равные 106 на вашей системе могут быть другими. Посмотрите на UID и GID пользователя postfix (или vmail) в файле /etc/passwd и укажите их. Например, на моём сервере:

# grep postfix /etc/passwd
postfix:x:102:105::/var/spool/postfix:/bin/false
--> uid: 102; gid: 105

Создайте следующие файлы в каталоге /etc/postfix/mysql_virtual_alias_maps.cf:

user = postfix
password = SecretPassword!
hosts = 127.0.0.1
dbname = postfix
table = alias
select_field = goto
where_field = address

mysql_virtual_domains_maps.cf:

user = postfix
password = SecretPassword!
hosts = 127.0.0.1
dbname = postfix
table = domain
select_field = domain
where_field = domain
additional_conditions = and backupmx = '0' and active = '1'

mysql_virtual_mailbox_maps.cf:

user = postfix
password = SecretPassword!
hosts = 127.0.0.1
dbname = postfix
table = mailbox
select_field = maildir
where_field = username

Если вы хотите разрешить ретрансляцию почты через ваш сервер после SMTP AUTH, пропишите в файле /etc/postfix/sasl/smtpd.conf следующие настройки:

pwcheck_method: auxprop
mech_list: PLAIN LOGIN
auxprop_plugin: sql
sql_verbose: yes
sql_engine: mysql
sql_hostnames: 127.0.0.1
sql_user: postfix
sql_passwd: SecretPassword!
sql_database: postfix
sql_select: select password from mailbox where username = '%u@%r'

Создайте структуру каталогов, включая каталог для первого домена. Вы так же можете войти в PostfixAdmin и создать учётную запись 'test' для домена stupin.homelinux.org.

# mkdir -p /var/spool/mail/virtual/stupin.homelinux.org/test
# chmod -R 770 /var/spool/mail/virtual
# chown -R postfix:postfix /var/spool/mail/virtual

Настройка Dovecot

Установим Dovecot с поддержкой MySQL:

# aptitude install dovecot-common dovecot-imapd dovecot-pop3d

Отредактируем файл /etc/dovecot/dovecot-mysql.conf с настройками Dovecot/MySQL, воспользовавшись следующими опциями:

driver = mysql
connect = dbname=postfix user=postfixadmin host=127.0.0.1 password=SecretPassword!
default_pass_scheme = PLAIN
password_query = SELECT password FROM mailbox WHERE username = '%u'
user_query = SELECT maildir, 106 AS uid, 106 AS gid FROM mailbox WHERE username = '%u'

Теперь настроим Dovecot на использование MySQL, задав следующие опции в файле /etc/dovecot/dovecot.conf:

protocols = imap imaps pop3 pop3s
disable_plaintext_auth = no
log_timestamp = "%Y-%m-%d %H:%M:%S "
mail_location = maildir:/var/spool/mail/virtual/%d/%n
mail_access_groups = mail
first_valid_uid = 106
first_valid_gid = 106
protocol imap {
}
protocol pop3 {
    pop3_uidl_format = %08Xu%08Xv
}
auth default {
    mechanisms = digest-md5 plain
    passdb sql {
        args = /etc/dovecot/dovecot-mysql.conf
    }
    userdb sql {
        args = /etc/dovecot/dovecot-mysql.conf
    }
    user = root
}

# aptitude install squirrelmail

В файл /etc/lighttpd/lighttpd.conf нужно будет добавить строчки:

alias.url += (
  "/mail" => "/usr/share/squirrelmail"
)

Настройку SquirrelMail можно осуществить с помощью ncurses-утилиты squirrelmail-configure.

Настройка плагина SquirrelMail PosfixAdmin

Для того, чтобы пользователи имели возможность самостоятельно менять свои пароли, можно установить расширение postfixadmin для squirrelmail. Адрес проекта http://squirrelmail-postfixadmin.palepurple.co.uk/

Чтобы скачать исходники проекта, необходимо поставить утилиты subversion:

# aptitude install subversion

Создадим каталог для скачиваемых из svn исходников плагина, скачаем исходники, скопируем необходимое нам, а лишнее удалим:

$ mkdir ~/squirrelmail-postfixadmin
$ cd ~/squirrelmail-postfixadmin
$ svn co -r 35 http://squirrelmail-postfixadmin.palepurple.co.uk/svn
$ mkdir ~/squirrelmail
$ cp ~/squirrelmail-postfixadmin/svn/tags/squirrelmail-postfixadmin-0.4.3/* ~/postfixadmin/
$ rm -R ~/squirrelmail-postfixadmin

Почистим исходники плагина от служебных файлов subversion:

$ find ~/postfixadmin/ -name .svn -type d -exec rm -R \{\} \;

Установим плагин в каталог squirrelmail:

# cp ~/postfixadmin /usr/share/squirrelmail/plugins/

Тонкая настройка Postfix

Во-первых, я задаю имя, которое будет использовать Postfix при отправке почты на другие почтовые серверы (в команде HELO или EHLO) или при приёме почты на 25 порту в приглашении (например, «220 stupin.homelinux.org ESMTP Postfix»):

myhostname = stupin.homelinux.org
myorigin = $myhostname

Во-вторых, укажем сети, имеющие право отправки почты без прохождения авторизации:

mynetworks = 10.16.7.0/24, 127.0.0.1

Далее, мой провайдер поместил все клиентские сети в список динамических IP, так называемый DUL. Из-за этого подавляющее большинство почтовых серверов отказываются принимать от меня почту. Чтобы отправка почты всё-таки работала, мой провайдер позволяет отправлять почту через его почтовый сервер mail.ufanet.ru:

relayhost = [mail.ufanet.ru]

И, наконец, я хочу чтобы Postfix не пытался складывать локальную почту в локальные же файлы mailbox. Вместо этого, он должен обрабатывать такую почту, как и всю остальную, то есть передавать её dovecot'у. Для этого пропишем следующую опцию:

local_transport = virtual

Настройка PostGrey

Установим postgrey:

aptitude install postgrey

Поменять настройки можно в файле /etc/default/postgrey. Я добавил одну дополнительную опцию, которая помещает отправителя в белый список после 5 удачно пройденных тестов:

POSTGREY_OPTS="--inet=127.0.0.1:60000 --auto-whitelist-clients=5"

Настраиваем postfix на использование сервера политик postgrey. В файле /etc/postfix/main.cf к опции smtpd_recipient_restrictions в конец списка добавляем «check_policy_service inet:127.0.0.1:60000». После этого опция smtpd_recipient_restrictions в моей системе приняла следующий вид:

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated,
    reject_non_fqdn_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient,
    reject_unauth_destination, reject_unauth_pipelining, reject_invalid_hostname,
    check_policy_service inet:127.0.0.1:60000

Теперь, чтобы настройки вступили в силу, можно перезапустить postgrey и postfix:

/etc/init.d/postgrey restart
/etc/init.d/postfix reload

Настройка ClamSMTPD

Устанавливаем clamsmtpd (если на сервере установлен стабильный релиз Debian, то лучше подключить дополнительный репозиторий volatile, в который помещаются обновления антивирусных баз данных и систем фильтрации спама):

aptitude install clamsmtpd

Обновляем антивирусные базы:

freshclam -v

Настраиваем порты демона в файле /etc/clamsmtpd.conf (я изменил их следующим образом):

OutAddress: 10026
Listen: 127.0.0.1:10025

Настраиваем postfix на передачу файла в clamsmtp. Во-первых добавим в файле /etc/postfix/main.cf следующие опции:

content_filter = scan:127.0.0.1:10025
receive_override_options = no_address_mappings

Во-вторых, в файл /etc/postfix/master.cf добавляем следующее:

scan      unix  -       -       n       -       16      smtp
        -o smtp_send_xforward_command=yes

127.0.0.1:10026 inet  n -       n       -       16      smtpd
        -o content_filter=
        -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
        -o smtpd_helo_restrictions=
        -o smtpd_client_restrictions=
        -o smtpd_sender_restrictions=
        -o smtpd_recipient_restrictions=permit_mynetworks,reject
        -o mynetworks_style=host
        -o smtpd_authorized_xforward_hosts=127.0.0.0/8

Перезапускаем clamsmtpd и postfix:

/etc/init.d/clamsmtp restart
/etc/init.d/postfix restart

Настройка SpamPd

Устанавливаем spampd:

aptitude install spampd

Настраиваем spampd, в файле /etc/default/spampd меняем следующие опции:

LISTENPORT=10026
DESTPORT=10027

Также необходимо поменять настройки входного порта postfix, на котором письмо принимается без дополнительных проверок. В файле /etc/postfix/master.cf меняем строку

127.0.0.1:10026 inet  n -       n       -       16      smtpd

на строку

127.0.0.1:10027 inet  n -       n       -       16      smtpd

Для вступления настроек в силу перезапускаем postfix и spampd:

/etc/init.d/postfix restart
/etc/init.d/spampd restart

Пояснение принципов фильтрации писем

Теперь clamsmtpd и spampd работают последовательно. Postfix получая новое письмо на порт 25, передаёт письмо на проверку на порт 10025, где его принимает clamsmtpd. Далее, проверив письмо, clamsmtpd передаёт письмо на порт 10026, где его принимает spampd. Далее, после проверки, spampd возвращает письмо Posfix'у на порт 10027. Postfix, получив письмо на порт 10027, принимает его без дополнительных проверок.

clamsmtpd работает в связке с clamav-daemon, последовательно передавая ему на проверку все секции и вложения письма.

spampd тоже работает в связке с демоном spamassassin, передавая ему на проверку письмо целиком. Важно, что в данном примере настройки, не происходит автоматическое удаление писем, похожих на спам. Вместо этого в начало темы подозрительного письма добавляется текст «*****SPAM***** », а в заголовок письма помещаются метки SpamAssassin, свидетельствующие о количестве набранных спам-баллов и описанием каждого признака спама. Для удаления подозрительных писем необходимо воспользоваться дополнительными компонентами почтовой системы.

Ссылки

Настройка веб-интерфейса Clutch - взята часть про настройку Lighttpd и PHP. Не пропадать же однажды уже написанному добру?!

Squirrelmail - PostfixAdmin plugin

PostfixAdmin на Debian

ClamAV + clamsmtpd + Postfix

Postfix и Postgrey: Проактивный способ фильтрации спама

Музыка MIDI - улучшаем звук

2009-10-25T22:18:00.006+05:00

У меня есть вся музыка из Doom, Doom 2, Doom Final: Plutonia Experiment, Doom Final: TNT в формате MIDI. При проигрывании музыки с помощью timidity, запущенной из консоли я обнаружил, что timidity ругается на отсутствие сэмплов некоторых музыкальных инструментов:

$ timidity BUNNY.MID
Requested buffer size 32768, fragment size 8192
ALSA pcm 'default' set buffer size 30104, period size 3760 bytes
Playing /home/stupin/music/Doom/Doom/BUNNY.MID
MIDI file: /home/stupin/music/Doom/Doom/BUNNY.MID
Format: 1  Tracks: 13  Divisions: 120
No instrument mapped to tone bank 0, program 31 - this instrument will not be heard
No instrument mapped to tone bank 0, program 123 - this instrument will not be heard
((c) 1994 by  Productions.)(MUS2MIDI v0.9 - joakim.erdfelt@swsbbs.com)(prelim DEU Music/Sound project for 'DOOM')(DEU (c) 1993,1994 by Raphael Quinet)(DOOM (c) 1993,1994 by id software)Playing time: ~65 seconds
Notes cut: 0
Notes lost totally: 0

При этом, соответственно, слышны не все инструменты, что портит восприятие музыки. Например в первом эпизоде на третьем уровне вместо музыки фактически слышно один только монотонно повторяющийся синт-бас. Я стал искать музыкальные сэмплы для недостающих инструментов.

Выяснилось, что в Debian есть MIDI-секвенсор fluidsynth, в комплекте с которым идут два банка музыкальных инструментов ф ормате Sound Font 2. Эти банки находятся в пакетах с именами fluid-soundfont-gm и fluid-soundfont-gs. Сам секвенсор мне запустить так и не удалось. Честно говоря мне этого и не особо-то хотелось, моей задачей было услышать полноценную музыку из Doom. Но зато я нашёл каким образом можно прикрутить эти банки к секвенсору timidity. Итак, пройдём весь процесс по шагам.

Сначала установим банки:

aptitude install fluid-soundfont-gm fluid-soundfont-gs

Вносим исправления в настройки freepats - программы, предоставляющей timidity сэмплы инструментов. В файле /etc/timidity/freepats.cfg добавляем следующие строчки (я добавил в начало):

dir /usr/share/sounds/sf2/
soundfont FluidR3_GM.sf2 order=0
soundfont FluidR3_GS.sf2 order=1

И перезапускаем секвенсор:

/etc/init.d/timidity restart

Теперь можно запускать timidity для прослушивания музыки из Doom. Кроме появления недостающих инструментов улучшилось общее качество воспроизведения: исчезли щелчки и искажения звука. Единственным недостатком секвенсора можно считать то, что он требует для своей работы изрядной вычислительной мощности процессора. Загрузка моего 2-гигагерцового Athlon доходила до 30-40%.

Кстати, с помощью timidity можно слушать не только MIDI-файлы. timidity хорошо воспроизводит IT-, STM- и XM-файлы. В таком формате была музыка в недрах Unreal и Unreal Tournament, которую я когда-то из них извлёк. Теперь я могу слушать эту музыку и в Linux!

Музыка в PrBoom

2009-10-17T18:07:00.006+06:00

Продолжая тему запуска старых игр от id Software в Linux, хочу написать о PrBoom. PrBoom - это свободный движок игры Doom. У меня в Debian эта игра запускалась со звуком, но почему-то без музыки. Как оказалось, исправить этот недостаток довольно просто.

Во-первых, ставим пакет timidity:

aptitude install timidity

Во-вторых, вносим в файл /etc/default/timidity следующие изменения:

TIM_ALSASEQ=true

В-третьих, перезапускаем MIDI-секвенсор:

/etc/init.d/timidity restart

В каталоге /dev/ должно появиться устройство midi:

ls -la /dev/midi
crw-rw---- 1 root audio 14, 2 Окт 17 17:29 /dev/midi

Нужно убедиться, что пользователь который будет запускать игру, будет иметь доступ к этому устройству. Для этого пользователя достаточно включить в группу audio и при необходимости завершить сеанс и войти снова.

После всех этих действий prboom всё равно не воспроизводил музыку и я обратился к страницам руководства. После непродолжительного чтения, я узнал что все настройки prboom'а находятся в файле ~/.prboom/prboom.cfg.

Поиск по файлу конфигурации слова music дал следующие две опции: music_card, music_volume.

Опция music_card располагалась под опцией sound_card, но в отличие от неё имела другое значение:

sound_card                   -1
music_card                   0

После того, как я заменил значение опции music_card на -1, музыка заработала.

В игре можно включить использование OpenGL и задать размер экрана (смотрите настройки в меню игры и конфигурационный файл). Спрайты объёмными от этого не станут, но качество картинки станет лучше.

Чтобы поиграть в оригинальный Doom, нужно взять от игры для DOS файл с расширением WAD и указать PrBoom'у использовать его. Например вот так можно запустить первый Doom:

prboom -IWAD DOOM.WAD

Игра хоть и старая, но кто однажды стал её фанатом, тот её никогда не забудет. Я умею играть на сложности Ultra Violence пользуясь только лишь одной клавиатурой. Да и тем, кто её никогда не видел, может понравиться, если не рассматривать её как замену более поздним играм, а относиться к ней как какой-нибудь казуальной игре вроде тетриса или зумы.

Ну и на последок, несколько скриншотов.

FreeDoom:

Doom Ultimate E1M1. Перед входом в первую мясорубку:

Doom Ultimate E1M1. После выхода из мясорубки осталось мало здоровья - или бейся или фоткай:

rtorrent + rutorrent

2009-10-14T14:43:00.006+06:00

В последнее время нахожусь в поисках оптимального torrent-клиента. Когда-то я пользовался transmission-daemon в купе с web-интерфейсом clutch, затем пересел на rtorrent, запущенный в сеансе screen. При необходимости управлял им через ssh.

Недавно снова попробовал свежую версию transmission-daemon. Как оказалось, в свежей версии transmission-daemon web-клиент уже встроен вовнутрь демона. Работает без падений - всё отлично, но хочется рассмотреть по возможности побольше вариантов, чтобы выбрать оптимальный.

Недавно я наткнулся на лестные отзывы о web-интерфейсе rutorrent для rtorrent. Сам интерфейс очень похож на web-интерфейс (и на GUI-интерфейс) программы uTorrent.

web-интерфейс будет обслуживаться web-сервером lighttpd, а rtorrent будет запущен в screen-сеансе. Для работы web-интерфейса нам понадобится PHP, а для настройки ограничения доступа - утилита htdigest из пакета apache2-utils. Если вы не хотите её устанавливать, то вместо неё можете воспользоваться следующим сценарием lightdigest.sh.

Поставим необходимое нам:

aptitude install rtorrent screen lighttpd php5-cgi apache2-utils

Для начала я создал простенький файл конфигурации ~/.rtorrent.rc для rtorrent в домашнем каталоге пользователя, от имени которого будет работать rtorrent:

port_range = 6925-6925
directory = /home/rtorrent
session = /home/rtorrent/.rtorrent-session/
load_start = /home/rtorrent/torrents/*
scgi_port = 127.0.0.1:5000

port_range - опция задаёт диапазон TCP-портов, который будет прослушиваться в ожидании подключения других torrent-клиентов и будет анонсироваться трекерам. В данном случае это всего один TCP-порт 6925. Если его не указать, то при каждом запуске rtorrent будет слушать и анонсировать случайный диапазон портов. Задаю я этот параметр по одной простой причине - чтобы потом проковырять в фаерволле соответствующую дырочку.

directory - опция задаёт каталог, в который будет производиться закачка.

session - опция задаёт каталог, в который будут помещаться активные торренты. При перезапуске rtorrent эти торренты автоматически будут возобновлены.

load_start - задаёт имена торрент-файлов, которые необходимо добавить к текущему сеансу.

scgi_port - настраивает прослушивание управляющего TCP-порта. Управление происходит по протоколу XML-RPC.

Теперь настроим lighttpd, добавим в файл /etc/lighttpd/lighttpd.conf следующие настройки:


server.modules   += ( "mod_fastcgi" )

fastcgi.server    = ( ".php" =>
        ((
                "bin-path" => "/usr/bin/php5-cgi",
                "socket" => "/tmp/php.socket",
                "max-procs" => 2,
                "idle-timeout" => 20,
                "bin-environment" => (
                        "PHP_FCGI_CHILDREN" => "1",
                        "PHP_FCGI_MAX_REQUESTS" => "10000"
                ),
                "bin-copy-environment" => (
                        "PATH", "SHELL", "USER"
                ),
                "broken-scriptfilename" => "enable"
        ))
)

server.modules += ( "mod_scgi" )

scgi.server = (
                "/RPC2" =>
                  ( "127.0.0.1" =>
                    (
                      "host" => "127.0.0.1",
                      "port" => 5000,
                      "check-local" => "disable",
                      "disable-time" => 0,
                    )
                  )
              )

server.modules                += ( "mod_auth" )

auth.backend                   = "htdigest"
auth.backend.htdigest.userfile = "/etc/lighttpd/htdigest"

auth.require = ( "/RPC2" =>
        (
                "method" => "digest",
                "realm" => "rTorrent RPC",
                "require" => "user=rtorrent"
        )
)

Этот фрагмент включает и настраивает три плагина lighttpd:
1. fastcgi - для обслуживания php-сценариев web-интерфейса,
2. scgi - для проксирования обращений к URL'у "/RPC2" на локальный TCP-сокет 5000,
3. auth - для ограничения доступа к этому URL'у по имени пользователя и паролю.

С помощью утилиты htdigest создадим файл с паролем для пользователя rtorrent и области "rTorrent RPC":

htdigest -c /etc/lighttpd/htdigest "rTorrent RPC" rtorrent

Если в файле паролей уже есть какие-то записи, то предыдущую команду выполним без опции "-c", чтобы файл не был перезаписан, а был только лишь дополнен новой записью. Соответственно, если вы уже использовали авторизацию по htdigest, файл паролей может находиться в другом месте, в том куда вы его до этого положили. В таком случае нужно поправить путь к файлу паролей в опции auth.backend.htdigest.userfile, указанной в фрагменте /etc/lighttpd/lighttpd.conf выше.

Теперь пришло время скачать со страницы http://code.google.com/p/rutorrent/downloads/list архив rtorrent с файлами web-интерфейса rutorrent. Остальные перечисленные на этой странице файлы являются плагинами к rutorrent.

wget http://rutorrent.googlecode.com/files/rtorrent-2.7.tar.gz

Создадим каталог для размещения файлов из архива:

cd /var/www
mkdir rutorrent

И распакуем архив в него:

tar xzvf rtorrent-2.7.tar.gz -C /var/www/rutorrent

Видим, что файлы распаковались в каталог /var/www/rutorrent/rtorrent. Мне это не понравилось, я переместил файлы так, как и было изначально мной задумано:

cd /var/www/rutorrent
mv rtorrent/* .
rmdir rtorrent

Теперь дадим приложению права на запись в каталоги torrents и settings:

chown www-data:www-data torrents settings

Заходим по адресу http://ваш-IP/rutorrent, проходим аутентификацию и изучаем интерфейс:

Примечания:
1. При работе web-интерфейса выяснилось, что он неплохо умеет ронять rtorrent.
2. Пищу для дальнейших размышлений на тему улучшения системы даёт сообщение web-интерфейса: "rTorrent скомпилирован с некорректной версией библиотеки xmlrpc-c, без поддержки 8-байтовых целых. Версия библиотеки должна быть >= 1.11. Часть функциональности будет недоступна."
3. Заметка пока-что оставляет за кадром вопросы автозапуска rtorrent в сеансе screen, возможно в скором времени я доберусь до этого вопроса.
4. Возможно я пропустил установку и настройку каких-то жизненно важных для работы связки пакетов.

Список использованных материалов:
1. rutorrent - главная страница
2. http://libtorrent.rakshasa.no/wiki/RTorrentXMLRPCGuide
3. Lighttpd - mod_fastcgi - настройки модуля fastcgi один в один совпадают с настройками модуля sgci, поэтому документацию на модуль scgi нужно смотреть тоже здесь.

PostfixAdmin на Debian

2009-09-25T11:22:00.006+06:00

Перевод статьи: PostfixAdmin on Debian

Postfix Admin - это web-интерфейс для настройки пользователей почтового сервера на основе Postfix и MySQL.

Он позволяет создавать пользователей и псевдонимы в пределах домена.

Этот урок рассматривает установку Postfix Admin, Postfix в связке с MySQL и включенной SMTP-аутентификацией, и Dovecot (для POP3/POP3S/IMAP/IMAPS) в связке с MySQL.

Не смотря на то, что этот урок был проверен на Debian Etch, настройка Postfix/MySQL одинакова и должна правильно работать на большинстве дистрибутивов.

Если вы хотите настроить фильтрацию почты каждого пользователя от спама и вирусов, обратитесь к следующему уроку: http://bliki.rimuhosting.com/space/knowledgebase/linux/mail/postfix+with+amavis+and+mysql

Postfixadmin теперь есть в официальных репозиториях Debian и Ubuntu. Просто воспользуйтесь apt-get для его установки:

apt-get install postfixadmin

ЗАМЕЧАНИЕ: Пакет не попал в репозитории Ubuntu. Просто скачайте файл со страницы http://sourceforge.net/project/showfiles.php?group_id=191583&package_id=225300 и выполните:
dpkg -i postfixadmin_2.2.0_all.deb

Postfixadmin будет установлен в каталог /usr/share/postfixadmin/, также будут установлен файл конфигурации /etc/postfixadmin/config.inc.php, а в конфигурацию apache будет добавлен дополнительный псевдоним посредством файла /etc/apache2/conf.d/postfixadmin:

Alias /postfixadmin /usr/share/postfixadmin

Если вы решите воспользоваться установкой из архива с исходными текстами, это всё можно сделать вручную.

Настроим Postfix Admin в соответствии с вашей спецификой (например, зададим подходящий пароль к базе данных, настроим домен по умолчанию и т.п.)

Отредактируем файл /usr/share/postfixadmin/config.inc.php и укажем следующее:

vi config.inc.php
[...]
$CONF['configured'] = true;
$CONF['postfix_admin_url'] = 'http://ваш-домен.ru/postfixadmin';
$CONF['database_type'] = 'mysql';
$CONF['database_host'] = 'localhost';
$CONF['database_user'] = 'postfixadmin';
$CONF['database_password'] = 'SecretPassword!';
$CONF['database_name'] = 'postfix';
$CONF['domain_path'] = 'YES';
$CONF['domain_in_mailbox'] = 'NO';
$CONF['encrypt'] = 'cleartext';

replace "change-this-to-your.domain.tld" "ваш-домен.ru" -- /usr/share/postfixadmin/config.inc.php

Создайте базу данных и пользователя в mysql:

shell> mysql -u root -p
mysql> create database postfix;
mysql> grant all privileges on postfix.* to 'postfixadmin'@'localhost' identified by 'SecretPassword!';
mysql> flush privileges;
mysql> q

Откройте браузер и перейдите по ссылке http://ваш-домен.ru/postfixadmin/ или http://ваш-IP/postfixadmin/. Будет предложено запустить процесс настройки. Удостоверьтесь, что все проверки установщика сообщают 'OK'.

Рекомендуется удалить setup.php.

Теперь перейдите по ссылке http://ваш-домен.ru/postfixadmin/admin. Вы должны получить приглашение. Войдите с использованием почтового ящика администратора, заведённого ранее на странице настройки. Отсюда вы можете добавлять домены, почтовые ящики и т.п. Но Postfix этого не увидит. Нам нужно установить Postfix и настроить его.

Установим Postfix и SASL2 с поддержкой MySQL

apt-get install postfix-mysql postfix-tls libsasl2-modules-sql libsasl2-modules

Добавим в файл /etc/postfix/main.cf следующие строки:

virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf
virtual_gid_maps = static:106
virtual_mailbox_base = /home/vmail
virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_maps.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf
virtual_minimum_uid = 106
virtual_transport = virtual
virtual_uid_maps = static:106
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated,
    reject_non_fqdn_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient,
    reject_unauth_destination, reject_unauth_pipelining, reject_invalid_hostname
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous

ЗАМЕЧАНИЕ: UID и GID равные 106 на вашей системе могут быть другими. Посмотрите на UID и GID пользователя postfix (или vmail) в файле /etc/passwd и укажите их. Например, на моём сервере:
# grep postfix /etc/passwd
postfix:x:102:105::/var/spool/postfix:/bin/false
--> uid: 102; gid: 105

Создайте следующие файлы в каталоге /etc/postfix/:
mysql_virtual_alias_maps.cf

user = postfix
password = SecretPassword!
hosts = localhost
dbname = postfix
table = alias
select_field = goto
where_field = address

mysql_virtual_domains_maps.cf

user = postfix
password = SecretPassword!
hosts = localhost
dbname = postfix
table = domain
select_field = domain
where_field = domain
additional_conditions = and backupmx = '0' and active = '1'

mysql_virtual_mailbox_maps.cf

user = postfix
password = SecretPassword!
hosts = localhost
dbname = postfix
table = mailbox
select_field = maildir
where_field = username

pwcheck_method: auxprop
mech_list: PLAIN LOGIN
auxprop_plugin: sql
sql_verbose: yes
sql_engine: mysql
sql_hostnames: localhost
sql_user: postfix
sql_passwd: SecretPassword!
sql_database: postfix
sql_select: select password from mailbox where username = '%u@%r'

Создайте структуру каталогов, включая каталог для первого домена. Вы так же можете войти в PostfixAdmin и создать учётную запись 'test' для домена ваш-домен.ru.

mkdir -p /home/vmail/yourdomain.com/test
chmod -R 770 /home/vmail
chown -R postfix:postfix /home/vmail/

Установим Dovecot с поддержкой MySQL

apt-get install dovecot-common dovecot-imapd dovecot-pop3d

Отредактируем файл /etc/dovecot/dovecot-mysql.conf с настройками Dovecot/MySQL, воспользовавшись следующими опциями:

driver = mysql
connect = dbname=postfix user=postfixadmin host=localhost password=SecretPassword!
default_pass_scheme = PLAIN
password_query = SELECT password FROM mailbox WHERE username = '%u'
user_query = SELECT maildir, 106 AS uid, 106 AS gid FROM mailbox WHERE username = '%u'

Теперь настроим Dovecot на использование MySQL, задав следующие опции в файле /etc/dovecot/dovecot.conf:

protocols = imap imaps pop3 pop3s
disable_plaintext_auth = no
log_timestamp = "%Y-%m-%d %H:%M:%S "
mail_location = maildir:/home/vmail/%d/%n
mail_access_groups = mail
first_valid_uid = 106
first_valid_gid = 106
protocol imap {
}
protocol pop3 {
    pop3_uidl_format = %08Xu%08Xv
}
auth default {
    mechanisms = digest-md5 plain
    passdb sql {
        args = /etc/dovecot/dovecot-mysql.conf
    }
    userdb sql {
        args = /etc/dovecot/dovecot-mysql.conf
    }
    user = root
}

Перезапустим Dovecot и Postfix и проверим их.

По завершении вы должны получить возможность добавлять новые домены, почтовые ящики, псевдонимы с помощью PostfixAdmin и получить правильно работающую систему, включая SMTP-аутентификацию. Отметим, что для работы SMTP-аутентификации saslauthd не требуется.

Примечание переводчика:

1. В репозитории Debian Lenny и выше на момент перевода готовый пакет PostfixAdmin обнаружен не был.
2. После редактирования файла /etc/postfixadmin/config.inc.php нужно перейти не по ссылке http://ваш-домен.ru/postfix/, а по ссылке http://ваш-домен.ru/postfix/setup.php
3. Чтобы http://ваш-домен.ru/postfix/setup.php не выдавал ошибки, нужно поставить пакет php5-imap и включить использование модуля imap в PHP.

Как настроить клиент последовательной консоли

2009-09-18T15:23:00.003+06:00

Перевод статьи: How-To set up a serial console client

В двух предыдущих статьях я остановился на настройке последовательной консоли в Ubuntu и Debian.

В этом уроке мы покажем как подключиться к этой последовательной консоли с помощью другого компьютера и программы minicom.

minicom - это программа для связи через последовательные устройства, которая используется для подключения к последовательной консоли. После нескольких этапов настройки, мы сможем получить доступ через SSH или напрямую через виртуальную консоль.

1. Перво-наперво...

Нам нужно удостовериться, что два компьютера соединены с помощью так называемого нуль-модемного кабеля. Другие типы последовательных кабелей работать не будут!

2. Установка Minicom

Для minicom имеются готовые пакеты в Debian и Ubuntu, так что нам нужно лишь выполнить команду:

# apt-get install minicom

3. Настройка minicom

В этом уроке последовательный порт используется для подключения к последовательной консоли на ttyS0. Вы можете получить список обнаруженных ядром устройств с помощью команды:

$ dmesg | grep ttyS
[ 12.282348] serial8250: ttyS0 at I/O 0x3f8 (irq = 4) is a 16550A
[ 12.282928] 00:0c: ttyS0 at I/O 0x3f8 (irq = 4) is a 16550A

Теперь запустим minicom от имени пользователя root:

$ sudo minicom

Нажмите Ctrl-A O чтобы попасть в настройки последовательного порта и нажмите Enter, введите A и что устройство указывает на /dev/ttyS0, затем нажмите Enter, чтобы подтвердить.

Нажмите E и удостоверьтесь, что здесь стоит значение 115200, нажмите Enter, чтобы подтвердить. Снова нажмите Enter, чтобы вернуться к предыдущему экрану и, наконец, перейдите к пункту настройки "Save setup as dfl", нажмиет Enter чтобы подтвердить, Esc чтобы вернуться назад к первому экрану и нажмите Ctrl-A Q чтобы выйти.

Теперь перезапустите:

$ sudo minicom

И вы должны подключиться!

Как настроить консоль на последовательном порту в Ubuntu

2009-09-18T14:50:00.003+06:00

Перевод статьи: How-To set up a serial console on Ubuntu

Этот урок проведёт вас через этапы, необходимые для настройки консоли на последовательном порту в Ubuntu Linux.

В отличие от других дистрибутивов, Ubuntu использует upstart вместо sysvinit и поэтому есть некоторые отличия этого урока от большинства уроков, которые вы можете найти в Интернете, описывающих настройку последовательной консоли.

Последовательная консоль становится необходимой, если она запущена на "безголовом" сервере (то есть не имеющим клавиатуры и экрана) или если вы не можете подключиться к серверу из-за неполадок в сети.

В этом уроке мы настроим последовательную консоль на сервере, компьютере к которому мы хотим получить доступ. Настройка клиента последовательной консоли описана в другой статье.

1. Проверка последовательных устройств

Чтобы найти устройства, доступные на компьютере, вы можете запустить:

$ dmesg | grep tty
serial8250: ttyS0 at I/O 0x3f8 (irq = 4) is a 16550A
00:0c: ttyS0 at I/O 0x3f8 (irq = 4) is a 16550A

Из выведенного можно определить, что имеется один последовательный интерфейс (/dev/ttyS0). Возможно на вашем компьютере будет более одного интерфейса. В этом уроке будем считать, что мы используем первое устройство (ttyS0). Если вы используете второе устройство, вам нужно заменить ttyS0 на ttyS1.

2. Настройка последовательной консоли на сервере

На сервере мы настроим:
* Последовательную консоль на ttyS0
* Отправку загрузочных сообщений на последовательную консоль
* Заставим Grub выводить сообщения на последовательную консоль

2.1. Последовательная консоль

Для настройки последовательной консоли нам потребуется создать новый файл /etc/event.d/ttyS0, чтобы порождать getty на последовательном устройстве. getty позаботится о выводе приглашения для ввода имени пользователя и пароля.

Отредактируем /etc/event.d/ttyS0 и добавим:

# ttyS0 - getty
#
# Служба сопровождает getty на ttyS0 начиная с момента
# запуска системы и до её остановки.
start on runlevel 2
start on runlevel 3
start on runlevel 4
start on runlevel 5
stop on runlevel 0
stop on runlevel 1
stop on runlevel 6
respawn
exec /sbin/getty -L 115200 ttyS0 vt102

Чтобы разрешить вход пользователю root (если вы включили учётную запись пользователя root на вашем компьютере) через последовательную консоль, вам нужно отредактировать файл /etc/securetty и добавить:

ttyS0

2.2. Заставим grub выводить сообщения в ttyS0

grub можно настроить на вывод сообщений в последовательную консоль. Отредактируйте меню grub и добавьте:

serial --unit=0 --speed=115200 --word=8 --parity=no --stop=1
terminal --timeout=10 serial console

В разделе до различных ядер. Это приведёт к тому, что grub будет отображаться на последовательной консоли и вы сможете управлять grub через последовательную консоль или загружаться с использованием другого ядра.

Если используется ttyS1, замените --unit=0 на --unit=1.

Также, чтобы сообщения о загрузке выводились на последовательную консоль, вам нужно добавить к строке вашего ядра следующее:

console=ttyS0,115200n8 console=tty0

Тогда строка ядра будет выглядеть следующим образом:

kernel /boot/vmlinuz-2.6.24-16-generic root=UUID=uuuuuu-iii3-dddd-uuuu-iiiiiddddd
  ro quiet splash console=ttyS0,115200n8 console=tty0

Теперь, при следующей перезагрузке вы сможете подключиться прямо к вашему компьютеру через последовательную консоль!