FreeBSD

pingstat для устройства мониторинга ping2

Есть такое устройство ping2 - http://www.equicom.dp.ua/ping/ping2/ping2.htm
к которому можно подключать датчики, работающие по принципу замыкания контактов, а устройство будет отсылать udp паеты с информацией о состоянии датчиков на сервер с выполняющейся программой pindstat, которую можно взять с сайта производителя под различные linux дистрибутивы и FreeBSD. Программа формирует веб страницу с таблицей состояния датчиков. Кроме того, каждое изменение состояния датчика инициирует запуск скрипта, который может отсылать сообщения, посылать snmp trap сообщения для дальнейшей обработки и т.д.

puppet

puppet - система управления конфигурациями unix машин
установка:
https://docs.puppet.com/puppetserver/2.6/install_from_packages.html#red-...
https://docs.puppet.com/puppet/latest/reference/puppet_collections.html
Простейшие варианты установки - puppetserver для сервера и puppet-agent для клиентов(нодов).
Например, для установки на Centos6 puppet-agent выполнить:

После установки:
https://docs.puppet.com/puppet/3.8/reference/post_install.html

Настройка бэкапа на VDS с помощью rsync

Резервное копирование экономит время, нервы и средства, поэтому для себя сейчас использую следующую схему резервного копирования на своих серверах.
Что нужно резервировать, - базы mysql, файлы веб сервера, настройки сервера, файлы пользователей, файлы рута, логи, и т.д., каждый решает сам

DKIM

Попалась хорошая статья с описанием технологии DKIM
Цитата:

Принцип работы

DKIM основывается на стандартном асинхронном шифровании.
5 основных этапов работы DKIM:

    Для каждого сервера генерируется пара (или несколько пар) из закрытого и открытого ключей шифрования.
    Закрытый ключ помещается на сервере отправителя и используется для создания соответствующих DKIM-заголовков для всей исходящей почты клиента.
    Открытый ключ помещается владельцем домена в его файл DNS-зоны в виде специальной TXT-записи, и она становится доступна для всех желающих.

Ротация логов OpenVPN под FreeBSD

OpenVPN под FreeBSD по умолчанию пишет логи через syslogd в /var/log/messages.
Если настроить передачу логов в файл с помощью директивы в openvpn.conf

log /var/log/openvpn/openvpn.log
или
log-append  /var/log/openvpn/openvpn.log
,то логи будут записываться в указанные файлы, но у меня не получилось в этом случае настроить ротацию логов. Если кто подскажет, буду признателен, а пока сделал так:
в /etc/syslog.conf
*.err;kern.warning;auth.notice;mail.crit /dev/console
## Обо всем кроме openvpn писать сюда
!-openvpn

Создание самоподписного сертификата openssl

Для создания самоподписного сертификата с помощью OpenSSL:

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout server.key -out server.crt

openssl: основной инструмент командной строки для создания и управления сертификатами, ключами и другими файлами OpenSSL.

req: This subcommand specifies that we want to use X.509 certificate signing request (CSR) management. The "X.509" is a public key infrastructure standard that SSL and TLS adheres to for its key and certificate management. We want to create a new X.509 cert, so we are using this subcommand.

Postgrey для остеивания спама

Postgrey - сервер, использующий грейлистинг для Postfix.

Ставится под FreeBSD из портов. Очень хорошее описание настройки в

man 1 postgrey

После установки добавляем что-то вроде этого в /usr/local/etc/postfix/main.cf:
smtpd_recipient_restrictions =
 permit_mynetworks
 ...
 reject_unauth_destination
 check_policy_service inet:127.0.0.1:10023

В файл /usr/local/etc/postfix/postgrey_whitelist_recipients помещаем список пользователей для которых не нужен грейлистинг, см. man postgrey. Внимательно смотрим man если нужно настроить postgrey более тонко.

Уведомление на email при логине на сервер по ssh

Решил настроить отсылку уведомления на email админу в случае если на сервер кто-то залогинился по ssh. Погуглив вопрос, нашел метод с использованием PAM, если точнее, с использованием модуля pam_exec.so, который позволит выполнить скрипт, отсылающий уведомление.
Суть метода:
в файле /etc/pam.d/sshd секцию

# session
session         required        pam_permit.so
приводим к виду
# session
session         required        pam_permit.so
session         optional        pam_exec.so /root/scripts/pam/ssh.login.email.notify.sh

Ejabberd 14.12 на FreeBSD

Для настройки оповещений в системе мониторинга Zabbix решил использовать jabber, поскольку он является штатным средством оповещения.
Итак, имеется сервер FreeBSD-9.3. Ставим на него из портов jabber сервер - ejabberd. Настройки сделаем простейшие, будем использовать шифрование для соединения с клиентами.
Приступаем к установке.

portsnap fetch update
portmaster -D -b --force-config net-im/ejabberd
что установит ejabberd со всеми зависимостями, при этом в начале процесса будут вызваны диалоговые окна конфигурации опций сборки портов.

Выход в интернет через впн туннель

В некоторых ситуациях требуется осуществить выход в интернет через впн туннель.
Это может пригодиться, например, при необходимости подменить свой ip адрес.
Если имеется в наличии сервер, то можно воспользоваться известным OpenVPN. Чтобы сделать маршрутом по умолчанию для клиентов маршрут через впн сервер, нужно добавить в конфиг сервера

push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"

см. https://openvpn.net/index.php/open-source/documentation/howto.html
http://allanmcrae.com/2013/09/routing-traffic-with-openvpn/

Ленты новостей