Обновление сертификатов мастера Netbackup на клиентах

После перегенерации сертификатов мастер-сервера Netbackup клиентам надо забрать с него новые CA и сертификаты.

Linux:

/usr/openv/netbackup/bin/nbcertcmd  -getCACertificate -server masterservername
/usr/openv/netbackup/bin/nbcertcmd  -getCertificate -force -server masterservername

Windows:

"c:\Program Files\Veritas\NetBackup\bin\nbcertcmd.exe" -getCACertificate -server masterservername
"c:\Program Files\Veritas\NetBackup\bin\nbcertcmd.exe" -getCertificate -force -server masterservername
Рубрика: Без рубрики | Метки: , , | Оставить комментарий

Часы в bash

В консоли bash в верхнем правом углу можно вывести часы, работающие в реальном времени 🙂

while sleep 1;do tput sc;tput cup 0 $(($(tput cols)-29));date;tput rc;done &
Рубрика: Без рубрики | Метки: | Оставить комментарий

Netbackup: показать дату протухания копии

Дата протухания конкретной копии:

 bpimagelist -U -backupid server_1234561748261 

Дата протухания всех дубликатов копии:

bpimagelist -L -backupid server_1234561748261 | awk '/Backup Time/ {print} /^ Copy number/ {print} /^ Expiration Time/ {print}'
Рубрика: Без рубрики | Метки: , | Оставить комментарий

fail2ban jail для Zimbra Collaboration

Добавить в jail.conf:

#Zimbra

[zimbra-account]
enabled = true
filter = zimbra
action = firewallcmd-allports[name=zimbra-account]
sendmail[name=zimbra-account, dest=hiddenemailaddress.com]
logpath = /opt/zimbra/log/mailbox.log
bantime = 600
maxretry = 10

[zimbra-audit]
enabled = true
filter = zimbra
action = firewallcmd-allports[name=zimbra-audit]
sendmail[name=Zimbra-audit, dest=hiddenemailaddress.com]
logpath = /opt/zimbra/log/audit.log
bantime = 600
maxretry = 10

[zimbra-recipient]
enabled = true
filter = zimbra
action = firewallcmd-allports[name=zimbra-recipient]
sendmail[name=Zimbra-recipient, dest=hiddenemailaddress.com]
logpath = /var/log/zimbra.log
findtime = 604800
bantime = 172800
maxretry = 5

[postfix]
enabled = true
filter = postfix
action = firewallcmd-multiport[name=postfix, port=smtp, rotocol=tcp]
sendmail-buffered[name=Postfix, dest=hiddenemailaddress.com]
logpath = /var/log/zimbra.log
bantime = -1
maxretry = 5
Рубрика: Без рубрики | Метки: , , | Оставить комментарий

Поиск старых файлов с их последующим удалением

Ищем и сразу удаляем файлы старше 65 дней:

find /usr/openv/tmp/ -atime +65 -exec rm {} \

Или так:

find /usr/openv/tmp/ -atime +65 -delete   
Рубрика: Без рубрики | Метки: | Оставить комментарий

fail2ban не добавляет вывод в logwatch

Если информация о банах/разбанах не попадает в ежедневный отчёт logwatch, то в конфиге /usr/share/logwatch/scripts/services/fail2ban надо найти и поправить соответствующий параметр (ориентировочно это строка 81).

Было:

    } elsif ( my ($Service,$Action,$Host) = ($ThisLine =~ m/WARNING:?\s\[?(.*?)[]:]?\s(Ban|Unban)[^\.]* (\S+)/)) {

Надо так:

    } elsif ( my ($Service,$Action,$Host) = ($ThisLine =~ m/NOTICE:?\s+\[?(.*?)[]:]?\s(Ban|Unban)[^\.]* (\S+)/)) { 

После чего перечитываем конфиг и тестируем изменения в отчёте:

logwatch --service fail2ban
Рубрика: Без рубрики | Метки: , | Оставить комментарий

Принудительное слияние снапшотов в Hyper-V

Get-VMSnapshot -VMName "machinename" | Remove-VMSnapshot  
Рубрика: Без рубрики | Метки: | Оставить комментарий

Firefox SSL DH error

Современные версии Firefox при работе по ssl по протоколу Диффи-Хеллмана требуют ключ не короче 2048 бит. Однако, например, на устаревшем оборудовании (роутеры и т.п.) ключи в прошивке могут быть короче, и можно поймать ошибку браузера sl_error_weak_server_ephemeral_dh_key. Чтобы её обойти (фактически разрешить слабое шифрование), надо через about:config в Firefox отредактировать параметр security.ssl3.dhe, выставив его значение в false, и перезапустить браузер.

Рубрика: Без рубрики | Метки: | Оставить комментарий

Netbackup: освобождение залипшей в EMM ленты

Кильнуть на мастер-сервере зависший джоб:

kill -9 jobpid

Получить данные по залипшей ленте:

/usr/openv/netbackup/bin/admincmd/nbrbutil -dump |grep mediaid |grep MdsAllocation

(где mediaid — ID залипшей ленты, например MT4432)

В выводе найти значение allocationKey, например:

 allocationKey=51367247

Освободить ленту по этому значению:

/usr/openv/netbackup/bin/admincmd/nbrbutil -releaseMDS  
51367247

Убедиться, что лента освободилась (должен быть пустой вывод):

/usr/openv/netbackup/bin/admincmd/nbrbutil -dump |grep mediaid |grep MdsAllocation
Рубрика: Без рубрики | Метки: , | Оставить комментарий

httpd и selinux

Если на апаче настроен mod_proxy с проксированием на другой хост и нестандартный порт, то со включенным selinux можно словить ошибки вида:

[Sun Jun 25 17:58:38.253688 2017] [proxy:error] [pid 12187]  (13)Permission denied: AH00957: HTTP: attempt to connect to  192.168.1.10:3000 (192.168.1.10) failed
[Sun Jun 25 17:58:38.253751 2017] [proxy:error] [pid 12187] AH00959: ap_proxy_connect_backend disabling worker for (192.168.1.10) for 60s
[Sun Jun 25 17:58:38.253762 2017] [proxy_http:error] [pid 12187] [client 176.59.45.200:53019] AH01114: HTTP: failed to make connection to backend: 192.168.1.10

Исправить можно, разрешив для httpd исходящие соединения:

 /usr/sbin/setsebool -P httpd_can_network_connect 1

Если при попытке открыть на веб-сервере страницу вываливается ошибка 403, и в логе errors_log присутствует ошибка с кодом AH00132 вида:

[Wed Jun 28 10:26:13.705183 2017] [core:error] [pid 49325]  (13)Permission denied: [client 176.59.50.62:56473] AH00132: file  permissions deny server access:  /cat/www/ramses2000dotnet/test/pict1.jpg 

то сначала надо убедиться, что на каталоге с веб-страницей выставлены корректные права:

 chmod -R 644 /cat/www/ramses2000dotnet/

Если не помогает, то надо проверить расширенные права:

[10:27:48] root@web ~# ls -laZ cat/www/
drwxr-xr-x. apache apache system_u:object_r:default_t:s0   .
drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 ..
drwxr-xr-x. apache apache system_u:object_r:httpd_sys_rw_content_t:s0 files
drwxr-xr-x. apache apache system_u:object_r:default_t:s0   ramses2000dotnet

В данном случае видно, что для папки ramses2000dotnet указан умолчальный контекст selinux. Надо выставить правильный контекст, разрешающий работать с этой папкой веб-серверу:

 chcon -R -v -t httpd_sys_rw_content_t /cat/www/ramses2000dotnet/

Проверяем:

[10:28:37] root@web ~# ls -laZ /data/www/ |grep ramses2000dotnet
drwxr-xr-x. apache apache system_u:object_r:httpd_sys_rw_content_t:s0 ramses2000dotnet
Рубрика: Без рубрики | Метки: , | Оставить комментарий