Posts in 2008

Fedora Linux Security Guide

Руководство Security-Enhanced Linux User Guide, про которое я писал ранее, уже сменило статус с черновика на готовый документ, а вчера Eric Christensen опубликовал черновой вариант Fedora Linux Security Guide (Bugzilla Bug). В целом завершить работу планируется к выходу Fedora 11, а сейчас создатели документа с удовольствием выслушают отклики/исправления/замечания от сообщества пользователей и разработчиков Fedora. HTML-версия документа тут.

Книги по мониторингу и настройке производительности

На ресурсе IBM Redbooks нашел несколько интересных для себя книг в формате PDF по настройке производительности операционных систем.

Tuning IBM System x Servers for Performance. Рассмотрены вопросы настройки производительности Windows, Linux и ESX Server на System x. Естественно, часть информации не специфична именно для System x. Более тысячи страниц, датировано февралем 2007 года

Tuning Red Hat Enterprise Linux on IBM eServer xSeries Servers. Помимо настройки непосредственно операционной системы, затронуты вопросы производительности Apache, LDAP, серверов баз данных. Июль 2005, сто пятьдесят страниц.

Ресурсы Russian Fedora

Заработали Bugzilla и форум. Страница “Как присоединиться” с которой можно подписаться на списки рассылки. К следующему четвергу в wiki должны быть списки To Do по основным направлениям, и можно будет брать и раздавать задачи :)

Создаём сервер сетевой установки Fedora/RHEL

С разрешения редакции размещена моя статья из 11/2008 номера журнала “Системный администратор”:

Дистрибутив Fedora использует для установки весьма мощную и многофункциональную программу Anaconda, поддерживающую различные режимы работы и сценарии инсталляции. Вместе с рядом других технологий, в частности Spacewalk-сервером, вы можете значительно облегчить процесс развертывания и обслуживания вашей Linux-инфраструктуры.

Однако сегодня мы оставим Spacewalk-сервер в стороне и рассмотрим, как можно автоматизировать самую начальную стадию жизненного цикла серверов/рабочих станций – их развертывание. При этом в процессе установки мы постараемся обойтись без вмешательства оператора при помощи так называемого сервера сетевой установки. Для организации такого сервера мы используем следующие технологии:

Построение HA-кластера с использованием RHCS и GFS в RHEL 5

Цель поста - продемонстрировать создание тестовой конфигурации кластера высокой доступности с использованием Red Hat Cluster Suite и кластерной файловой системы Global File System.

При создании HA-кластера используем следующее ПО/технологии. Все они являются полностью открытыми и для них доступен исходный код:

- Red Hat Enterprise Linux Advanced Platform 5.1
-- Red Hat Cluster Suite (в том числе web-интерфейс Conga, qdiskd и clvmd);
-- Global File System;
-- udev.

Вместо RHEL можно использовать CentOS, Scientific Linux и другие подобные.

Полная линейка курсов RHCA в России

Подписав соглашение с компанией Red Hat, Инвента стала первым учебным центром, авторизованным для проведения курсов RHCA на территории России и Казахстана.

Теперь и в России появилась возможность подготовить специалистов, чья квалификация позволит профессионально спроектировать и успешно развернуть в масштабах крупной корпоративной IT-инфраструктуры самые сложные архитектурные решения на базе Red Hat Enterprise Linux. Наличие в штате компании специалистов уровня RHCA гарантирует максимальную отдачу от внедрения таких продуктов, как RHN Satellite Server, Directory Server, Certificate System, Cluster Suite, Global File System.

Виртуализация: Red Hat vs Hyper-V vs VMWare

Краткое сравнение с точки зрения функций в таблицах.

Red Hat и Hyper-V:

К картинке можно добавить, что с точки зрения гостевых ОС, в Hyper-V поддерживаются только Windows и SLES 10 от Novell, а что касается Red Hat Enterprise Linux virtualization, то поддерживаются как Windows, так и Linux и UNIX-системы (включая NetBSD, FreeBSD и Solaris).

Red Hat и VMWare:

Выход Fedora 10

25 ноября 2008 года выходит десятая версия дистрибутива Fedora под кодовым названием “Cambridge”.

Основные технологические улучшения:

NetworkManager — В NetworkManager появилась возможность создания общих соединений, что позволяет использовать систему с установленной Fedora в качестве общего хаба. При наличии единственного проводного или беспроводного подключения на втором беспроводном сетевом интерфейсе за несколько щелчков мыши пользователь может создать новую беспроводную ad-hoc сеть. Таким образом находящиеся вблизи устройства могут использовать данную сеть для доступа в Интернет.

“День рождения” Russian Fedora в МИФИ (дополнение о respin)

Я не хотел озвучивать ответ на вопрос, который волновал многих, узнавших о проекте Russian Fedora, и узурпировать право рассказать о Fedora Respin у Аркадия Шейна. Поэтому я просто дам ссылку на сообщение в его блоге.

“День рождения” Russian Fedora в МИФИ

Сегодня в МИФИ состоялись пресс-конференция и мероприятия, посвященные запуску проекта Russian Fedora. Десятая версия Fedora выходит через пять дней. К моменту ее выхода будет публично доступна инфраструктура (CMS, wiki, система контроля версий), относящаяся непосредственно к нашей локальной Russian Fedora. На сайте проекта и будет более подробно рассказано о конкретных шагах, которые уже сделаны и которые еще будут сделаны в ближайшее время. Это и локальный respin, и предстоящие мероприятия в ВУЗах, и Install Party, etc. Конечно, обо всем я постараюсь писать в этом блоге. Ну а сегодня есть силы только выложить фото :) После официальной части у нас было достаточно времени на живое общение за кружечкой Гиннеса с Максом Спеваком, который, нужно отметить, в России впервые :)

Настройка Device-Mapper Multipath в RHEL 5

В данном посте я хочу описать шаги для настройки Multipath при помощи dm-multipath. Device Mapper Multipathing (DM-Multipath) позволяет “собрать” несколько маршрутов ввода/вывода между сервером и дисковым массивом в единое целое, и рассматривать доступный по нескольким путям массив как одно мета-устройство. Например, если сервер с двумя двух-портовыми HBA подключен к одному и тому же массиву, то сервер, в самом простейшем случае, будет “видеть” четыре устройства /dev/sd{a,b,c,d}. При помощи dm-multipath можно собрать из них агрегирующее все четыре пути мета-устройство /dev/dm-N, обеспечив прозрачную для операционной системы и приложений конфигурацию, отказоустойчивую в случае выхода из строя HBA, кабеля или коммутатора (если каждый HBA подключен через свой коммутатор).

Выступление Макса Спевака (Fedora Project) в МИФИ 20 ноября

Я уже писал в блоге об анонсе проекта Russian Fedora. В течение этого месяца в ходе обсуждений инициатива обросла конкретными идеями, и были сделаны первые шаги в их воплощении. Инициатива Russian Fedora распадается на два направления - техническое и организационное. В качестве одного из шагов во втором направлении 20 ноября состоится пресс-конференция, а после нее - встреча с лидером Fedora Project (с 2006 по 2008) Максом Спеваком (Max Spevack). В настоящее время Макс отвечает за стратегию Red Hat по работе с комьюнити. Также на встрече будет проанонсирован ряд конкретных шагов (в том числе в техническом плане), осуществление которых планируется в рамках Russian Fedora, и направленных на то, чтобы сделать Fedora дистрибутивом, подходящим для российских пользователей «из коробки», а также инициативы в плане локализации. На встрече помимо Макса Спивака планируются выступления руководителей Европейского Red Hat и компании VDEL.
О подробностях регистрации на мероприятие читайте на opennet.ru.

Статья “Создание сервера сетевой установки Fedora/RHEL”

В ноябрьском номере журнала “Системный администратор” выходит моя статья “Создание сервера сетевой установки Fedora/RHEL”.

“Дистрибутив Fedora использует для установки весьма мощную и многофункциональную программу Anaconda, поддерживающую различные режимы работы и сценарии инсталляции. Вместе с рядом других технологий, в частности Spacewalk-сервером, вы можете значительно облегчить процесс развертывания и обслуживания вашей Linux-инфраструктуры.
Однако сегодня мы оставим Spacewalk-сервер в стороне, и рассмотрим, как можно автоматизировать самую начальную стадию жизненного цикла серверов/рабочих станций – их развертывание. При этом в процессе установки мы постараемся обойтись без вмешательства оператора при помощи так называемого сервера сетевой установки.

Новые версии Red Hat Network Satellite 5.2 и Spacewalk 0.3

В начале этого месяца вышла новая версия open source решения для управления Linux-инфраструктурой - Spacewalk. Также обновился основанный на Spacewalk продукт Red Hat Network Satellite Server. К сожалению, планы по поводу возможности установки Spacewalk на Fedora перенесены на следующую версию - 0.4, которая должна появится в середине декабря. Пока что в качестве базовой ОС необходимо использовать Red Hat Enterprise Linux (или CentOS и т.п.). Из нововведений можно отметить новый API, возможность синхронизации серверов Spacewalk между собой, улучшенную систему поиска, исправление более четырех десятков различных ошибок.

Настройка iSCSI target и initiator в RHEL/Fedora

Как известно, при использовании существующей сетевой инфраструктуры iSCSI представляет собой недорогую альтернативу FC, а для целей обучения и тестирования вообще не заменим, поскольку, в ряде случаев, можно обойтись без дорогостоящего оборудования. Безусловно, существует и множество “боевых” конфигураций, когда по тем или иным причинам стоит отдать предпочтение iSCSI. В этом посте я хочу кратко описать настройку iSCSI target и iSCSI initiator в Red Hat Enterprise Linux и Fedora. Нужно отметить, что до версии RHEL 5.2 поддержка iSCSI target присутствовала в статусе Technology Preview. Поддержка же iSCSI initiator присутствует в полном объеме еще с Red Hat Enterprise Linux 4.

AMD и Red Hat: живая миграция виртуальных машин между ЦП AMD и Intel

Достаточно интересный пятиминутный ролик на youtube.com , показывающий процесс “живой миграции” виртуальной машины между серверами, работающими на платформах AMD и Intel. Насколько я знаю, у VMware такой возможности нет, а у Microsoft, собственно, нет и “живой миграции” :) Помимо прочего, можно посмотреть как выглядит интерфейс управления системы виртуализации с открытым исходным кодом oVirt. Как ожидается, к промышленному применению система виртуализации будет готова к концу года, а тестировать ее можно уже и сейчас.
Пресс релиз.

EX401 is done!

По сравнению с предыдущими лабами EX401 показался относительно простым. 3,5 часа - “внедрение”, 1,5 часа - задачи виртуализации. 3/5 от RHCA - сделано :)

Использование LVM snapshots для упрощения работы с виртуальными машинами

Использование мгновенных снимков LVM (Snapshots, снапшоты) при работе с виртуальными машинами позволяет получить ряд полезных преимуществ:

  • быстрое, за считанные минуты, развертывание стандартных конфигураций;
  • создание/удаление машин, для которых требуется быстрый возврат к стандартной конфигурации (тестовые/учебные машины, машины без сохранения конфигурации);
  • экономия места дискового хранилища.

Продемонстрируем работу на примере дистрибутива Fedora/RHEL с использованием гипервизора Xen. Задача разбивается на следующие шаги:

  1. создание логического тома;
  2. установка на логический том виртуальной машины;
  3. удаление “машинозависимой” информации;
  4. создание снапшота логического тома;
  5. копирование и редактирование конфигурационного файла DomU;
  6. создание домена;
  7. для создания следующего домена переходим к пункту 4.

Если вы плохо знакомы с устройством и командами LVM2, то перед тем, как читать дальнейший текст, ознакомьтесь, например, с русскоязычной сатьей на IBM developerWorks Россия.

Linux Foundation: Примерная стоимость разработки Fedora 9 - $10.8 биллионов

На сайте Linux Foundation опубликована статья, в которой рассматривается методика и приводятся расчеты стоимости разработки Fedora, если бы этот дистрибутив разрабатывался как проприетарная операционная система. У авторов статьи получилась примерная цифра $10.8 биллионов в долларах США 2008 года. Отдельно оценивалась стоимость разработки только ядра Linux, которая составила $1.4 биллионов.

Установка пара-виртуализированных гостевых систем при помощи kickstart cо Spacewalk- или Satellite-сервера “в картинках”

1) Подготавливам хост-систему

Для начала убедимся, что хост-система зарегистрирована на Satellite- (или Spacewalk-) сервере. В случае, если это Sattelite-сервер, необходимо, чтобы система была подписана на каналы:

  • Red Hat Network Tools for Red Hat Enterprise Linux Server
  • RHEL Virtualization

Конечно, хост-система должна быть загружена с использованием ядра xen, и на ней должны быть установлены соответствующие пакеты. В противном случае отдаем команду:

[root@rhel5 ~]# yum install -y xen virtual-manager kernel-xen

и перезагружаемся с новым ядром. Убедиться, что система загружена с ядром xen, можно по выводу uname:

Анонс проекта Russian Fedora на Российском СПО-Саммите

Сегодня на Russian Open Source Summit (http://www.ross-ru.ru/) был анонсирован новый проект и проведен круглый стол, посвященный старту программы Russian Fedora, направленной на поддержку СПО-сообщества. Организаторами инициативы стали Red Hat, VDEL и ВНИИНС им. Соломатина.

Полномасштабный запуск программы намечен на декабрь 2008 года. До этого времени будет сформировано ядро проекта, получен некий фидбэк от российского сообщества пользователей и разработчиков СПО. Это в большей степени организационный проект, который преследует следующие цели:

Настраиваем TLS/SASL-шифрование и аутентификацию в MTA Sendmail

При помощи механизма STARTTLS и сертификатов мы попробуем настроить взаимную аутентификацию и шифрование пересылаемой почты между двумя почтовыми серверами с MTA Sendmail. Также при помощи TLS защитим отправляемую клиентами на сервер почту и настроим почтовый релей для пересылки корреспонденции только тех пользователей, которые предъявят сертификат, выданный нашим центром сертификации (CA).

STARTTLS (RFC 2487) является расширением протокола SMTP. STARTTLS в первую очередь предназначен для поддержки TLS-шифрования и аутентификации между двумя почтовыми серверами. Но как вы увидите далее, он с успехом может применяться и почтовыми клиентами.

SELinux User Guide для Fedora 10

Релиз Fedora 10 не за горами, и уже сейчас желающие могут протестировать бета-версию дистрибутива. Еще одна бета-версия, но уже руководства по SELinux для Fedora 10, также доступна для ознакомления уже сейчас. Security-Enhanced Linux User Guide особенно актуален с учетом относительного «информационного голода» в том, что касается данной реализации системы мандатного контроля доступа. Приятного чтения.

Happy birthday Fedora!


Пять лет и девять версий :) Приятно осознавать что там есть и моя сотня килобайт :)

VMWare и Linux - более тесная интеграция

Хорошие новости. На конференции VMworld 2008 в Лас-Вегасе было объявлено о некоторых шагах, планируемых VMWare в рамках более широкой поддержки операционной систмы GNU/Linux:

  • Будет добавлена поддержка переноса машин P2V в VMware Converter для дистрибутивов RHEL, Ubuntu и SLES.
  • VirtualCenter будет работать не только на Windows Server, но и на Linux. Добавляется поддержка кроссплатформенной базы данных и LDAP.
  • VCB научиться работать на уровне файлов внутри виртуальных машин Linux. Возможно, появиться поддержка VCB proxy на Linux.
  • VirtualCenter Client для Linux. Отпадет необходимость установки Windows на рабочей станции администратора VI.
  • Улучшения за счет поддержки паравиртуализации на Linux-гостях.
  • VMware Tools для большего числа дистрибутивов Linux (Debian, Gentoo, CentOS и openSUSE).

Источник. “Подсмотренно” в блоге Михаила Михеева.

Вышла новая версия свободного решения для управления Linux-инфраструктурой Spacewalk 0.2

Вчера вышла новая версия ПО Spacewalk - open source решения для управления Linux-инфраструктурой. Spacewalk представляет собой давно развиваемый и открытый в июне этого года по лицензии GPL2 продукт Red Hat Network Satellite Server.

Улучшения:

- Для меня самое приятное, это то, что можно на одном сервере поддерживать несколько дистрибутивов, например, Fedora и CentOS.
- Улучшенный поиск по опубликованным на сервере Spacewalk ошибкам/исправлениям
- Новый API
- Продолжен перевод кода с perl на java
- По сравнению с релизом 0.1 исправленно 38 ошибок
- Перевод всех rpm-пакетов на систему сборки koji
- В репозитории теперь будут храниться два релиза - текущий и предыдущий (см. https://hosted.fedoraproject.org/spacewalk/wiki/HowToInstall#Installation)

Видео: oVirt - система виртуализации c открытым исходным кодом

На «виртуальных страницах» журнала Red Hat Magazine размещены две части видео о новой системе виртуализации c открытым исходным кодом oVirt (http://www.ovirt.org/). Система включает в себя управляющее ПО и гипервизор на основе KVM. В роликах можно увидеть, как выглядит графический интерфейс управляющего ПО и процесс развертывания гипервизора (embedded hypervisor).

В настоящий момент проект находится в стадии бета-тестирования. Исходный код и двоичные файлы доступны на официальном сайте. К концу года проект должен быть готов к промышленному применению. В качестве гостевых операционных систем могут выступать как Red Hat Enterprise Linux так и Microsoft Windows.

Переход на новые репозитории и ключи для Fedora 8 и Fedora 9

После инциндента с компроментацией инфраструктурных серверов Fedora, были заменены ключи, используемые для подписи пакетов, и изменено месторасположение репозиториев с обновлениями. Процедура перехода на новые репозитории максимально упрощена.

Сегодня для систем, работающих со старыми репозиториями, стали доступны обновления:

[root@f9-server ~]# yum check-update
Loaded plugins: presto, refresh-packagekit
PackageKit.i386

0.2.5-1.fc9 updates
PackageKit-libs.i386 0.2.5-1.fc9 updates
fedora-release.noarch 9-5.transition updates
gnome-packagekit.i386 0.2.5-2.fc9 updates
yum-packagekit.i386 0.2.5-1.fc9 updates

После установки пакетов утилиты yum, PackageKit и pirut будут видеть новые репозитории и достаточно большое число обновленных пакетов:

Новые курсы Red Hat в России

Несколько месяцев назад компания Red Hat объявила о доступности новых курсов в рамках компетенции RHCE. Как минимум в одном московском учебном центре они уже стоят в расписании, и у меня, c учетом загрузки на основной работе, есть возможность их в этом УЦ прочесть :)

Первый курс посвящен виртуализации в Red Hat Enterprise Linux, а второй - методикам и средствам устранения неисправностей в Linux.

Кратко о курсах:

RH184 Виртуализация в Red Hat Enterprise Linux (2 дня)

“Книжная полка” журнала “Системный администратор” (Часть 2)

Продолжение поста с материалами “Книжной полки” журнала “Системный администратор”… В декабре, когда планирую поехать “добить” RHCA, сделаю, пожалуй, в написании обзоров первый перерыв за полтора года. А пока продолжаю выкладывать обзоры из относительно старых номеров.

Защитные средства с открытыми исходными текстами
Тони Хаулет
Издательство:«БИНОМ»
Год издания:2007
Количество страниц:608
ISBN:978-5-94774-629-7

Большинство компаний малого и среднего бизнеса не могут позволить себе наличие в штате инженера по информационной безопасности (ИБ) и отдельный бюджет на средства защиты информации. В таких случаях вопросами ИБ занимается сетевой или системный администратор, который не может уделять достаточно времени (и средств из общего IT-бюджета) на выбор, приобретение, изучение и внедрение средств ИБ. Именно для такой, весьма широкой, аудитории IT-специалистов и предназначена книга. Положительными сторонами книги можно считать, что рассмотренные концепции требуют минимального уровня компьютерной и сетевой подготовки. И, конечно, описанное в книге ПО поставляется с открытыми исходными текстами, в большинстве случаев стоя столько, сколько вы заплатите провайдеру за потраченный на скачивание трафик.
Издание носит практический характер и, что часто случается в книгах, посвященных открытому программному обеспечению, не забывает и администраторов Windows-систем. Всего рассмотрено около 50 программ и наборов инструментов. Из них примерно треть работает в среде Windows. Необходимо заметить, что хотя в подзаголовок вынесено «Учебное пособие», это издание скорее структурированный сборник описаний ПО. Кроме того, оригинал вышел в 2005 году, а IT‑технологии на месте не стоят. Какие же классы защитных средств рассмотрены в книге? Общие средства уровня ОС, межсетевые экраны, сканеры портов, сканеры уязвимостей, сетевые анализаторы, системы обнаружения вторжений, средства анализа и управления, криптографические средства, средства для беспроводных систем и менее актуальный для России класс судебных средств.

Статья “Настройка TLS/SASL-шифрования и аутентификации в MTA Sendmail”

В августовском номере журнала «Системный администратор» опубликована моя статья “Настройка TLS/SASL-шифрования и аутентификации в MTA Sendmail”.

“При помощи механизма STARTTLS и сертификатов мы попробуем настроить взаимную аутентификацию и шифрование пересылаемой почты между двумя почтовыми серверами с MTA Sendmail. Также при помощи TLS защитим отправляемую клиентами на сервер почту и настроим почтовый релей для пересылки корреспонденции только тех пользователей, которые предъявят сертификат, выданный нашим центром сертификации (CA).

STARTTLS (RFC 2487) является расширением протокола SMTP. И в первую очередь предназначен для поддержки TLS-шифрования и аутентификации между двумя почтовыми серверами. Но как мы увидим далее он с успехом может применяться и почтовыми клиентами.”

Новый “Мастер” в system-config-selinux

Ден Уолш рассказал о добавлении в утилиту system-config-selinux мастера Boolean Lockdown Wizard. Он позволяет включать/выключать/сбрасывать в значение по умолчанию переключатели SELinux (booleans). Самое приятное отличие этого мастера от пункта Boolean в system-config-selinux - это возможность на финальном шаге через GUI сохранить текущее значение переключателей в файл.

Когда поддержка сформированных таким образом файлов будет добавлена в IPA, системный администратор сможет централизованно применять соответствующие настройки ко всем или части машин на предприятии.

Spacewalk - загружаем содержимое канала и регистрируем систему

После установки Spacewalk-сервера необходимо как минимум :

  1. Создать один базовый канал, содержащий пакеты определенной ОС. В настоящий момент из-за технческих ограничений на одном сервере нельзя одновременно создавать каналы нескольких дистрибутивов (Fedora, CentOS, или RHEL), но можно создавать каналы разных версий одного дистрибутива,например, CentOS 5 и 4.
  2. Создать ключ активации
  3. Зарегистрировать на сервере вашу систему

Естественно, перед этим вам нужно выкачать пакеты, которые мы будем заливать в соответствующий канал.

Для Fedora 9 утилитой wget:

Spacewalk - open source решение для управления Linux-инфраструктурой уровня предприятия

В июне 2008 года компания Red Hat анонсировала проект Spacewalk, являющийся open source решением для управления Linux-инфраструктурой. Spacewalk представляет собой открытый по лицензии GPL2 продукт Red Hat Network Satellite Server, имеющий давнюю, с 2001 года, историю разработки.

Сервер Spacewalk обслуживает весь жизненный цикл Linux-инфраструктуры и решает следующие задачи:

  • Сбор информации о системах (аппаратное обеспечение и установленное ПО)
  • Установка и обновление операционных систем
  • Установка и обновление программного обеспечения
  • Установка систем при помощи kickstart-файлов
  • Управление и распространение конфигурационных файлов
  • Мониторинг систем
  • Установка виртуальных машин
  • Запуск/остановка/настройка виртуальных машин
  • Работа с географически-распределенной сетью
  • Автоматизация задач системного администрирования
  • Распределение ролей администраторов и группировка систем

Установка Spacewalk несколько сложнее, чем Satellite Server, в основном за счет того, что сервер баз данных нужно ставить отдельно.
Последняя версия Satellite Server 5.1 Устанавливается на Red Hat Enterprise Linux 4 AS и поставляется вместе со встроенной базой данных (Oracle Server 9.2 Embedded Database), но при желании можно использовать отдельную БД на отдельном сервере. Самый простой способ инсталляции Spacewalk - установить бесплатный Oracle Database 10g Express Edition.
На сайте помимо исходных кодов анонсированы два репозитория с бинарными rpm-пакетами для Red Hat Enterprise Linux 5 (CentOS) и Fedora 9. Пакеты серверной части решения в настоящий момент присутствуют только в репозиториях для Red Hat Enterprise Linux 5 (CentOS).

Создание “живой флешки” с Fedora 9 одним кликом - liveusb-creator

Если вы хотите попробовать работу с Fedora, но не хотите удалять существующую операционную систему и возиться с записью дисков, у вас есть возможность создать так называемую “живую флешку” (Live USB Key). У “флешки” есть одно неоспоримое приемущество перед “живым диском” (LiveCD) - на самом же носителе можно сохранять какие-либо данные между перезагрузками и настройки операционной системы.


Для того, чтобы понизить “порог вхождения” пользователей с других операционных систем, была разработанна кросплатформенная графическая утилита для создания “живой флешки” одним кликом мыши. При необходимости сама утилитка выкачает необходимый iso-образ. Можно выбрать между 32- и 64-разрядными образами Fedora 9 или 8. Также можно выбрать образ с KDE вместо Gnome.

Руководства по подготовке к экзаменам RHCA.

Руководство по подготовке к лабораторным сертификационным экзаменам RHCE/RHCT доступно уже давно. В том числе и в переводе на русский язык. А вот руководства по подготовке к “старшим” экзаменам на RHCA/RHCSS/RHCDS я заметил только несколько недель назад, хотя они выложены уже около года. Самое главное в этих руководствах - список тем соответствующего экзамена на Certificate of Expertise (с сентября прошлого года Certificates of Expertise отмечают каждую из сданных “лаб”).

В прошлую пятницу сдавал в Farnborough самый длинный из всех экзаменов - EX333 Security: Network Services (3+3 часа). Экзамен показался сложнее, чем EX423 Directory Services and Authentication (по широте охвата тем), но в принципе отведенного времени вполне хватило. Вторую часть даже закончил на сорок минут раньше :). Кстати, Farnborough - является местом проведения одноименного авиасалона. На фотографии рядом с офисом Red Hat, который перебрался туда из Guilford, видно огромное металлическое сооружение (71 на 26 метров), назначение которого в первый раз меня поставило в тупик. Оказалось, что оно исключительно декоративное/познавательное.

Sectool — утилита аудита безопасности систем основанных на Fedora/RHEL

sectool — активно развивающийся инструмент аудита настроек безопасности и локальная IDS для дистрибутивов, основанных на Fedora. Включает в себя ряд тестов для различных аспектов настройки системы, служб и т.д. В настоящий момент их около тридцати. Тесты независимы от языка программирования (Perl, Python, Bash, …) и их можно писать самостоятельно (на сайте проекта доступна документация).

Имеется как графический, так и интерфейс командной строки. В графике проверка сводится к выбору настраиваемого класса тестов (Базовый, Рабочая станция, Сеть, Сервер, «Параноик») и нажатию кнопки запуска анализа системы. Естественно имеется гибкая система настроек, сравнение результатов проверок, отправка отчетов по электронной почте и т.д.

О будущем RHEL в on-line журнале Red Hat Magazine

В on-line журнале Red Hat Magazine опубликована статья в двух частях, позволяющая заглянуть в будущее дистрибутива Red Hat Enterprise Linux. Как известно, программные продукты серии Enterprise Linux строятся на основе наработок проекта Fedora. Узнать что будет “завтра” в Red Hat Enterprise Linux можно посмотрев на Fedora сегодня. В статье рассмотрены новшества в следующих подсистемах:

  • Работа с дисплеем (XRandr)
  • Новое в управлении пакетами
  • PolicyKit - замена userhelper для запуска в GUI непривилегированным пользователем приложений, требующих расширенных полномочий
  • Новое в управлении питанием (по одному из исследований Red Hat Enterprise Linux 5 потребляет на 12% меньше, чем Microsoft® Windows® на том же оборудовании)
  • Новшества в NetworkManager
  • Шифрованные разделы диска
  • Новое в PulseAudio
  • Переключение пользователей
  • Виртуальная файловая система GVFS
  • О смене гипервизора с Xen на KVM

Часть 1.
Часть 2.

Kerberized NFSv4 issue in RHEL 5.1

При настройке NFSv4 в связке с Kerberos на сервере с Red Hat Enterprise Linux 5.1 столкнулся с тем, что в Kerberos был изменен алгоритм по умолчанию с des-cbc-crc на 3des-cbc-hmac. Это конечно здорово, но вот NFSv4 работает только с алгоритмом шифрования des-cbc-crc.
Соответственно, когда добавляем созданного принципала nfs/stationX.example.com в /etc/krb5.keytab нужно в ktadd указать алгоритм:

kadmin: ktadd -e des-cbc-crc:normal -k /etc/krb5.keytab \
nfs/stationX.example.com

В противном случае получаем в /var/log/messages ошибку:

“Книжная полка” журнала “Системный администратор” (Часть 1)

Последний год веду в журнале «Системный администратор» рубрику обзоров «Книжная полка». Хотя весь объем выходящей компьютерной литературы охватить просто не реально, но большая масса новинок мимо меня не проходит, а с четырьмя книгами в месяц можно познакомиться более-менее подробно. Поскольку спустя какое-то время редакция разрешает выкладывать тексты в интернет, ниже привожу часть обзоров самых интересных книг попавших на «книжную полку».

Операционные системы: разработка и реализация. 3-е издание
Эндрю Таненбаум, Альберт Вудхалл
Издательство: «Питер»
Год издания: 2007
Количество страниц: 704
ISBN: 978-5-469-01403-4

Новая статья в Red Hat Magazine посвященная SELinux

В Red Hat Magazine вышла новая статья “Writing policy for confined SELinuxusers “, написанная Dan Walsh. В ней Dan на примере двух простых задач описывает как при помощи мастера создания модулей политики
в утилите system-config-selinux можно модифицировать существующий тип пользователя и как добавить новый.

В первом примере модифицируется политика для xguest, позволяя этому пользователю не только запускать браузер, но и работать с IM по протоколу
AIM/AOL. Во втором примере создается новый тип пользователя, которому разрешено пользоваться терминалом, отправлять почту и читать/писать
в /maildir.

Основные анонсы Саммита Red Hat в Бостоне

  • Представлена новая система виртуализации http://www.ovirt.org/. Включает в себя управляющее ПО и 64Мб образ гипервизора на основе KVM. В настоящий момент проект находится в стадии бета-тестирования. Предполагается, что приблизительно к концу года проект будет готов к промышленному применению. В качестве гостевых операционных систем могут выступать как Red Hat Enterprise Linux так и Microsoft Windows. Постараюсь на следующих выходных развернуть это “безобразие” на парочке DL320. После - опишу в блоге.
  • Открыт исходный код проприетарного продукта Red Hat Network (RHN) Satellite Server. Проект которому было дано имя Spacewalk расположен на сайте http://www.redhat.com/spacewalk/. Основные функции продукта: инвентаризация систем (аппаратное и программное обеспечение); установка и обновление ПО и операционных систем на серверах и рабочих станциях; управление конфигурационными файлами; мониторинг серверов, рабочих станций и виртуальных машин. Это пожалуй сразу в “продакшен” для управления тестовыми серверами и виртуалками в лабе :) Заодно опыт для сдачи 401 экзамена накоплю :)
  • Анонсирован новый продукт под названием Red Hat Enterprise IPA, являющийся решением с открытым исходным кодом для управления доступом и учетными данными. Red Hat Enterprise IPA осуществляет централизованную аутентификацию, управление политиками доступа и аудита для компьютеров, пользователей и сервисов в Unix и Linux-окружениях. В состав решения входят ряд служб, в том числе: LDAP, Kerberos и RADIUS. Помимо этого существуют средства для интеграции с другими сервисами каталогов, включая Active Directory и утилиты для миграции с NIS. Для упрощения работы с Red Hat Enterprise IPA в состав решения входит консоль управления с web-интерфейсом. Про Red Hat Enterprise IPA я писал вчера.
  • Время полной поддержки дистрибутивов Red Hat Enterprise Linux версий 4 и 5 продлено на один год. Выпуск обновлений связанных с безопасностью продлен до 2012 и 2014 года соответственно.

Red Hat Enterprise IPA

Сегодня компания Red Hat анонсировала новый продукт под названием Red Hat Enterprise IPA, являющийся решением с открытым исходным кодом для управления доступом и учетными данными. Red Hat Enterprise IPA осуществляет централизованную аутентификацию, управление политиками доступа и аудита для компьютеров, пользователей и сервисов в Unix и Linux-окружениях. В состав решения входят ряд служб, в том числе: LDAP, Kerberos и RADIUS. Помимо этого существуют средства для интеграции с другими сервисами каталогов, включая Active Directory и утилиты для миграции с NIS. Для упрощения работы с Red Hat Enterprise IPA в состав решения входит консоль управления с web-интерфейсом.

Некоторые новшества в Fedora 9 с точки зрения SELinux

Месяц назад вышла девятая версия Linux-дистрибутива общего назначения Fedora. В этом посте я хотел бы продолжить разговор о системе мандатного контроля доступа SELinux и кратко рассмотреть, что же нового появилось в этой подсистеме c выходом Fedora 9. Для простоты давайте пройдемся по соответствующей секции Release Notes и разберем каждый из пунктов.

1) guest_t does not allow running setuid binaries, making network connections, or using a GUI.

Собственно, тип guest_t был добавлен еще в Fedora 8. Проведем эксперимент:

Photos from Russian Open Source Summit (May 28-29 2008)

Ru: Только не официальная часть :) Конференция, организованная VDEL проходила 28-29 мая в спортивном парке Волен. Первый день - Red Hat Workshop и JBoss Workshop. Второй день – доклады партнеров.




IT-conference in Kaliningrad (May 23 2008)

Ru: На прошлой неделе с коллегой ездили в Калининград на семинар для ИТ-директоров, организованный «Весткомп Плюс». Коллега рассказывал про Business Intelligence, я — про виртуализацию. Очень понравился город. Кафедральный собор (с «пристройкой» — могилой Канта) по размерам конечно не Вестминстер и не Кентербери, но все-равно производит впечатление. В субботу организаторы возили нас на морскую рыбалку. В трех бальный шторм на небольшом катере это выглядело как американские горки :) На берегу балтийского моря за двадцать минут можно было набрать небольшую горсть янтаря, чем и занимались местные жители.

Fedora 9: Как решить проблему установки на русском языке

Ru: Сегодня выходит Fedora 9. Ура! :) Для русскоязычных пользователей важно ознакомиться с решением проблемы при установки, которая специфична именно для русского языка. Исправление ошибки не успело попасть в финальный ISO-образ. Самый простой способ решения проблемы — установка на английском языке и изменение основного языка после окончания установки.

http://fedoraproject.org/wiki/ru_RU/Releases/9/InstallationFailed — пути решения для пользователей
https://bugzilla.redhat.com/show_bug.cgi?id=445517 — ошибка в Bugzilla

Flask in OpenSolaris

На конференции Sun Tech Days 2008 удалось немного побеседовать с Glenn Faden касательно будущей реализации Flux Advanced Security Kernel (Flask) в OpenSolaris. По его словам, повторного использования кода/конвертора Reference Policy из SELinux не будет. Язык описания политик также будет свой (из-за несовместимости лицензий). Однако, он будет «очень похож». Проект пока находится в начальной стадии. Каких-либо новостей следует ожидать через несколько месяцев.

А Питер - отличное место для проведения подобных мероприятий :)

SELinux in news

Ru: Очередная поездка в Фарнборо (на этот раз для сдачи экзамена EX423 по RHDS), а сразу после этого двухнедельные курсы VMWare, спровоцировали появление 1000+ непрочитанных сообщений в заброшенной RSS-читалке. Разгребая эти залежи, не могу не отметить пару интересных новостей, касающихся SELinux.

Во-первых, проект OpenSolaris интегрирует использованную в SELinux схему безопасности Flask/Type Enforcement в свою операционную систему. Называется это дело Flexible Mandatory Access Control (FMAC), и имеет свою страничку на сайте проекта. Помимо Sun Microsystems, вклад в разработку FMAC вносит и АНБ – «родитель» SELinux. Таким образом, операционных систем, использующих данную модель безопасности, становиться все больше и больше. Не следует забывать и про существующую поддержку Flask/TE на уровне приложений, например СУБД (PostgreSQL) или средств виртуализации (гипервизор Xen).

Run ESX Server 3i from usb stick


Скачиваем c сайта vmware.com файл дистрибутива VMware-VMvisor-InstallerCD-3.5.0-70348.i386.iso

Далее:

# mount -o ro,loop VMware-VMvisor-InstallerCD-3.5.0-70348.i386.iso /mnt
# tar xvzf /mnt/install.tgz usr/lib/vmware/installer/VMware-VMvisor-big-3.5.0-70348.i386.dd.bz2
# bunzip2 usr/lib/vmware/installer/VMware-VMvisor-big-3.5.0-70348.i386.dd.bz2

“Флешка” (например /dev/sdb) должна быть не меньше 1Гб.

# dd if=usr/lib/vmware/installer/VMware-VMvisor-big-3.5.0-70348.i386.dd of=/dev/sdb

Вставляем “флешку” в сервер и загружаемся.

Fedora Directory Server review in Russian magazine “System administrator”

En: “System Administrator” 1/2008 issue with my review of FDS 1.1 is out. “System Administrator” is a magazine for Russian speaking IT professionals published since 2002. The magazine has more than 17000 subscribers. Three weeks after the initial publication in the magazine I’ve been allowed to publish it on my personal web site.

Ru: В первом номере журнала «Системный администратор» за 2008 год опубликован обзор сервера каталогов FDS 1.1. Спустя три недели после выхода журнала с разрешения редакции обзор будет размещен на моем сайте.

Run VMware Server 2.0 Beta on Fedora 8 (and SELinux)

Ru: Получив на работе новый ноутбук (HP Compaq 6715b) я, приступил к приведению его в пригодное для работы состояние – установке Fedora. Проблем почти не возникло, за исключением того, что вместо драйвера для интегрированной видеокарты от ATI из livna, пришлось вручную скачать и установить более свежий драйвер с сайта производителя, поскольку лежащий в livna не захотел работать с «широкоформатными» разрешениями экрана. Как оказалось, это известная проблема.
Единственное ПО, с которым пришлось повозиться достаточно долго, это VMware Server. В основном для «виртуальных лаб» я использую Xen, где у меня отлично «крутятся» несколько копий RHEL 4 и 5, но, по ряду причин, иногда запускаю и VMware (не для запуска Windows :). Причем проблема возникла там, где я ее совсем не ожидал, и, если бы не ветка в форуме, наверно, потерял бы еще некоторое время. Cервер после отключения ipv6 прекрасно установился, запускался, работал и не выдавал никаких ошибок при старте. Журналы операционной системы также были девственно чисты. Однако, при попытке зайти в Web UI, VMware Server выдавал сообщение: The server is not responding. Please check that the server is running and accepting connections. Помогло лишь полное отключение SELinux (!!!). Честно говоря, меня это решение совсем не устраивает. Почему и чем мешает работе сервера «разрешительный» режим SELinux, пока понять не могу. По идее ничего кроме деградации производительности происходить в этом случае не должно.

Humour: heroes2008.ru

Диалог в IM с пиарщиком из Microsoft (MS) по поводу heroes2008.ru:
A: а не ________ ? те “подставте сюда свое имя”?
MS: у меня такое впечателние что те кто этот креатив перевожил вообще далеки от темы
MS: называлось оно heroes happen { here}
A: Адекватнее было бы “ГЕРОИ { МЫ }” а то смысл вроде как потерялся
A: что то в этом роде
MS: а может имелось в виду что вас тут сделают героем
A: а они все повторяли “один раз - не … герой”
MS: жжешь

Basic about SELinux

En: Here is selinux(8) man page (from libselinux) translation to Russian with some comments.

Ru: Как я и обещал, приступаю к переводам man-страниц, входящих в пакет libselinux. Первая на очереди - selinux(8). Хотя то, что в ней написано, так или иначе уже попадало в этот блог (в частности, пост “SELinux. Максимальный уровень защиты – бесплатно”), а также обсуждалось в других статьях на русском языке, man selinux:

selinux(8) SELinux Command Line documentation selinux(8)