Представим ситуацию: есть DPI которая блокирует напрямую соединение с openvpn сервером. Для обхода сооружаем такую схему: аутентифицируемся на прокси и после удачной аутентификации – подключаемся к серверу openvpn. В итоге: на сервер открыт только внешний порт 443 (прокси), а сам сервер openvpn слушает 127.0.0.1:1194.
cacti и mysql time zone
Так случилось, что нужно было перенести cacti на другой сервер. После этого cacti отказался обновлять данные на графиках. Просто пустые сетки и всё. После гугления, решил заглянуть в таблицу poller_time и увидел, что там время сдвинуто на 4 часа. И действительно, в my.cnf была строка:
default-time-zone='-4:00'
После недолгих гуглений нашлось просто решение: в самом верху файла /var/www/cacti/graph_image.php вставить строку:
Или на русском: “ssl рукопожатие не удалось”. Проблема заключается в том, что в новых версиях libnss3 не принимаются самоподписные сертификаты (selfsigned). На моей kubuntu 16 пришлось даунгрейдить 4 пакета до версии 3.15.4. Только после этого всё заработало. И так, вот эти пакеты:
ii libnss3:amd64 2:3.15.4-1ubuntu7 ii libnss3-1d:amd64 2:3.15.4-1ubuntu7 ii libnss3-nssdb 2:3.15.4-1ubuntu7 ii libnss3-tools 3.15.4-0ubuntu0.12.04.3
Здесь будет рассказано о разных типах памяти, в разных ОС, при использовании разных диагностических утилит.
MEM – mysql enterprice monitor. Это такая веб-админка, где можно посмотреть за работой базы mysql и понять, почему она тормозит или посмотреть другую статистику. По большому счёту это приложение на java, которое выгребает статистику из баз perfomance scheme и information scheme и предоставляют её в удобном виде. Так же, время от времени парсится и вывод show engine innodb status на предмет полезной информации.
[nginx] FastCGI + keepalive
Вроде бы всё просто, но есть небольшой хак: вот такая конструкция не будет поддерживать keepalive:
location / {
...
fastcgi_pass 127.0.0.1:9000;
fastcgi_keep_conn on;
...
}
[Solaris] zfs_params
Ниже будут перечислены используемые параметры для тюнинга ZFS.
Для тех, кто решил обновится с 5.6 на 5.7 ждут “сюрпризы” в виде переработанного оптимизатора запросов. Что такое оптимизатор? Это “помощник”, который перед каждым выполнением запросов ищет путь “наилучшего” выполнения запроса. Все есть больше 10-ка различных параметров оптимизатора, которые можно включать/выключать, тем самым меняя логику исполнения запросов. Подробнее о них можно прочесть здесь.
Запрет удаления файлов в Solaris
Вот такая нехитрая задача возникающая перед администраторами: писать можно, удалять нельзя и всё это ограничение применить только к конкретному пользователю. Решается она просто: через ACL. Причём нужно иметь ввиду, что бы запретить удаление, нужно явно это указать (если у пользователя отсутствуют явные запреты, то он всё равно сможет их “нарушить”).
Стандартные права выглядят так: rwxpdDaARWcCos, где буквы dD означают разрешение на удаление (d – удаление файла, D – удаление файла или папки внутри директории).
Предположим, вам надо запустить сервис не от root’a и при этом, создать файл (например, сокет или pid) в системной папке /var/run от этого юзера. Правильный Solaris-way следующий:
Создаём группу
# svccfg -s svc:/network/test1234 addpg method_context framework
Выставляем необходимого юзера и группу
# svccfg -s svc:/network/test1234 setprop 'method_context/user = astring: "webservd"'
# svccfg -s svc:/network/test1234 setprop 'method_context/group = astring: "webservd"'