26 July 2007 - 9:01Iptables – zablokování IP adresy

Pro jednoduché a rychlé zabanovaní jedné IPadresy stačí tento příkaz.

iptables -A INPUT -s 11.22.33.44 -j DROP

No Comments | Tags: How to

19 July 2007 - 20:33Inkrementální zálohování

 Jednoduché zálohování které jsem popisoval v minulém článku se hodi jen pro
maximálně 70gb dat(záleží na zatížení serveu v nočních hodinách).

Když potřebujete zálohovat desítky či dokonce stovky gigabytů, tak není možné
všechny data zabalit do jednoho velkého taru a rozsekávání na nějaké kousky je
neefektivní. V těchto situacích je nejlepší inkrementální zálohování (kopírují se
jenom změněné soubory)

Já používám projekt rdiff-backup kde je zálohování i obnova opravdu hračkou.
Na debianu nainstalujete snadno příkazem

apt-get install rdiff-backup

Záloha celého filesystému přes ssh.

rdiff-backup / host.net::/target-dir

Lepší je vynechat některé adresáře jako /proc /dev /sys /tmp ….
V téhle konfigurace se bude zálohovat na disk připojený do /mnt/backup

rdiff-backup –exclude /tmp –exclude /proc –exclude /mnt –exclude /proc –exclude /sys / /mnt/backup

Stejně tak můžete zálohovat přes ssh.

rdiff-backup –exclude /tmp –exclude /proc –exclude /mnt –exclude /proc –exclude /sys / backup@host.net::/mnt/backup

Před každou zálohou mažeme soubory starší dvou týdnů

rdiff-backup –remove-older-than 2W backup@host.net::/mnt/backup

Zálohování již beží :) a pokud si vy nebo nějaký uživatel smaže nějaký soubor, tak
mu ho můžete obnovit.A k dispozici máte změny souboru za posledních 14 dní.
Obnovit můžete jakýkoliv adresář nebo klidně celý filesystém.

rdiff-backup –restore-as-of 1D /mnt/backup/home/example.com /rozbalena_zaloha

Pokud zálohujete přes ssh k obnovení použijte tento příkaz.

rdiff-backup –restore-as-of 1D /mnt/backup/home/example.com host.net::/mnt/backup /rozbalena_zaloha

Pro začátek určitě mrkněte do dokumentace nebo rovnou na příklady

No Comments | Tags: How to

4 July 2007 - 18:50Jednoduché zálohování a obnova dat

Zálohování dat je asi nejdůležitější při správě serverů, někdo může namítnout že má data uložené na RAID poli. Ano RAID pole chrání data při výpadku některého z disků, ale pokud si smažete nějaký soubor máte smůlu.

Čili platí, zálohovat, zálohovat a zálohovat. Skutečnou cenu dat poznáte až ve chvíli kdy je ztratíte.

Tenhle jednoduchý script zabalí vybrané adresáře do TARu.

#!/bin/bash

#Kam se bude zalohovat
BACKUP_TO=”/0backup”

#Ktere adresare se maji zalohovat
BACKUP_DIRS=”/bin /boot /etc /root /sbin /tmp /var /opt /home”

#Smaze starou zalohu – udrzujeme 7 zaloh
delete_old()
{
backup_count=`ls $BACKUP_TO | wc -l`
if [ $backup_count -gt 7 ]; then
DIR2DEL=`ls -1 $BACKUP_TO | head -1`
rm -f $BACKUP_TO/$DIR2DEL
fi
}

#Zalohovani
backup()
{
FILENAME=$HOSTNAME-`date +%Y-%m-%d`.tar
nice tar -cvf $BACKUP_TO/$FILENAME $BACKUP_DIRS
}

#nejdrive smazeme nejstarsi zalohu a vytvorime novou
delete_old
backup

Tento script uložte do /etc/cron.daily a zálohování bude probíhat automaticky každý den.
Teď máte k dispozici zálohy za posledních 7 dní, což je většinou dostatečné.

Rozbalení celého TARu je jednoduché

tar-xvf foo.tar

Ale většinou potřebujete jen pár souborů, či adresář a kvůli tomu je zbytečné rozbalovat celou zálohu.
Rozbalení jednoho souborů docílíte příkazem

tar -xvf foo.tar var/www/example.com/index.html

Vylistování souborů z archivu.

tar -tvf foo.tar

2 Comments | Tags: How to, Linux

2 July 2007 - 9:33Proftpd SSL howto

Abyste mohli provozovat proftpd se SSL je potřeba nejdřív mít  v proftpd zakompilovaný modul mod_tls. To zjistíte snadno příkazem.

bluedot:~# proftpd -l
Compiled-in modules:
...
mod_tls.c
...

Jestliže modul podporu mod_tls nemáte je potřeba ji do proftpd přidat.
- stáhněte poslední verzi proftpd z oficiálních stránek či z mirroru
- rozbalte a zkopilujte s podporou mod_tls

bluedot:~# wget ftp://ftp.proftpd.org/distrib/source/proftpd-1.3.0a.tar.bz2
bluedot:~# tar -jxf proftpd-1.3.0a.tar.bz2
bluedot:~# cd proftpd-1.3.0a
bluedot:~# ./configure --with-modules=mod_tls
bluedot:~# make
bluedot:~# make install

Nyní už je k dispozici i modul tls, do direktivy –with-modules si můžete přidat další z užitečných modulů např. mod_ban nebo mod_exec.

Vygenerujte SSL certifikáty.
bluedot:~# mkdir -p /etc/proftpd/ssl
bluedot:~# cd/etc/proftpd/ssl
bluedot:~# openssl genrsa 1024 > host.key
bluedot:~# openssl req -new -x509 -nodes -sha1 -days 1095 -key host.key > host.cer
t

Doplňte informace o certifikátu

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CZ
State or Province Name (full name) [Some-State]:Czech Republic
Locality Name (eg, city) []:Prague
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:bluedot.cz
Email Address []:info@bluedot.cz

A nakonfiugurujte proftpd.

# Podpora TLS
<IfModule mod_tls.c>
TLSEngine on
TLSLog /var/log/proftpd/proftpd_tls.log
TLSProtocol SSLv23
TLSRequired off
TLSVerifyClient off
TLSRSACertificateFile /etc/proftpd/ssl/host.cert
TLSRSACertificateKeyFile /etc/proftpd/ssl/host.key
</IfModule>

Pak už jenom nastavte ve svém oblíbeném ftp klientovi(např filezille) používání
SSL spojení (SSL over FTP explicit encryption). Rozdíl mezi explicitním a implicitním
SSL šifrování si můžete přečíst tady. 
http://help.globalscape.com/help/secureserver2/Explicit_versus_implicit_SS.htm

Příklad SSL komunikace.
Status: Connecting to bluedot.cz …
Status: Connected with bluedot.cz, negotiating SSL connection…
Response: 220 ProFTPD 1.2.10 Server (bluedot.cz) [87.236.197.6]
Command: AUTH SSL
Response: 234 AUTH SSL successful
Status: SSL connection established. Waiting for welcome message…

No Comments | Tags: How to