Simon Žekar – unix, communications, stupidities

Spet ena iz družine bučk.

Spet IBM.

Novejši strežnik, IBM x3950.

WTF ! se mi zdi da sem enako sliko videl IBM-ovih 286-kah, zdaj jih pa vidim na večjih strežnikih. Tile IBM fantje so malo rusty…

Aja, server seveda nima floppy-ja

Slikam ga pa raj ne, grd..

Če sumite, da vaše spletne strani pretirano berejo roboti ali kakšni nepridipravi in vam pri tem upočasnjujejo strežnik, vam serviram eno enovrstičnico, ki iz apache loga prešteje zahtevke za vsak IP naslov. Prikaže vam IP naslov in število zahtevkov, ki jih je ta IP sprožil.

S spremembo vrednosti spremenljivke $limit lahko določite kje bo meja številka zahtevkov, da se bo IP pokazal v izpisu.

cat /var/log/apache/access | perl -e ‘$limit=100; while(<>){ if(/(d{1,3}.d{1,3}.d{1,3}.d{1,3})/) { $ips->{$1}++;}} for(keys %$ips){ print “$_: $ips->{$_}n” if $ips->{$_} >= $limit; } ‘ |sort -k 2 -n

s.

spet ena ssh-jeva…

Sistemci po x letih še vedno pišejo gesla, ko se prijavljajo na svoje strežnike. Takšen sistemc vpiše svoje geslo x-krat (where x > 50) na dan in je po možnosti enako za vseh svojih 120 strežnikov. Takšno eno za vse geslo uporablja že 5 let, ker se je nanj pač navadil.

Da ne govorim o izgubi časa, varnosti ki pade na vseh točkah, pa še kaj.

ssh je že zelo lep čas nazaj nudil rešitev. SSH ključi.

Sistem deluje na principu privatnega in javnega ključa. Javni ključ izpostavljaš po strežnikih do katerih želiš dostopati, privatnega držiš samo na svoji delovni postaji. Privatni ključ ima svoje geslo.

Tako lahko do strežnikov dostopaš samo, če imaš privatni ključ in seveda geslo zanj.

V tej fazi torej niste naredili veliko, uvedli ste nov nivo varnosti (poleg gesla še ključ, še vedno pa je potrebno pisati geslo, tokrat za ključ).

Rešitvi tudi tega se imenuje ssh-agent. Ideja ssh-agenta je, da si ob prijavi v delovno postajo, “registriraš” tudi ssh ključ (vpišeš geslo), za tem pa je prijava v sisteme brez spraševanja za geslo.

Še več, agent se “vleče” za vami, kar pomeni, da lahko ustvarite SSH povezavo do strežnika A, iz strežnika A pa naprej na strežnik B. Če imate na obeh strežnikih postavljen vaš javni ssh ključ, vas tudi pri povezavi iz A do B strežnika sistem ne bo vprašal za geslo, ker je sistem B preko sistema A dostopal do vašega ssh agenta in vas autenticiral.

Na kratko, ne potrebujete pisati več gesel sploh.

Jaz sem gesla po strežnikih celo odstranil, do mojih uporabniških računov se z geslom sploh ne da dostopati. Kolikokrat pa se vam zgodi, da potrebujete do konzole strežnika dostopati s svojim uporabniškim imenom in geslom. Meni nikoli.

Pa praksa:

Najprej si morate ustvariti ključ:
unix & unix like (tud OS X) sistemi:
# ssh-keygen

winblows: puttygen @ http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

Na *nix sistemih se bo ključ naredil v ~/.ssh/id_dsa <– privatni in ~/.ssh/id_dsa.pub <– javni

Zatem je potrebno postaviti ssh agenta:

OS X: recimo http://www.phil.uu.nl/~xges/ssh/
*nix: # ssh-agent
winblows: pageant @ http://www.chiark.greenend.org.uk/~sgtatham/putty/download.htm

agentom pokažite pot do ključev in jih nastavite tako, da se bodo zagnali ob logiranju v delovno postajo.

Javni del ssh ključa skopirajte po strežnikih do katerih želite dostop. To storite tako da v mapi .ssh na strežniku ustvarite, če še ni datoteko authorized_keys in vanjo skopirate svoj javni del ključa.

PAZITE ! Javni del ključa je vedno samo ena vrstica, ogromnokrat se sistemcem zgodi da jo razbijejo na več.

Eto, če ste vse naredili prav, se poskusite povezati do svojega strežnika, tokrat brez gesla.

Ob uporabi tega sistema je potrebno pomisliti malo na varnost same delovne postaje oz. dostopa do nje, zatorej zaklepajte delovno postajo ko greste od mize, nastavite “screen saver” na malo časa in zaščitenega z geslom.

Toliko zaenkrat, nisem šel v detajle, ker bi se zgubili, upam da se že niste. Ideja je predstaviti, raziskujte pa sami !

Še par 100 tipk na dan manj !

s.

Danes je bil eden tistih dni, ko gre pa res, res vse narobe.

Crknila optika SiOL (ok teh dni je mnogo), problemi pri prikljucitvi optike pri stranki, medtem je tam crknil UPS, en disk backup serverja, zvečer še ADSL doma, tako da zdaj kot bi z lučko ko ni elektrike, browsam preko UMTS-ja. Pa še druga presenečenja, ki pa niso ravno za tle…

Skratka hvala bogu da je preživeto.

Upam da že jutri pišem kaj o SSH ključih, lažji / varnejši avtentikacij, “ključnih” agentih itd.

Ostanite naštelani,
s.

Takole delajo usmerjevalniki na SiOL-u,

ping-pong…

pa mal obelix, pa mal ljubljanica, dela pa nic…

8  obelix-2-0-0.siol.net (89.143.1.25)  36.596 ms  24.269 ms  21.338 ms
9  ljubljanica1-2-0-0.siol.net (89.143.1.26)  28.703 ms  23.760 ms  22.593 ms
10  * * *
11  ljubljanica1-2-0-0.siol.net (89.143.1.26)  26.319 ms  24.276 ms  21.602 ms
12  * * *
13  ljubljanica1-2-0-0.siol.net (89.143.1.26)  28.652 ms  23.751 ms  22.126 ms
14  * * *
15  ljubljanica1-2-0-0.siol.net (89.143.1.26)  26.552 ms  23.541 ms  21.348 ms
16  * * *
17  ljubljanica1-2-0-0.siol.net (89.143.1.26)  29.017 ms  24.495 ms  23.939 ms
18  * * *
19  ljubljanica1-2-0-0.siol.net (89.143.1.26)  27.509 ms  24.292 ms  22.093 ms
20  * * obelix-2-0-0.siol.net (89.143.1.25)  23.805 ms
21  ljubljanica1-2-0-0.siol.net (89.143.1.26)  29.112 ms  23.784 ms  22.083 ms
22  obelix-2-0-0.siol.net (89.143.1.25)  27.724 ms * *
23  ljubljanica1-2-0-0.siol.net (89.143.1.26)  27.298 ms  25.996 ms  23.084 ms
24  * obelix-2-0-0.siol.net (89.143.1.25)  22.317 ms  24.056 ms
25  ljubljanica1-2-0-0.siol.net (89.143.1.26)  26.412 ms  24.497 ms  22.623 ms

Ne morš bit dober planinc s slabimi čevlji…

Zdaj pa pot pod noge…

Prva enovrstičnica oz. kako bolje rečti one-liner

Verjetno moji primeri ne bodo najkrajši, glede na to da za vsako stvar uporabim kar perl, zatorej komaj čakam na komentarje in borbo krajšanja.

Tale bo enostavna, v vseh datotekah v imeniku zamenjati besedilo.

# for i in `ls -1`; do cat $i |perl -ne ’s/nek_star_string/nov_string/g; print’ >$i.old; mv $i.old $i; done

pri čemer lahko ls -1 zamenjate z ls -1 *.html, če zelite besedilo zamenjati samo v html datotekah.

Če želite narediti enako zamenjavo tudi po vseh podimenikih, ls -1 zamenjate z ustreznim find ukazom, kot recimo find . -name “*.html”.

Toliko zaenkrat, kmalu kaj resnejšega.

S.

Danes je kot nalašč za piknik,

priprave so potekale že včeraj, ne priprave, mesarsko klanje !

Sorry ribice, ja, grdo je…

Je pa to dobra hrana za glavo, za sistemce !

Verjetno bo kakšen post namenjen bolj arhivu problemov/rešitev, kot širši uporabi.

Tale bo verjetno tak…

po nadgradnji openssh-ja na HP-UX 11 v2 ia64 na verzijo 4.5p1 je sprva izgledalo, kot da je vse ok, ko pa je prijatelj želel nekaj skopirati iz strežnika na strežnik, pa se je kazalec hitrosti ustavil na 33 KB/s. Premalo za gigabitno mrežo…

Po iskanju problema v random generatorju in še kje, se je izkazalo, da z 32 bitno verzijo openssh-ja tega problema ni.

Zamenjava na 32bit je enostavna:
/opt/ssh/switchmode.sh

Mogoče pa se najde heroj ki ve zakaj 64bit verzija ne dela kot bi morala

S.

še ena da vam prihranim prste…

če se veliko ssh-jate po strežnikih in tipkate vedno dolga cela imena strežnikov, po možnosti še s portom, like

# ssh -p 32453 aleksandertrstenjakmlajsi@server13.cluster24.datacenter3.at.company.org

vam naj povem, da gre hitreje…

ustvarite, ce se nimate datoteke “~/.ssh/config” torej datoteka z imenom config, v podmapi .ssh v domači mapi.

Datoteka lahko služi kot ssh bookmarking orodje, zapisi v njej pa zgledajo takole:

Host s13
User aleksandertrstenjakmlajsi
Port 32453
HostName server13.cluster24.datacenter3.at.company.org

Host tivoli18
User root
Port 5563
HostName tivoli.server.at.some.company

itd.

do bookmarknjenga serverja dostopate tako z

# ssh s13

S.

P.S.: direktiva User v config fajlu sluzi kot default user, če tega ne specifirate, lahko ga pa overwritetate za en session, kot recimo # ssh simon@s13 pri čemer se bodo vsi parametri za s13 upoštevali iz configa, uporabljeno uporabniško ime pa bo simon.