Kamenitza Notepad » FreeBSD

Send email with attachment in bash shell

Тодор — Sun, 08 Jan 2012 21:35:57 +0000

Да изпратим писмо с прикачени файлове в bash.
Удобно и лесно това става с меил-клиента mutt:
# echo "Body" | mutt -s "Subject" -a file1 -a file2 user@domain.tld

Sendmail relay to Gmail

Тодор — Sat, 07 Jan 2012 09:03:35 +0000

Най-сигурният начин за изпращане на поща от какъвто и да е сървър е препращането на писмата към пощенски сървър, който отговаря на всички стандарти, така че кореспонденцията идваща от него да не се счита за спам и да не бъде филтрирана.
Ще дам пример как sendmail ще “релейва” през пощенските сървъри на Гугъл. Това означава, че задължително трябва да имаме активен пощенски акаунт в gmail.com.

В /etc/mail/sendmail.mc намираме следният ред:
dnl define(`SMART_HOST', `smtp.your.provider')dnl
и го корегираме на:
define(`SMART_HOST', `smtp.gmail.com')dnl

Следва компилация на направените промени:
# m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf
(Необходимо е пакета sendmail-cf да бъде инсталиран)

В /etc/mail/access добавяме реда с данните за аутентикация:
AuthInfo:smtp.gmail.com "U:username@gmail.com" "P:password" "M:PLAIN"

Следва отново “компилация” на направената промяна:
# makemap hash /etc/mail/access < /etc/mail/access

Всички домейни писмата, до които не трябва да се изпращат към smart host-а се описват в /etc/mail/local-host-names по един на ред:

loclahost
localhost.localdomain
hostmaster.kamenitza.org

Така ще избегнете всички писма генерирани от локалните демони да излизат в Интернет.

И рестартиране на sendmail:
# /etc/init.d/sendmail restart

Не забравяйте да настроите sendmail да се стартира автоматично с операционната система:
# chkconfig sendmail on

Туй то

Transfer RRD files to another platform

Тодор — Sun, 23 Oct 2011 20:40:05 +0000

Имам предвид трансферирането на RRD базите данни от 64 битова платформа на 32 битова. Да, това не става просто с копиране на самите RRD файлове – те са различни в зависимост от това на каква платформа са създадени за по-добра оптимизация и бързодействие.

При просто копиране на файловете ще получаваме грешки от сорта на:
rrd_graph() ERROR: This RRD was created on another architecture

Най-доброто, което може да се направи е базите данни да се експортират в XML формат, след това тези XML файлове да се копират и да се конвертират обратно в RRD.

Експортиране в XML:
for i in `find -name "*.rrd"`; do rrdtool dump $i > $i.xml; done

Конвертиране обратно в RRD:
for i in `find -name "*.xml"`; do rrdtool restore $i `echo $i | sed s/.xml//g`; done

Енжой

Squid and proxy authentication

Тодор — Sun, 25 Sep 2011 17:09:28 +0000

Целта е да се изконфигурира прокси, което да допуска всеки “регистриран” клиент – такъв с име и парола.

Squid поддържа много методи за уторизация на потребители, но най-лесен ми се струва NCSA. Ще дам пример със squid на CentOS 5.6 64bit.

Създаваме файла с потребителските имена и пароли:
# htpasswd -c /etc/squid/passwd user
Само ще попита за парола.

Модула ncsa_auth обикновено е инсталиран заедно със squid. Можете да проверите ето така:
# rpm -ql squid | grep ncsa_auth

Следните няколко реда се добавят в squid.conf:

auth_param basic program /usr/lib64/squid/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Please authenticate!
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

Без ACL запис няма да минем естествено

acl ncsa_users proxy_auth REQUIRED
http_access allow ncsa_users

Необходим е рестарт на squid.

HDD free space monitoring

Тодор — Fri, 12 Aug 2011 20:14:02 +0000

Важно е да следим, с колко свободно пространство разполагаме. Давам пример на едно роботче писано на bash, което изпраща e-mail (sms), когато свободното пространство на посочен дял от диска падне под определена граница:


#!/bin/bash

#------Configuration

#Send alert to this email address
EMAIL="35988xxxxxxx@sms.mtel.net"

#Partition which should be monitored
PARTITION="/dev/md1"

#If free space is less than this value in KB - send email
SPACELIMIT=1000000

#How long to wait in minutes to send another email
REMINDTIMEOUT=120

#Time format used in the message
TIME=`date +"%d.%m.%y %H:%M"`

#The marker prevents sending of too many messages
#Must be unique for each partition monitored.
#Add different numbers at the end of the file name for each partition
MARKER="/tmp/freespacereached"

#------END of Configuration

if [ -f $MARKER ]; then
    MARKERAGE=$(($((`date +%s`-`stat -c %Z $MARKER`)) / 60))
else
    MARKERAGE=0
fi

if [ $MARKERAGE -gt $REMINDTIMEOUT ]; then
    rm -f $MARKER
fi

FREESPACE=`df | grep "$PARTITION" | awk '{ print $4}'`
# Prevent crash in case of wrong partition configuration or data extraction
FREESPACE=$((FREESPACE+0));

if [ $FREESPACE -lt $SPACELIMIT ]; then
    MSG="$TIME - Spacecheck WARNING! - $((FREESPACE/1024))MB available on $PARTITION"
    if [ ! -f "$MARKER" ]; then
        echo $MSG | mail $EMAIL
        touch $MARKER
    fi
else
    rm -f $MARKER
fi

Изпълнението на скрипта се предоставя на cron, като се създава конфигурационен ред, подобен на този:


0 9-21 * * * /scripts/spacecheck.sh

Т.е. прави проверка на всеки кръгъл час, но няма да ни безпокои през нощта

Машината, на която се изпълнява трябва да може да изпраща електронна поща, т.е. трябва да има работещ sendmail, postfix или друга алтернатива.

Apache as HTTP proxy

Тодор — Thu, 02 Dec 2010 14:59:07 +0000

Налагало ли ви се е да достъпите адрес, който не е достъпен от мрежата в която се намирате, но да е напълно достъпен от друга мрежа (в която имате разположен Apache сървър)?
Ето как:

ProxyRequests Off
ProxyPass / http://foo.example.com/
ProxyPassReverse / http://foo.example.com/

или

ProxyRequests Off
ProxyPass / http://100.110.120.130/
ProxyPassReverse / http://100.110.120.130/

или

ProxyRequests Off
ProxyPass /foo http://foo.example.com/bar
ProxyPassReverse /foo http://foo.example.com/bar

Така, когато се обърнете към http://IP-адреса-на-Apache-сървъра/, той ще препрати заявката ви към крайната точка. По желание може да се ползва запис в HOSTS файла на локалния компютър, за да не се обръщате към Apache сървъра с IP адрес, а с името на недостъпния сайт.

SSH proxy (socks + PuTTY)

Тодор — Fri, 30 Apr 2010 18:19:34 +0000

Наистина могат да се намерят 49582638 причини да ползвате прокси – няма да изброявам нито една.
Бърз, лесен и най-вече сигурен начин е ползването на SSH прокси. Т.е. трафикът ви се прекарва през SSH тунел до “точката за достъп до Интернет” (проксито).

Конфигурира се PuTTY да направи тунел до отстрешната страна:

По желание може да се ползва и компресиране на трафика:

Закачайки се за отсрещния хост с SSH вече имате изграден тунел през локален TCP порт 45678. Не е задължително да ползвате root за да се логнете, всъщност най-добре да е ограничен акаунт с лимитиран шел – вместо bash, променете го на lynx да кажем.

Конфигурация на браузъра да ползва тунела:

Почти всяко мрежово програмче включително skype може да ползва SOCKS проксиране – настройва се елементарно, както виждате

Можете да споделите въпросите си в коментарите.

Apache SSL Client Authentication

Тодор — Fri, 30 Apr 2010 11:55:49 +0000

Налага се някои сайтове да са защитени с парола ползвайки basic механизъма на Apache или друг подобен. Сайтовете са защитени наистина… докато някой не открадне паролата, а това е лесно – много хора ползват елементарни пароли от сорта на “12345″, името си, фамилията, ЕГН, телефонен номер и т.н. Паролата може да бъде записана на листче, някой може да види какво натискате по клавиатурата и пак да бъде открадната.
Един по-добър метод е ползването на клиентски сертификати. В баузъра на клиента има инсталиран сертификат, който го идентифицира пред сървъра при опит за отваряне на защитен сайт. Сървърът предоставя достъп само на валидни за него сертификати.
Казах “по-добър метод”, което означава, че кражбата на сертификата е по-трудна от кражбата на парола. Значително по-трудна.

Създаваме СА (Certificate Authority):

# openssl genrsa -aes256 -out ca.key 2048
Generating RSA private key, 2048 bit long modulus
..............+++
...................................................................+++
e is 65537 (0x10001)
Enter pass phrase for ca.key:
Verifying - Enter pass phrase for ca.key:

Добре е да сложим парола на личният ключ – ако някой го докопа ще може да си вади колкото си иска сертификати с него.

# openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
Enter pass phrase for ca.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:BG
State or Province Name (full name) [Berkshire]:Plovdiv
Locality Name (eg, city) [Newbury]:Plovdiv
Organization Name (eg, company) [My Company Ltd]:Kamenitza.ORG
Organizational Unit Name (eg, section) []:IT
Common Name (eg, your name or your server's hostname) []:Kamenitza.ORG
Email Address []:

Common Name: – името на организацията, която ще притежава сертификата, не е нужно да е интернет адрес.

Следва да се създаде потебителският сертификат:

# openssl genrsa -out todor.key 2048
Generating RSA private key, 2048 bit long modulus
.....................+++
..................................................................................+++
e is 65537 (0x10001)
# openssl req -new -key todor.key -out todor.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:BG
State or Province Name (full name) [Berkshire]:Plovdiv
Locality Name (eg, city) [Newbury]:Plovdiv
Organization Name (eg, company) [My Company Ltd]:Kandev
Organizational Unit Name (eg, section) []:Kandev
Common Name (eg, your name or your server's hostname) []:Todor Kandev
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
# openssl x509 -req -in todor.csr -out todor.crt -sha1 -CA ca.crt -CAkey ca.key -CAcreateserial -days 3650
Signature ok
subject=/C=BG/ST=Plovdiv/L=Plovdiv/O=Kandev/OU=Kandev/CN=Todor Kandev
Getting CA Private Key
Enter pass phrase for ca.key:
# openssl pkcs12 -export -in todor.crt -inkey todor.key -name "Todor Kandev Cert" -out todor.p12
Enter Export Password:
Verifying - Enter Export Password:

Паролата сложена тук се ползва при инсталацията на сертификата. Без нея не може да бъде импортнат в браузъра.

todor.p12 – е потребителският сертификат, който трябва да се импортне в браузъра на клиента.

За да ограничим достъпа до дадена директория от сайт слагаме това в .htaccess файла:

SSLVerifyClient require
SSLVerifyDepth 1

Или в на конфигурационния файл на Apache.

Но най-важното е да кажем на Apache, кои са “доверените” сертификати и как да ги познава. За това трябва да се постави този ред в конфигурационният файл на Apache:

SSLCACertificateFile /ssl/ca/ca.crt

(естествено заменете пътя с вашия)

След рестартиране на Апача всичко би трябвало да работи.

(В статията приемам, че сайтът е вече конфигуриран успешно да работи с SSL сертификат през HTTPS)

Да експортнем SSL сертификат от Apache към IIS

Тодор — Wed, 28 Apr 2010 18:59:57 +0000

IIS а и много други програми ползват сертификати в pkcs12 формат (и публичният и частният ключ се съхраняват в един файл – PFX).

openssl pkcs12 -export -in my.crt -inkey my.key -certfile my.bundle -out my.pfx

Генериране на искане за подписване на SSL сертификат (certificate signing request) в Apache

Тодор — Sat, 10 Apr 2010 11:54:31 +0000

Преди да получим SSL сертификат за даден адрес първо трябва да се изгенерира файл който съдържа информация за собствника и адреса на сайта – Certificte Signing Request (CSR). Информацията от CSR-a бива подписана от избран от нас CA (Certificate Authority) – Thawte, VeriSign, GoDaddy и др, след което вече имаме готов сертификат.

Пъро се генерира личният ключ:
# openssl genrsa -out private.key 2048

С този личен ключ се генерира CSR:
# openssl req -new -key private.key -out certreq.csr

Попълват се данните за сертификата, като от най-голямо значение е Common Name, което трябва да съвпада с пълният адрес на сайта (mail.server.com).
Файлът certreq.csr съдържа “искането” за сертификат. След генерирането на подписаният сертификат, той вече не е нужен.

Да създадем файл с произволно съдържание

Тодор — Sat, 27 Feb 2010 12:07:26 +0000

Понякога се налага да разполагаме с някакъв голям или малък файл за някаква проба или тест или каквото и да е. В случая ни трябва файл с размер 1GB, не ни интересува какво има в него и какъв е този файл, единствено размера има значение!

dd if=/dev/zero of=testfile bs=1MB count=1024

Това ще снесе файл с име testfile в текущата директория, ще бъде с размер точно 1GB.

Отдалечен X11 в Windows

Тодор — Fri, 26 Feb 2010 12:07:42 +0000

Целта на упражнението е да се закачим с putty към *nix машина и да стартираме графична програма, която да ползваме локално.
Задачата е доста проста и няма нищо сложно в изпълнението.
Нужни са ни Xming и PuTTY. Ще ги атачна, за да не ги търсите.
Инсталират се Xming и Xming-fonts. Стартира се. Долу в дясно (където е часовника) трябва да се появи един X.
Следващата настройка е в putty – Connection>SSH>X11 – слага се отметка на “Enable X11 forwarding” и в полето “X display location” се попълва “localhost:0:0″. Показал съм снимка на това.
След като сте въвели всичко се закачате към желаната машина и всяко графично приложение, което изпълните ще се появи на вашия десктоп.
#firefox &
Това ще зареди браузъра Firefox изпълнен на отдалечената машина, но с прозорче на вашия екран. Символа & се слага на края за да го изпълни във фонов режим и да освободи конзолата на putty за по-нататъшно използване.
Затворите ли сесията на putty – всички стартирани приложения ще умрат.

Успех

Бърз начин да затрием цял диск

Тодор — Thu, 18 Feb 2010 18:58:32 +0000

Ето и най-бързия начин да погубите информацията на диска си:
dd if=/dev/zero of=/dev/sda bs=1M
Ще покрие целия диск с нули, включително boot-сектор, всички налични тялове и т.н.
Като вариант може вместо /dev/zero да се ползва /dev/random, което ще напълни диска с произволно генерирана информация вместо “нули”.

Инсталиране на SETI@HOME BOINC клиент във FreeBSD

Тодор — Wed, 21 Oct 2009 23:01:44 +0000

1. отиваме в /usr/ports/net/boinc-client/
2. отваряме Makefile в текстов редактор
3. променяме
CONFIGURE_ARGS=--disable-server
както следва:
За 32 битов FreeBSD променяме на:
CONFIGURE_ARGS=--disable-server --with-boinc-platform=i686-pc-freebsd --with-boinc-alt-platform=i686-pc-linux-gnu
За 64 битов FreeBSD променяме на:
CONFIGURE_ARGS=--disable-server --with-boinc-platform=x86_64-pc-freebsd --with-boinc-alt-platform=i686-pc-linux-gnu
4. make install clean
5. при грешки от рода на “ELF 0 ….”, проверете дали са инсталирани тези:
/usr/ports/emulators/linux_base-fc4 или по-висока версия

# sysctl kern.elf32.fallback_brand=3

Може би ще има грешки с емулацията на линукс, ако в момента се емулира ядро 2.4, тогава:

# sysctl compat.linux.osrelease=2.6.16

И се инсталира нов линукс емулатор – фc6 примерно.

Приятно смятане!

Конфигуриране на SNMP daemon

Тодор — Mon, 01 Jun 2009 10:45:50 +0000

Примерът за коректна конфигурация на snmpd не е конкретно за една операционна система – изпраобвано работи и ви FreeBSD, Solaris, Slackware Linux, Fedora Linux.

Отваряте /etc/snmp/snmpd.conf с любимият ви текстов редактор.

Заместете реда:

com2sec notConfigUser default public

с:

com2sec local     localhost           public
com2sec mynetwork 192.168.0.0/24      public

Приемаме, че 192.168.0.0/24 е вашата локална мрежа (уверете се в това).
Потърсете и тези 2 реда:

group   notConfigGroup v1           notConfigUser
group   notConfigGroup v2c           notConfigUser

Заместете ги с:

group MyRWGroup v1         local
group MyRWGroup v2c        local
group MyRWGroup usm        local
group MyROGroup v1         mynetwork
group MyROGroup v2c        mynetwork
group MyROGroup usm        mynetwork

Продължавате да замествате:

view systemview included system

с:

view all included .1 80

Замествате и:

access notConfigGroup "" any noauth exact systemview none none

с:

access MyROGroup ""      any       noauth    exact  all    none   none
access MyRWGroup ""      any       noauth    exact  all    all    none

А това е по желание:

syslocation Top secret location
syscontact Todor Kandev

Следва рестартиране на демона и това е всичко.