Есть: ОС Linux, один диск (/dev/sdc) стал вызывать подозрения по smartctl. В примере это диск под какие-то данные (точка монтирования /data, диск /dev/sdc, lvm /dev/data-vg/data-lv). Его и будем заменять.

Не секрет, что лучше всего ищутся вирусы, если подозрительный компьютер загрузить с помощью CD/USB LiveCD. Если даже загрузочный диск завирусован, то это не помешает проверить все. Я столкнулся с такой же проблемой - надо было с помощью Kaspersky Rescue Disk проверить диск компьютера, на котором была установлена CentOS и два диска были объединены в raid1 с помощью mdadm. Не ломайте голову, почему надо было Linux проверять на вирусы. Вопрос не в этом. А в том, что далеко не всякий LiveCD (и Kaspersky, в частности, тоже) сходу поймет, что диски системыне в soft raid. Да и с точки зрения расследования инцидентов автомонтирование дисков в LiveCD тоже не было бы гуд. На месте LiveCD мог бы быть просто другой компьютер с Linux, но если есть возможность проверять с LiveCD, то лучше с него, а не с другой рабочей системы. Да и диски вынимать/вставлять не потребуется.

Задача: в LiveCD (с утилитой mdadm) подмонтировать один из разделов raid1 массива, созданного mdadm. Считаем, что массив рабочий, а диски не битые.

Вполне реальна ситуация, когда хотелось бы выполнить определенную команду на сервере Linux, но выполнить ее автоматически, да еще и с другой машины, при чем эта другая машина - Windows.

Например, к UPS подключены два компьютера, один их них Windows, второй - Linux. Предположим, UPS подключен по USB/RS232 к Windows-хосту. Когда пропадает питание, UPS позволяет выполнить 1) команду командной строки, 2) выключить компьютер. Если электричества нет, а батарея вот-вот разрядится, Windows-хост спокойно выключится, а вот Linux просто вырубится, как если бы при работе у него выдернули питание. Для решения задачи в текущих условиях необходимо выполнить с Windows-хоста команду выключения (или любую другую) на Linux-хосте до того, как UPS полностью разрядится.

Отключить ipv6 на CentOS 6,7 очень просто. Добавьте в файл /etc/sysctl.conf строку:

net.ipv6.conf.all.disable_ipv6 = 1

На этом сайте уже неоднократно публиковались статьи по настройке OpenVPN, но время летит, инструменты немного изменяются, узнаются новые опции, поэтому решил обновить кладовую пошаговых how-to. Большинство из того, что здесь описано, касается не только CentOS, но и других дистрибутивов Linux, но у меня традиционно все для CentOS. С примерами рабочих конфигов сервера и клиента, разумеется.

Задача: сделать проброс порта с хоста kvm на выбранный порт на виртуальной машине, подключенной к сети default (forward mode=nat). Например, сделать доступным снаружи веб-сервер, запущенный на виртуальной машине с именем vm5. Имя интересующей машины уточните с помощью virsh list --all.

Проблема: libvirt загружает свои правила iptables для виртуальных сетей. Причем libvirt стартует после iptables, поэтому он затирает/дополняет восстановленные из /etc/sysconfig/iptables правила и вы на этот процесс никак не влияете. Т.е. вы внесли изменения в iptables, сохранили текущие правила в /etc/sysconfig/iptables, все хорошо, а потом перезагрузили хост и увидели, что ваши сохраненные правила либо затерты либо дополнены правилами для виртуальных сетей. Ничего приятного, т.к. перестают работать правила проброса портов и др.

Для запуска скрипта при загрузке раньше использовался /etc/rc.d/rc.local. В CentOS 7 в этом файле стоит прямое указание, что это - прошлый день и данный метод оставлен для обратной совместимости. Продвинутые же парни должны создавать свои собственные "сервисы" systemd. Попробуем и мы пойти в ногу со временем.

Ранее мы создали виртуальную машину, потом склонировали ее. Далеко не всегда нужно, чтобы виртуальная машина имела возможность выходить в интернет. Например, необходим режим повышенной секретности для обработки какой-то информации. Вы хотели бы иметь возможность управлять рабочим столом (через VNC, например), но при этом никакие данные даже теоретически не должны иметь возможность покинуть пределы виртуальной сети. Применений масса, равно как и способов реализации задачи. Мы просто рассмотрим один из вариантов.

Сейчас мы шаг за шагом создадим изолированную от внешнего мира сеть для виртуальных машин KVM. Сеть пусть будет 10.10.24.0/24. Назовем ее "my-isolated-net". Виртуальные машины смогут взаимодействовать между собой и с хостом, но не смогут выйти за пределы хоста.

Перед клонированием убедитесь, что исходник содержит все необходимое для будущих клонов. Если вы только что установили операционную систему, подумайте, возможно имеет смысл доустановить mc, nano, traceroute, настроить сети, hostname, motd для ssh, iptables и др. Проверьте работу сети, установите последние обновления. А может быть, и httpd с почтовым сервером настройте. Убедитесь, что оригинал для клонирования не вызывает подозрений и работает стабильно. Готовы? Поехали!

Брутфорс - это когда кто-то пытается, порой долго и упорно, подобрать наш пароль к чему-угодно методом перебора. В Linux для защиты от этого успешно используется fail2ban. В микротике такого удовольствия нет, поэтому мы будем иметь удовольствие создавать защиту от brutforce своими руками, т.е. будем блокировать по IP тех, кто пытается сканировать наш микротик.