Суть проблемы: пользователь MacOS забыл пароль и вспомнить его не может. Конечно, считаем, что в системе нет второй учетной записи с правами админа, чтобы поменять забытый пароль.

В статье приведен пример установки файлового сервера Samba в рабочей группе (не в домене) на CentOS 7. Доступ к ресурсам как публичный, так и по логину/паролю. Последнее обновление: 06.09.2017.

В предыдущих статьях было описано как получить сертификат s/mime от Comodo и настроить Outlook на работу с ним. Но в этой схеме есть недостаток - сертификат, которым вы можете шифровать конфиденциальные данные, выпущен третьей стороной. Да, с точки зрения удобства, если требуется упростить обмен конфиденциальными данными, такой сертификат, подписанный известным центром сертификации, является достаточно простым методом. Но если есть желание увеличить степень контроля за перепиской или количество сертификатов планируется достаточно большим, а бюджет - не очень, то остается один вариант - выпускать сертификаты самому. Достаточно простой способ реализации этой затеи - генерация приватного и публичного ключей с помощью OpenSSL, который встроен в любую систему Linux по умолчанию (крайне редко можно встретить даже минимальный дистрибутив без openssl в базе). Дальше все просто - обмен публичными ключами, настройка почтовых клиентов.

Цель: обеспечение удобной защиты почтовой переписки (даже в случае взлома пароля почты) с обязательной возможностью работы с разных устройств (в том числе мобильных) и разных операционных систем для небольшой компании.

Настройку KVM будем проводить на CentOS 7, minimal, x64. Выбор KVM при использовании CentOS был для меня достаточно очевиден - он поддерживается и продвигается Red Hat.

Итак, в локальной сети 192.168.88.0/24 есть хост (CentOS 7, имя SERVER.LOCAL и IP 192.168.88.2, сетевой адаптер enp1s0). На этом хосте мы хотим запустить несколько виртуальных машин, доступных из локальной сети. Технология виртуализации: KVM.

Centos 7, в отличие от CentOS 6, в базе идет с новым брандмауэром - firewalld. Его можно отключить и заменить на старый добрый iptables, но если к этому нет прямых предпосылок, то лучше привыкать к чему-то новому, а не упираться в старое. Это не значит, что Windows 10 лучше Windows 7, а Windows XP лучше Windows 7 ;) Хороший пример на эту тему - selinux. Если вначале почти все (и я тоже) его отключали и даже немного ругали, то теперь почти никто это не советует, только если есть уверенность, что так надо. Напротив, многие уже привыкли (или привыкают) пользоваться semanage. Не будем и мы сразу отключать firewalld, а попробуем, как он на вкус.

Firewalld - это не принципиально иной брандмауэр. Это другая надстройка над netfilter, поэтому если вы обладаете опытом работы с iptables, то помучившись немного вы спокойно начнете пользоваться новым инструментом.

Порой у всех начинает зашкаливать паранойя. Что-то произошло. Сервер взломали? Кто-то неудачно изменил конфиг и теперь непонятно, какой файл изменялся? На эти вопросы нам поможет ответить aide.

Важно! Подобные программы вспоминают чаще всего когда с системой что-то не то. Но в этот момент уже поздно пить боржоми. Если система скомпрометирвоана или просто неудачно что-то изменено, сравнивать текущее состояние просто не с чем. И бекап вам может не помочь, т.к. если система была в продакшене уже 3 года, то откуда вам знать, что и когда было изменено, в т.ч. в важных файлах (/etc/shadow, например). Поэтому важно настроить aide ДО того момента, когда он реально понадобится.

Возможно, кому-то пригодиться. В почтовом клиенте Mozilla Thunderbird (как и во многих других) есть возможность при создании письма указывать запрос подтверждения о доставке письма на почтовый сервер получателя (Delivery Status Notification, DSN). Очень удобно, т.к. обычно при отправке письма из почтовой программы до конца не ясно, что с ним произошло - отправилось ли оно или почтовая программа сглючила и прочее. А тут раз - и приходит через несколько секунд (как правило) подтверждение о том, что ваше отправленное письмо было принято почтовым сервером получателя. Не факт, что письмо было прочитано - попалов спам или было удалено. Мы этого не знаем. Но мы с уверенностью можем сказать, когда наше письмо было доставлено на почтовй сервер. Примерно как если вы отправляете письмо с курьером и точно знаете, что письмо доставили на ресепшн получателя. Да, это не подтверждает прочтение. Но все же лучше, чем ничего. По-крайней мере, если ваш контрагент говорит - я не я и лошадь не моя, вы ему всегда можете показать отбивочку - мол или врете, мистер или в спаме ищите.

Сейчас нет времени писать статью, с примерами, скриншотами, но поделиться "находкой" все же хочется - полгода назад случайно наткнулся на программу анализа трафика, в том числе под Windows. Называется программа NetworkMiner. Бесплатная версия тоже кое-что умеет! Запустите программу (под админом), выберите сетевой интерфейс, жмите старт и откройте пару сайтов, больше не надо. Теперь закрывайте браузер и смотрите, сколько всего наловил NetworkMiner. Честное слово, вам должно понравится. Группирует DNS запросы, параметры трафика, GET, куки, сессии, файлы, фреймы (!) и др. Может, и дополню потом эту заметку (сам для себя написал, чтобы не забыть опять). Помочь программка может если надо понять, что и куда ломиться, а, например, tcpdump вам не подходит или не очень нравится. Заявлена работа в Windows (проверил сам), в Linux, Mac и FreeBSD. Нигде, кроме Windows, не пробовал - не знаю ;) А в Windows понравилось. Чуть не забыл, вот страница программы: http://www.netresec.com/?page=Networkminer

На днях пришлось менять диски на сервере CentOS 6.7. Старые диски хоть и рабочие еще, но с нагрузкой не справлялись. Поэтому раскошелились и купили SSD диски такой же емкости, как и старые. Но т.к. стоимость 1 Гб на SSD диске намного дороже, то посмотрев на размер /var (180 Гб) и / (корневой раздел) 300 Гб, само собой напросилось решение увеличить размер / за счет уменьшения размера /var. Идея, конечно, хорошая, но раньше я никогда таким не баловался, поэтому провел выходные на форумах, проверил сначала все на виртуальной машине без raid, потом подумал, что на моем сервере работает софтовый raid1 и сделал тестовый стенд (на старый комп поставил CentOS 6.7 с двумя дисками в программном raid1) и проверил все на нем, потом уже выполнил повторно на рабочем сервере. Но все же волнительно было, чего уж. Итак, поехали!

У каждого есть свой способ делать бекапы и архивы. У меня тоже есть свой :)

Неоднократно сталкивался с ситуациями, когда архив tar.gz, созданный в Linux (tar -czvf) , нормально в Linux открывающийся, в Windows либо не открывался либо все время говорил об ошибках конца архива и прочее. А я хотел, чтобы архивы сервера можно было бы спокойно просматривать на Windows. В итоге родился вариант: tar | 7za. Почему не просто tar? Мне не поддался tar в плане multi-volume (точнее, я не очень-то и хотел), да и не сжимает он все же сам. А почему тогда не просто 7za? А потому, что в man 7za белым по черному написано, что 7za не сохраняет прав доступа и владельцев файлов. Поэтому сначала tar, потом 7zip.