#!/bin/sh
WANIF="ppp0"
LANIF="eth0"
INTERNALNET="192.168.0.0/24"
IFCONFIG=/sbin/ifconfig
IPTABLES=/usr/sbin/iptables
GREP=/bin/grep
AWK=/bin/awk

# Determinam adresa IP externa automat:
WANIP="`$IFCONFIG $WANIF | $GREP 'inet addr' | $AWK '{print $2}' | sed -e 's/.*://'`"

# Se face SNAT la toate IP-urile din reteaua locala prin IP-ul extern
$IPTABLES -t nat -A POSTROUTING -s $INTERNALNET -j SNAT --to $WANIP

#END

Modulul specificat poate limita viteza pe apache dupa extensie, per virtual host, per client si / sau per total.

Pentru a citi mai multe despre acest modul aveti urmatoarele url-uri de referinta:

* http://bwmod.sourceforge.net/
* http://bwmod.sourceforge.net/files/mod_bw-0.7.txt “The .. fine Manual

Default, dupa compilare modulul nu functioneaza sub httpd 2.x ( apache2 )
Afiseaza o eroare ca in exemplul de mai jos:

httpd: Syntax error on line 59 of /usr/local/apache2/conf/httpd.conf:
Cannot load /usr/local/apache2/modules/mod_bw.so into server: /usr/local/apache2/modules/mod_bw.so:
Undefined symbol "apr_atomic_cas"

Pentru a evita eroarea de mai sus, editam sursa mod_bw.c la linia 61

root@dj[~/work/src/mod_bw] # pico +61 mod_bw.c

Aici stergem liniile urmatoare:

/* Compatibility for ARP < 1 */
#if (APR_MAJOR_VERSION < 1)
#define apr_atomic_inc32 apr_atomic_inc
#define apr_atomic_dec32 apr_atomic_dec
#define apr_atomic_add32 apr_atomic_add
#define apr_atomic_cas32 apr_atomic_cas
#define apr_atomic_set32 apr_atomic_set
#endif

Compilam si instalam modulul

root@dj[~/work/src/mod_bw] # /usr/local/apache2/bin/apxs -cia mod_bw.c

Editam fisierul de configurare de la virtualhost-ul pe care dorim sa-l limitam si adaugam liniile de configurare a limitei pentru modulul mod_bw, apoi se va executa restart la serviciul apache

root@dj[~/work/src/mod_bw] # /etc/rc.d/httpd restart

### -------------------------- ###
### Exemple configurare ###
### -------------------------- ###

## Se adauga in sectiunea virtual host-ului ##

## Pentru limitarea fiecarui vizitator la 128KB/s pe un virtual host
BandwidthModule On
ForceBandWidthModule On
Bandwidth all 128000
MinBandwidth all -1

## Pentru limitarea extensiilor avi, mpg la 64KB/s
BandwidthModule On
ForceBandWidthModule On
LargeFileLimit .avi 1 64000
LargeFileLimit .mpg 1 64000

Debian
apt-get install automysqlbackup

CentOS
yum install automysqlbackup

Deschidem fisierul /etc/default/automysqlbackup cu nano, vi, pico eu o sa folosesc nano

nano /etc/default/automysqlbackup

[...]
# Host name (or IP address) of MySQL server e.g localhost
DBHOST=localhost
[...]
# List of DBNAMES for Daily/Weekly Backup e.g. “DB1 DB2 DB3″
# The following is a quick hack that will find the names of the databases by
# reading the mysql folder content. Feel free to replace by something else.
#DBNAMES=”db_ispconfig web1 web2 web3″
DBNAMES=`find /var/lib/mysql -mindepth 1 -maxdepth 1 -type d | cut -d’/’ -f5 | grep -v ^mysql\$ | tr \\\r\\\n ,\ `
[...]
# Backup directory location e.g /backups
# Folders inside this one will be created (daily, weekly, etc.), and the
# subfolders will be database names.
BACKUPDIR=”/var/lib/automysqlbackup”
[...]
# Email Address to send mail to? (user@domain.com)
MAILADDR=”backup@linuxpedia.ro”
[...]

2. Pornim automysqlbackup

[root@linuxpedia ~]# automysqlbackup
[root@linuxpedia ~]# ls -l /var/lib/automysqlbackup

In directorul /var/lib/automysqlbackup ne arata urmatoarele date

[root@linuxpedia ~]# ls -l /var/lib/automysqlbackup
total 12
drwxr-xr-x 4 root root 4096 2010-01-27 17:20 daily
drwxr-xr-x 2 root root 4096 2010-01-27 17:20 monthly
drwxr-xr-x 4 root root 4096 2010-01-27 17:20 weekly
[root@linuxpedia ~]#

Cam asta e !

Scriptul este:
#!/bin/bash
DATE=`date`
if [ " `ping yahoo.com -c 5 | grep "received" | awk {'print " "$4'}`" -le "0" ];
then
MESSAGE=”Eroare ping – yahoo.com NU raspunde la ping. Posibile erori de retea. – Repornesc reteaua”
SUBJECT=”Eroare ping”
echo $DATE >> eroare-ping.log
echo “yahoo.com NU raspunde la ping. Posibile erori de retea” >> eroare-ping.log
echo “Repornesc reteaua” >> eroare-ping.log
service network restart >> eroare-ping.log
echo “——————————\/————————-” >> eroare-ping.log
echo ” ” >> eroare-ping.log
mail -s “$SUBJECT” “Status@domeniu.tld” << EOF
$MESSAGE
EOF
else
echo Conexiune OK >> ping-ok.log
echo $DATE >> ping-ok.log
echo “——————————\/————————-” >> ping-ok.log
echo ” ” >> ping-ok.log
fi
exit 0

A fost creat si testat pe Fedora Linux.
Pentru modificari puteti sa postati un reply.

Homepage
http://www.vhcs.net/

Platforme suportate:
Linux, BSD

Documentatie:
http://vhcs.net/new/modules/phpwiki/

Download:
http://vhcs.net/new/modules/PDdownloads/

Tutorial Debian (cu poze)
http://www.debianadmin.com/vhcs-isp-control-panel-installation-with-screenshots.html
(hint: instalati MySQL server inainte sa apt-get install vhcs)

Online demo:
http://www.vhcs.net/new/modules/wfchannel/index.php?pagenum=7

Forum:
http://vhcs.net/new/modules/newbb/

Licenta (Error 404! la data publicarii  wallbash)
http://www.vhcs.net/vhcs/en/download/license.php

Features:
- Administrare din pagina browser
- Administrare domenii, useri de mail, pagini web, baze de date
- Webmail – UebiMiau
- Monitorizare trafic
- Optiuni de back-up
- Password recovery

Cerinte pentru instalare:
Apache2
Postfix
ProFTP
PHP 4.x
Perl
MySQL
Courier-POP3 si Courier-IMAP
BIND9

Se descarcă informațiile despre repozitorul EPEL
wget http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-3.noarch.rpm

se instalează pachetul
rpm -Uvh epel-release-5-3.noarch.rpm

Urmează instalarea lui OpenVPN folosind yum
yum install openvpn

Urmează generarea certificatelor și configurarea pachetului.

1. Instalati pppoeconf (se poate sa fie instalat default, spre exemplu pe debian nu este) astfel :

# apt-get install pppoeconf

Deoarece internetul nu merge, va trebui sa folositi repository-ul de pe cd-rom: in /etc/apt/sources.list va trebui sa aveti o linie de genul :
deb cdrom:[Debian GNU/Linux 4.0 r0 _Etch_ - Official i386 kde-CD Binary-1 20070407-12:10]/ etch contrib main. Daca nu aveti atunci cautati pe net, din windows, ce linie trebuie sa aveti pentru a putea descarca pachetele de pe cd-rom si apoi dati

# apt-get update.

2. Rulati pppoeconf :

# pppoeconf

Dati OK-uri si introduceti user-ul s parola.

3. Problema este ca PPPoE-ul face legatura intre ppp0 (interfata de PPPoE) si gateway, dar noi nu de asta avem nevoie ci de legatura intre ethX si gateway, unde X este numarul interfetei de retea(foarte probabil 0, eu am 1 pentru ca pe 0 am placa wireless)

4. Inchidem conexiunea :

# poff

5. Adaugam ruta :

# route add -net 10.0.0.0 netmask 255.0.0.0 dev ethX

6. Redeschidem conexiunea :

# pon dsl-provider

7. Ne bucuram de net.

8. Problema este ca pasii 4 5 si 6 trebuiesc executati la fiecare noua pornire a sistemului (serverul nu-mi face legatura ethX <–> gateway).O posibila solutie este un fisier de scripting. Determinati run-level-ul curent cu

# who -r si apoi intrati in directorul /etc/rcY.d , unde Y=runlevel-ul curent.

Faceti un fisier S99eRegie (S de la start, 99 prioritatea cea mai mica) :

# touch S99eRegie
# vim S99eRegie

Adaugati liniile :

poff
route add -net 10.0.0.0 netmask 255.0.0.0 dev ethX
pon dsl-provider

9. Toate bune si frumoase acum deoarece scriptul anterior se va rula la fiecare incarcare a sistemului de operare !

Nu de putine ori dam cate un ping la serverul respectiv, numai ca sa verificam ca functioneaza. Ce facem? Îl facem sa accepte ping numai de la anumite adrese? Daca se viruseaza astea si fac mai mult rau decat restul internetului la un loc?

Eu va recomand așa:

• creem un lana nou, ICMP si directionam tot traficul ICMP catre el(practica spune că e bine sa creem grupurile de reguli ce tin de un anume protocol sau de un serviciu în lanturi separate)

iptables -N ICMP
iptables -A INPUT -p icmp -j ICMP
iptables -A OUTPUT -p icmp -j ICMP
iptables -A FORWARD -p icmp -j ICMP


• jurnalizam si ignoram pachetele ce depasesc de o anumita dimensiune (pachetele de control în general nu depasesc 1500, adica mai mult de cat MTU, daca sunt mai mari e clar că ceva e in neregula)

iptables -A ICMP -m length --length 1700:65507 -m limit --limit 1/sec -j LOG --log-prefix "ICMP TOO BIG: "
iptables -A ICMP -m length --length 1700:65507 -j DROP


• acceptam pachetele de tipul care ne intereseaza si în anumite limite

iptables -A ICMP -p icmp -m limit --limit 10/sec --limit-burst 20 -m icmp --icmp-type 0 -j ACCEPT #echo-reply
iptables -A ICMP -p icmp -m limit --limit 10/sec --limit-burst 20 -m icmp --icmp-type 8 -j ACCEPT #echo-request
iptables -A ICMP -p icmp -m limit --limit 3/sec -m icmp --icmp-type 3 -j ACCEPT #destination-unreachable (folosit la traceroute și mtr)
iptables -A ICMP -p icmp -m limit --limit 3/sec -m icmp --icmp-type 11 -j ACCEPT #time-exceeded
iptables -A ICMP -p icmp -m limit --limit 3/sec -m icmp --icmp-type 30 -j ACCEPT #traceroute
iptables -A ICMP -p icmp -m limit --limit 3/sec -m icmp --icmp-type 17 -j ACCEPT #address-mask-request
iptables -A ICMP -p icmp -m limit --limit 3/sec -m icmp --icmp-type 18 -j ACCEPT #address-mask-reply


• jurnalizam si ignoram restul pachetelor

iptables -A ICMP -m limit --limit 1/sec -j LOG --log-prefix "DROP ICMP: "
iptables -A ICMP -j DROP

Daca aveti ceva neclaritati astept reply !

Se pare că de la un timp uitasem de ea. Azi m-am lovit din nou de ea

Se dă situația următoare:

Un mediu de hosting în care avem utilizatorul X și utilizatorul Y. Utilizatorul X are un CMS care se conectează la MySQL și are setările în /home/X/public_html/config.php.

Utilizatorul Y este un băiat deștept, care vede că X folosește un CMS și știe unde are acel CMS setările de bază de date. Își face pe contul lui un fișier PHP în care pune:

<?php
file_get_contents(“/home/X/public_html/config.php”);
?>

Scriptul la execuție îi va da tot conținutul fișierul config.php, inclusiv parola de conectare la MySQL. Cum într-un mediu de hosting parola de MySQL este aceeași ca și la userul de sistem, întregul sistem e astfel compromis.

Soluția? În php.ini:

safe_mode = on

Setarea face ca scriptul PHP care are UID-ul lui Y, acesta să nu poată vedea fișierele lui X.

Însă nagios face doar notificări. Rulează sub un user simplu, pentru anumite comenzi(ce nu pot fi rulat de sub un simplu user) face sudo (cu supraveghere atentă).

Până nu demult aveam întipărită bine în minte ideea că dacă vreau ceva care să verifice starea unui program și să ia măsuri în anumite situații trebuie să fac un script, aveam în cap chiar și un exemplu (de la eggdrop, remember IRC?) care să îl pun să ruleze în cron.

Ieri m-a întrebat despre așa ceva, pe messenger, unul dintre cititorii acestui blog. I-am dat aceleași răspunsuri pe care le-am scris mai sus dar se pare că pe el nu l-a mulțumit. A tot căutat și el pe net până a dat de un tutorial pe care mi l-a pasat.
Software-ul pare a fi unul destul de matur, a ajuns la versiunea a 5-a(În repozitoarele Debian stable sau Ubuntu LTS e la versiunea 4.8.x). Are chiar și o interfață web pe care totuși nu v-aș recomanda să o porniți, iar dacă o porniți să nu o lăsați liberă publicului larg(în primul rând daemonul rulează sub userul root).

Monit este capabil ca în funcție de diverși parametrii ai aplicatiei, cum ar fi memoria RAM utilizată, nivelul de încărcare al procesorului, dispariția activității pe portul TCP sau UDP să ia anumite măsuri, adică să lanseze anumite comenzi de oprire/pornire/repornire a serviciilor sau chiar modificarea permisiunilor asupra fișierelor.

Dar gata cu vorba lungă, care contrar reclamelor de la TV, este sărăcia omului și să ne apucăm de treabă. Începem cu instalarea pachetului. Nu avem de făcut decât să rulăm ca root următoarea comandă:

apt-get install monit
yum install monit

Ce se îtâmplă?:

Reading package lists... Done
Building dependency tree
Reading state information... Done
The following NEW packages will be installed:
monit
0 upgraded, 1 newly installed, 0 to remove and 2 not upgraded.
Need to get 254kB of archives.
After this operation, 680kB of additional disk space will be used.
Get:1 http://ftp.nb.lug.ro hardy/universe monit 1:4.8.1-2.1 [254kB]
Fetched 254kB in 0s (1966kB/s)
Selecting previously deselected package monit.
(Reading database ... 79286 files and directories currently installed.)
Unpacking monit (from .../monit_1%3a4.8.1-2.1_i386.deb) ...
Setting up monit (1:4.8.1-2.1) ...
Starting daemon monitor: -e monit won't be started/stopped
unless it it's configured
please configure monit and then edit /etc/default/monit
and set the "startup" variable to 1 in order to allow
monit to start
Edităm ulterior fișierul /etc/default/monit

startup=1
CHECK_INTERVALS=180

Edităm /etc/monit/monitrc

set alert email@domeniu.ro #adresa de e-mail validă unde se vor trimite notificările
include /etc/monit.d/*

Creem directorul /etc/monit.d și creem câte un fișier de configurare pentru diversele servicii ce urmează să le monitorizăm.

mkdir /etc/monit.d
cd /etc/monit.d/

Iată câtvea exemple:

apache2:

check process apache2 with pidfile /var/run/apache2.pid
start program = "/etc/init.d/apache2 start"
stop program  = "/etc/init.d/apache2 stop"
if cpu > 60% for 2 cycles then alert
if cpu > 80% for 5 cycles then restart
if totalmem > 1.5 GB for 5 cycles then restart
if children > 50 then restart
if loadavg(5min) greater than 10 for 8 cycles then stop
group lamp

bind9:

check process named with pidfile /var/run/bind/run/named.pid
start program = "/etc/init.d/bind9 start"
stop program  = "/etc/init.d/bind9 stop"
if failed host 127.0.0.1 port 53 type tcp protocol dns then alert
if failed host 127.0.0.1 port 53 type udp protocol dns then alert
if 5 restarts within 5 cycles then timeout
group dns

dovecot:

check process dovecot with pidfile /var/run/dovecot/master.pid
group mail
start program = "/etc/init.d/dovecot start"
stop  program = "/etc/init.d/dovecot stop"
if 5 restarts within 5 cycles then timeout
if failed port 110 type TCP protocol POP then restart
if failed port 143 type TCP protocol IMAP then restart

mysql:

check process mysqld with pidfile /var/run/mysqld/mysqld.pid
start program = "/etc/init.d/mysql start"
stop program  = "/etc/init.d/mysql stop"
if cpu > 60% for 2 cycles then alert
if cpu > 80% for 5 cycles then restart
if totalmem > 1.0 GB for 5 cycles then restart
if children > 50 then restart
if failed host 127.0.0.1 port 3306 protocol mysql then restart
if 5 restarts within 5 cycles then timeout
if loadavg(5min) greater than 10 for 8 cycles then stop
group lamp
postfix:

check process postfix with pidfile /var/spool/postfix/pid/master.pid
group mail
start program = "/etc/init.d/postfix start"
stop  program = "/etc/init.d/postfix stop"
if failed port 25 protocol smtp then restart
if 5 restarts within 5 cycles then timeout

proftpd:

check process proftpd with pidfile /var/run/proftpd.pid
start program = "/etc/init.d/proftpd start"
stop program  = "/etc/init.d/proftpd stop"
if failed port 21 protocol ftp then restart
if 5 restarts within 5 cycles then timeout
group lamp
ssh:

check process sshd with pidfile /var/run/sshd.pid
start program = "/etc/init.d/ssh start"
stop program  = "/etc/init.d/ssh stop"
if failed port 22 protocol ssh then restart
if 5 restarts within 5 cycles then timeout
group ssh

webmin:

check process webmin with pidfile /var/webmin/miniserv.pid
group webmin
start program = "/etc/init.d/webmin start"
stop  program = "/etc/init.d/webmin stop"
if failed host 127.0.0.1 port 8080 then restart
if 5 restarts within 5 cycles then timeout

check file webmin_rc with path /etc/init.d/webmin
group webmin
if failed checksum then unmonitor
if failed permission 755 then unmonitor
if failed uid root then unmonitor
if failed gid root then unmonitor

În final pornim serviciul de monitorizare

/etc/init.d/monit start
Starting daemon monitor: monit.