В этой части мы продолжим рассмотрение пост-установочных процедур после установки ОС CentOS Linux 7.2 на сервер HP ProLiant DL360 G5. Рассмотрим ещё один пример обновления драйверов и прошивок firmware для двух-портового оптического контроллера Fibre Channel (FC) Host Bus Adapter (HBA) Emulex LightPulse FC HBA LPE11002 (FC1110406-01 Rev.C) или, по классификации HP, FC2242SR (A8003A). Идентификация оборудования Определяем то, как Linux-система видит наш двух-портовый FC HBA контроллер на шине PCI, например с помощью утилиты lspci: # lspci | grep Emulex 13:00.0 Fibre Channel: Emulex Corporation Zephyr-X LightPulse Fibre Channel Host Adapter (rev 02) 13:00.1 Fibre Channel: Emulex Corporation Zephyr-X LightPulse Fibre Channel Host Adapter (rev 02) В логе /var/log/dmesg смотрим то, какой драйвер был подгружен в процессе загрузки ОС для FC контроллера: # cat /var/log/dmesg | grep Emulex [0.896753] Emulex LightPulse Fibre Channel SCSI driver 10.7.0.1 [0.896758] Copyright(c) 2004-2014 Emulex. All rights reserved. [0.898479] scsi host2: Emulex LPe11000 PCIe Fibre Channel Adapter on PCI bus 13 device 00 irq 17 [2.141352] scsi host3: Emulex LPe11000 PCIe Fibre Channel Adapter on PCI bus 13 device 01 irq 18 Посмотрим информацию о модуле ядра lpfc, который является драйвером для контроллеров Emulex # modinfo lpfc filename: /lib/modules/3.10.0-327.18.2.el7.x86_64/kernel/drivers/scsi/lpfc/lpfc.ko version: 0:10.7.0.1 author: Emulex Corporation - tech.support@emulex.com description: Emulex LightPulse Fibre Channel SCSI driver 10.7.0.1 license: GPL rhelversion: 7.2 ... depends: scsi_transport_fc,crc-t10dif intree: Y vermagic: 3.10.0-327.18.2.el7.x86_64 SMP mod_unload modversions .... Дополнительно для более удобной идентификации FC контроллеров можно скачать и установить пакет утилит Fibreutils for HPE Storage Fibre Channel Host Bus Adapters for Linux (x86_64). Текущая версия 3.2-6(F) (01.04.2016). Загрузить можно отсюда. Загружаем и устанавливаем текущую версию: # wget http://ftp.hp.com/pub/softlib2/software1/pubsw-linux/p1224445687/v112798/fibreutils-3.2-6.x86_64.rpm -P ~/HP/ # yum install ~/HP/fibreutils-3.2-6.x86_64.rpm Пакет устанавливается в каталог /opt/hp/hp_fibreutils/ и содержит такие скрипты и утилиты, как lssd, lssg, adapter_info, hp_rescan, scsi_info. В частности скрипт adapter_info дополнительно поможет нам в идентификации контроллеров, показав нам информацию о модели контроллера,
↧
Обновляем драйвер и прошивку контроллера FC HBA HP FC2242SR (Emulex LightPulse FC HBA LPE11002) Dual-Port PCI-E 4Gb в CentOS Linux 7.2
↧
Настройка CentOS Linux 7.2 на сервере HP ProLiant DL360 G5. Установка HP System Management Tools
В предыдущих заметках мы произвели установку ОС CentOS Linux 7.2 на сервер HP ProLiant DL360 G5 и рассмотрели примеры последующего обновления драйверов и firmware для встроенных сетевых контроллеров HP NC373i, а также оптических контроллеров HP FC2242SR/FC1242SR. На этот раз, в качестве завершающего этапа пост-установочных процедур, мы рассмотрим пример установки на наш сервер утилит управления семейства HP System Management Tools. В частности, нами будут установлены утилиты (в скобках указаны названия необходимых rpm пакетов): HPE System Health Application and Command Line Utilities (hp-health) Insight Management Agents(SNMP) for HPE ProLiant Systems (hp-snmp-agents) HP System Management Homepage (hpsmh) HPE System Management Homepage Template Package (hp-smh-templates) HPE Smart Storage Administrator (hpssa) HPE Command Line Smart Storage Administrator (hpssacli) Hponcfg — HP Lights-Out Online Configuration Utility (hponcfg) HP Insight Diagnostics (hpdiags) В качестве опорной информации было взято развёрнутое сообщение на форуме CentOS некоего гражданина dgrant, за что ему большущее спасибо. Итак, приступим… Подключаем репозитории HP Страница информации о Linux-репозиториях для распространения программного обеспечения HP расположена здесь: Software Delivery Repository — Getting Started. Там же есть ссылка на sh-скрипт, который способен автоматически добавить в нашу серверную систему на Linux информацию о репозиториях HP. Забегая вперёд, отмечу тот факт, что текущая версия скрипта при вызове без дополнительных параметров потребует для своей работы наличие в нашей системе утилиты lsb_release, которая входит в состав пакета redhat-lsb. А установка пакета redhat-lsb, в свою очередь, имеет целый ворох зависимостей (+141 Dependent packages), необходимость присутствия которых в серверной системе остаётся под вопросом. Учитывая то, что по сути всё, что делает этот скрипт, это автоматизация добавления в систему ключа репозитория и самого репозитория HP, мы можно выполнить эти нехитрые действия самостоятельно и не использовать этот скрипт вообще. Процедура ручной настройки будет рассмотрена далее, а сейчас, исключительно в демонстрационных целях, мы таки рассмотрим пример использования этого скрипта. Скачиваем скрипт: # mkdir ~/HP # wget http://downloads.linux.hpe.com/SDR/add_repo.sh
↧
↧
И снова про CentOS Linux 7.2 и драйвер контроллера HP Smart Array P400i
Уже после того, как ранее был описан способ использования драйвера cciss для контроллера HP Smart Array P400i в процессе установки CentOS 7.2, мне удалось выяснить немного больше информации по поводу поддержки старых моделей контроллеров Smart Array в RHEL/CentOS v7. В заметках к выпуску 7.0 Release Notes компанией RedHat было объявлено о снятии с поддержки cciss-совместимых контроллеров. С этого момента поддержка контроллеров Smart Array обеспечивалась только драйвером hpsa. Список снимаемых с поддержки контроллеров оказался таким: Smart Array 5300 Smart Array 5i Smart Array 532 Smart Array 5312 Smart Array 641 Smart Array 642 Smart Array 6400 Smart Array 6400 EM Smart Array 6i Smart Array P600 Smart Array P800 Smart Array P400 Smart Array P400i Smart Array E200i Smart Array E200 Smart Array E500 Smart Array P700M В этом же документе можно найти информацию о том, что в драйвере hpsa, который пришёл в RHEL/CentOS v7 на замену cciss имеется поддержка дополнительного параметра hpsa_allow_any=1, который позволяет драйверу выполнять обнаружение старых контроллеров Smart Array. When the hpsa_allow_any option is used, the hpsa driver allows the use of PCI IDs that are not listed in the driver’s pci-id table. Thus, cards detected when this option is used, are not supported in Red Hat Enterprise Linux 7 Отталкиваясь от возможности использования этого параметра, приведу конкретный пример того, как не имея на руках драйвера cciss, но имея лишь поставляемый в составе CentOS 7 драйвер hpsa заставить увидеть в процессе установки ОС диски, подключенные к контроллеру HP Smart Array P400i. В процессе начально загрузки инсталлятора ОС дождёмся появления загрузочного меню и нажмём любую клавишу, чтобы остановить автоматическую загрузку (например, можно нажать клавишу стрелок вправо/влево). После того, как таймер внизу экрана остановится, выберем в меню пункт Install CentOS 7 и нажмём клавишу Tab. Внизу экрана появится строка параметров загрузки системы, в которую через пробел мы должны добавить текст:
↧
Настраиваем Device Mapper Multipathing в CentOS Linux 7.2 для FC HBA при подключении к СХД HP 3PAR 7200 (3PAR OS v. 3.2.2)
В этой заметке будет рассмотрен пример того, как настроить многоканальное (Multipath) подключение оптических хост-контроллеров (FC HBA) Emulex/QLogic, установленных в сервере на базе ОС CentOS Linux 7.2, к системе хранения данных (СХД) HP 3PAR 7200 (версия firmware 3PAR OS — 3.2.2). Для настройки multipath в CentOS мы будем использовать возможности модуля ядра Linux — dm-multipath (Device Mapper Multipath, DM Multipath). Онлайн документация по DM Multipath, доступная на сайте CentOS.org по сути дублирует документацию с сайта RedHat и является уже устаревшей. Более актуальную версию (для 7 ветки RHEL) можно найти на сайте RedHat. Если с английским языком есть сложности, то для общего понимания первично можно заглянуть в переведённое на русский язык руководство для RHEL 6. Компоненты DM Multipath Процитирую документацию для того, чтобы отразить основные компоненты DM Multipath: dm-multipath (модуль ядра) — Перенаправляет ввод-вывод и обеспечиваетотказоустойчивость маршрутов и их групп. multipathd (служба) — Следит за маршрутами, инициализирует переключение групп маршрутов и позволяет изменять устройства интерактивно. Чтобы изменения в /etc/multipath.conf вступили в силу, необходим перезапуск этой службы. mpathconf (утилита) — Используется для настройки и активации многоканальныхвозможностей. multipath (утилита) — Возвращает список многоканальных устройств и позволяет ихнастроить. Запускается с помощью /etc/rc.sysinit или во время добавления блочного устройства при помощи udev. kpartx (утилита) — Создает многоканальные устройства для разделов DOS с DM Multipath. kpartx предоставляется в виде отдельного пакета и требуется для установки device-mapper-multipath. Модуль ядра dm-multipath поставляется вместе с системой CentOS Утилита multipath и служба multipathd входят в состав пакета device-mapper-multipath, который мы установим позже. Порядок настройки Базовый сценарий настройки DM Multipath подразумевает следующие шаги: Установка пакета device-mapper-multipath. Создание конфигурационного файла multipath.conf с помощью утилиты mpathconf и его редактирование (при необходимости). Запуск службы multipathd. Помимо этих действий мы выполним рекомендации данные производителем СХД. В нашем случае придётся взять на вооружение документ HPE 3PAR Red Hat Enterprise Linux and Oracle Linux Implementation Guide
↧
Настройка Network Bonding с LACP между CentOS Linux 7.2 и коммутатором Cisco 3560G
На серверах имеющих несколько сетевых интерфейсов каждый отдельно взятый интерфейс можно использовать под какую-то выделенную задачу, например отдельный интерфейс под трафик управления хостом и отдельный интерфейс под трафик периодического резервного копирования. Может возникнуть мысль о том, что такая конфигурация имеет свои плюсы, например, позволяет максимально жёстко разграничить утилизацию интерфейсов под особенности разных задач. Но на этом плюсы, пожалуй, и заканчиваются. Ибо при таком подходе может получиться так, что один интерфейс будет постоянно чем-то чрезмерно нагружен, а другой интерфейс будет периодически полностью простаивать. К тому же, в такой схеме каждый из физических интерфейсов будет выступать как конкретная сущность, при выходе из строя которой будет происходить остановка того или иного сетевого сервиса, жёстко связанного с этой сущностью. C точки зрения повышения доступности и балансировки нагрузки, более эффективными методом использования нескольких сетевых интерфейсов сервера является объединение этих интерфейсов в логические сущности с использованием технологий Network Bonding и Network Teaming. В этой заметке на конкретном примере мы рассмотрим то, как с помощью технологии Network Bonding в ОС CentOS Linux 7.2 можно организовать объединение физических сетевых интерфейсов сервера в логический сетевой интерфейс (bond), а уже поверх него создать виртуальные сетевые интерфейсы под разные задачи и сетевые службы с изоляцией по разным VLAN. Агрегирование каналов между коммутатором и сервером будет выполняться с помощью протокола Link Aggregation Control Protocol (LACP) регламентированного документом IEEE 802.3ad. Использование LACP, с одной стороны, обеспечит высокую доступность агрегированного канала, так как выход из строя любого из линков между сервером и коммутатором не приведёт к потери доступности сетевых сервисов сервера, и с другой стороны, обеспечит равномерную балансировку нагрузки между физическими сетевыми интерфейсами сервера. Настройка в нашем примере будет выполняться как на стороне коммутатора (на примере коммутатора Cisco Catalyst WS-C3560G), так и на стороне Linux-сервера с двумя сетевыми интерфейсами (на примере сервера HP ProLiant DL360 G5 с контроллерами Broadcom NetXtreme II BCM5708/HP NC373i) Настройка
↧
↧
ИТ Вестник №06/07.2016
Представляем вашему вниманию очередной обзорный материал об интересных, на наш взгляд, информационных обновлениях в ИТ-сфере. В связи с отпускной порой «вне зоны доступа» мне не удалось вовремя опубликовать Июньский обзор, поэтому данный обзор содержит в себе обновления сразу за два прошедших месяца – Июнь и Июль. Информационная безопасность DefconRU — KeePass под прицелом. Интересный материал о том, как с помощью таких подручных средств как PowerShell и WMI получить доступ к учётным данным хранимым в KeePass без необходимости повышения привилегий в системе. OC Microsoft Windows / Windows Server Microsoft выпустили очередной бюллетень безопасности MS16-072, в котором сообщают нам радостную весть о порядке изменения обработки групповых политик, вносимых после применения распространяемых через Windows Update обновлений KB3159398/KB3163017/KB3163018/ KB3163016. То есть, часто используемая администраторами фильтрация применения групповых политик с помощью ACL на уровне политики (это когда в свойствах безопасности той или иной политики убираем группу Authenticated Users и добавляем свои группы безопасности) после применения вышеперечисленных обновлений безопасности работать больше не будет. В качестве альтернативы для тонкой фильтрации политик подразумевается использование механизмов GPP. Дополнительная информация: Изменения в обработке GPO, или Patch Tuesday. Обновлён скрипт аудита полноты установки обновлений для серверов Windows Server 2012 R2 на предмет соответствия рекомендациям статей для Hyper-V и Failover Cluster. Новая заметка в Вики: Проблема первичной репликации DFSR — This member is waiting for initial replication for replicated folder OC Linux Вики-статья Как идентифицировать контроллеры FC HBA в CentOS Linux Вики-статья CentOS 7 -bash: firewall-cmd: command not found Вики-статья Как установить ядро 3.13 и заменить более новое загружаемое ядро в Ubuntu Linux 14.04.4 LTS на ядро 3.13 (даунгрейд ядра) Виртуализация Microsoft App-V The June 2016 servicing release for Microsoft Desktop Optimization Pack is now available. Вышло Июньское обновление MDOP KB3155806 решающее ряд проблем с App-V 5.1 App-V and UE-V to be included with Windows. Команда разработчиков App-V сообщает интересную новость о
↧
CentOS Linux 7.2 и HP Array Config Utility (ACU) для управления устаревшими контроллерами HP Smart Array
Ранее я рассматривал пример развёртывания набора утилит HP System Management Tools на сервере HP ProLiant DL360 G5 с CentOS Linux 7.2. В составе этого набора упоминалась и утилита HPE Smart Storage Administrator (SSA), позволяющая управлять контроллерами семейства HP Smart Array. Однако если с помощью SSA мы захотим управлять устаревшими контроллерами Smart Array, то можно столкнуться с фактом того, что SSA не увидит эти контроллеры. Например в моём случае, установленный в сервер SCSI U320 контроллер HP Smart Array 6400 попросту не отображается в интерфейсе SSA. В такой ситуации поможет установка старой утилиты HP Array Configuration Utility (ACU). Последний раз эта утилита была обновлена в 2013 году и на текущий момент она имеет версию 9.40.12.0. Вообще, чтобы найти ссылки на актуальные версии SSA, ACU и других утилит управления и диагностики контроллеров HP Smart Array для разных операционных систем, можно воспользоваться статьей: HPE Smart Array Controllers — Array Configuration, Diagnostic, Storage Administrator and SmartSSD Wear Gauge Utility. В нашем случае, для возможности управления контроллером SA6400 на CentOS Linux 7.2, можно загрузить и установить 2 инструмента: HP Array Configuration Utility for Linux 64-bit. Текущая версия 9.40.12.0 (19 Feb 2013) HP Array Configuration Utility CLI for Linux 64-bit. Текущая версия 9.40.12.0 (19 Feb 2013) Скачиваем и устанавливаем соответствующие пакеты (ссылку указаны на текущую версию): # wget http://whp-aus2.cold.extweb.hp.com/pub/softlib2/software1/pubsw-linux/p2141321215/v80068/cpqacuxe-9.40-12.0.x86_64.rpm -P ~/HP/ # wget http://ftp.hp.com/pub/softlib2/software1/pubsw-linux/p1257348637/v80070/hpacucli-9.40-12.0.x86_64.rpm -P ~/HP/# yum install ~/HP/cpqacuxe-9.40-12.0.x86_64.rpm# yum install ~/HP/hpacucli-9.40-12.0.x86_64.rpm После установки нам станет доступна консольная утилита управления hpacucli, запустив которую, мы сможем удостовериться в том, что теперь нам доступно управление нашим устаревшим контроллером SA6400 и доступна информация о состоянии дисковых полок MSA20 подключённых к этому контроллеру. Что же касается веб-утилиты HP Array Configuration Utility, то стоит отметить тот факт, что после установки по умолчанию веб-приложение ACU не запущено, так как по сути своей оно не носит характер инструмента постоянного использования, да и в целях
↧
CentOS Linux 7.2 и программный RAID с помощью mdadm
В рамках подготовки небольшой инфраструктуры под виртуализацию на базе Linux потребовалось организовать сервер под NFS-шары, которые в последствии планируется использовать под задачу резервного копирования виртуальных машин и прочие полезные цели. Для того, чтобы организовать дисковую ёмкость для NFS-сервера на базе CentOS Linux 7.2, было решено сдуть пыль с пары дисковых полок HP MSA 20, которые давно уже «вялились» на складе, и организовать их прямое подключение к SCSI U320 RAID-контроллеру HP Smart Array 6400. У этого устаревшего контроллера имеется одно не очень приятное ограничение – он не умеет создавать RAID-массивы размером больше 2TB. Чтобы данное ограничение не мешало нам в организации нужного нам объёма дискового пространства, было решено воспользоваться функционалом mdadm (multiple disks admin) для организации программного RAID. В этой заметке мы и рассмотрим пример создания программного дискового массива уровня RAID6 с помощью mdadm в CentOS Linux 7.2. Итак, в дисковую полку MSA 20 было установлено 5 дисков по 1TB. Контроллер HP Smart Array 6400 устроен таким образом, что не транслирует напрямую в хостовую систему подключенные диски в виде физических дисковых устройств, а транслирует только созданные на нём RAID-массивы. Поэтому я создал на контроллере 5 массивов уровня RAID0, после чего в системе появились соответствующие устройства /dev/cciss/c1d[0-4]: # lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT sr0 11:0 1 1024M 0 rom cciss!c0d0 104:0 0 68.3G 0 disk ├─cciss!c0d0p1 104:1 0 512M 0 part /boot ├─cciss!c0d0p2 104:2 0 50G 0 part / ├─cciss!c0d0p3 104:3 0 15.9G 0 part /home ├─cciss!c0d0p4 104:4 0 1K 0 part └─cciss!c0d0p5 104:5 0 2G 0 part cciss!c1d0 105:0 0 931.5G 0 disk cciss!c1d1 105:16 0 931.5G 0 disk cciss!c1d2 105:32 0 931.5G 0 disk cciss!c1d3 105:48 0 931.5G 0 disk cciss!c1d4 105:64 0 931.5G 0 disk Предварительная проверка дисков Перед тем, как собирать диски в программный RAID-массив, совсем не лишним будет убедиться в том, что с
↧
ИТ Вестник №08.2016
Представляем вашему вниманию очередной обзорный материал об интересных, на наш взгляд, информационных обновлениях в ИТ-сфере за прошедший месяц. Отдельное спасибо за подготовку выпуска Евгению Лейтану. Информационная безопасность Уязвимости в iOS: 25 августа компания Apple выпустила срочный апдейт (About the security content of iOS 9.3.5) для своих мобильных устройств, и в этот раз действительно надо быстрее обновиться. Security Week 34: уязвимость в iOS, Powershell-троян, коллизии против 3DES и Blowfish OC Microsoft Windows / Windows Server Теперь на TechNet не будет описания про Windows Server 2003! Успейте скачать и сохранить себе локально на любом удобном для вас языке :) Устаревший контент Windows Server 2003/2003 R2 Enhanced Mitigation Experience Toolkit (EMET) обновился до версии 5.51 – Скачать (Гайд) Обновлены Административные шаблоны Administrative Templates (.admx) for Windows 10 and Windows Server 2016. Русского языка в наборе пока нет. Обновилась «плюшка» для поддержки Workplace Join для пре-Windows-10 систем: Microsoft Workplace Join for non-Windows 10 computers Обновлена заметка со списком исключений Антивирус для Windows Server — настраиваем список исключений. Исправлены ссылки, добавлена информация о современных версиях серверных продуктов Microsoft. OC GNU/Linux Microsoft открыла исходный код PowerShell — Расширяемое средство автоматизации и конфигурирования PowerShell, состоящие из оболочки с интерфейсом командной строки и сопутствующего языка сценариев на базе .NET Framework, теперь доступно под Linux и OS X. Первый комментарий к статье вызвал у меня Гомерический хохот :) Вики-статья Как настроить отсылку уведомлений на внешний почтовый сервер с помощью postfix в CentOS. Простой пример настройки postfix на localhost:25 и проверки SMTP с помощью telnet-подключения. Виртуализация Microsoft Hyper-V StarWind выпустила свой тонкий клиент, о котором рассказано в открытом документе «StarWind Management Console “Thin” Client Configuration Guide» Aidan Finn записал вебинар на тему использования кластеризации в малых и средних компаниях на базе программного решения Windows Server 2012 R2 и аппаратного решения Cluster-in-a-Box. Microsoft Azure Мониторинг и оповещения для Azure Backup. Отличная
↧
↧
Развёртывание и настройка oVirt 4.0. Часть 4. Fencing как средство повышения доступности хостов и виртуальных машин
В это части мы рассмотрим механизмы Fencing, с помощью которых повышается уровень доступности как самих хостов виртуализации, так и выполняемых на этих хостах виртуальных машин в oVirt 4.0. Подробно о принципах и последовательности работы механизмов Fencing в oVirt можно почитать в документе Automatic Fencing. Здесь же мы поговорим об этих механизмах обзорно и рассмотрим несколько практических примеров. Fencing это процесс перезапуска неисправных с точки зрения oVirt Engine компонент, таких, как хостовые службы управления VDSM (Soft-Fencing) и сами хосты виртуализации (Hard-Fencing). Во всех случаях для успешной работы Fencing требуется наличие Fence Proxy, в качестве которого может выступать другой доступный хост виртуализации, то есть Fencing будет работать при условии, что в кластере oVirt есть хотя бы один работоспособный хост с работающей ВМ Hosted Engine. Fence Proxy выступает в качестве непосредственного инициатора команд восстановления отправляемых удалённо на проблемный хост. В случае, если oVirt Engine выявляет проблему с доступностью хоста, выполняется симбиоз процессов Soft-Fencing и Hard-Fencing, в зависимости от текущей ситуации. Soft-Fencing выполняется с помощью удалённого SSH-подключения на проблемный хост и приводит к перезапуску службы управления хостом (vdsmd). Процедура Hard-Fencing использует утилиты с именами формата /usr/sbin/fence_*, расположенные на хостах, для удалённой отправки команд на физическую остановку/запуск хоста виртуализации через имеющийся у него аппаратный контроллер управления стандарта IPMI (Intelligent Platform Management Interface). Примером таких контроллеров могут выступать iLO на серверах Hewlett-Packard, DRAC на серверах Dell, ILOM на серверах Sun/Oracle и т.п. Если используемые у вас серверы не имеют IPMI-совместимых контроллеров, но есть управляемые модули распределения питания PDU (Power Distribution Unit), то можно и их использовать для Hard-Fencing oVirt. Помимо задачи восстановления работоспособности, Fencing решает ещё одну важную задачу, — определяет признак того, что виртуальные машины упавшего хоста можно перезапустить на других хостах кластера. Это необходимо для предотвращения записи двумя гипервизорами в диск одной виртуальной машины, что само по себе может привести к невосстановимой порче диска
↧
ИТ Вестник №09.2016
Представляем вашему вниманию очередной обзорный материал об интересных, на наш взгляд, информационных обновлениях в ИТ-сфере за прошедший месяц. Информационная безопасность Любителям хранить конфиденциальную информацию в облачных сервисах посвящается статья Данные более чем 68 млн пользователей Dropbox утекли в сеть Вышел новый релиз Kali Linux 2016.2. Доступны сборки под среды KDE, MATE, LXDE, e17, Xfce на странице загрузки проекта. OC Microsoft Windows / Windows Server На конференции Ignite в Атланте объявлено о выходе Windows Server 2016. Доступен для загрузки образ виртуального диска ознакомительной версии в TechNet Evaluation Center. Доступна для скачивания новая бесплатная книга Microsoft Press Free ebook: Introducing Windows Server 2016 Изменения в модели выпуска обновлений Windows 7 и Windows 8.1. Заметка с напоминанием о том, что с Октября MS внедряет новую модель выпуска обновлений для ОС Windows 7 SP1, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 и Windows Server 2012 R2. Также появилась ссылка на предстоящий вебинар по этой теме, запланированный на 04.10.2016. Инструмент Local Administrator Password Solution обновлён до версии 6.2 Обновлены парсеры для анализатора трафика Microsoft Network Monitor — Windows and SQL Server Network Monitor Parsers OC Linux Добавлена вики-статья Как создать программный RAID используя mdadm из дисковых multipath-устройств в CentOS Linux 7.2 Добавлена вики-статья Установка и настройка сервера и клиента NFS в CentOS Linux 7.2 Добавлена вики-статья Ошибка автозапуска службы nfs-server.service — exportfs: Failed to resolve в CentOS Linux 7.2 Добавлена вики-статья Как получить информацию о процессоре в Linux Виртуализация Microsoft Hyper-V Disk2VHD on a Generation 2 VM results in an unbootable VHDX. Статья описывает возникновение проблемы с загрузкой гостевой ОС в виртуальной машине Hyper-V Gen2 после использования утилиты Disk2VHD, а также содержит способ решения данной проблемы. Microsoft Azure Доступна для скачивания новая бесплатная электронная книга от Microsoft Press:Microsoft Azure Essentials: Fundamentals of Azure, Second Edition Microsoft App-V Обновлён App-V 5.1
↧
Финт ушами. Меняем батарейку HP Smart Array Cache Battery Kit (383280-B21) в сервере HP ProLiant DL360 G5
В очередной раз меняя батарейку от HP на контроллере Smart Array P-серии столкнулся с ситуацией, когда пролежавшая долгое время на складе фирменная батарейка не смотря на то, что она была извлечена из заводской упаковки, не захотела работать, так как попросту отказалась заряжаться. Вместо того, чтобы в очередной раз выкинуть такую батарейку, ради интереса решил её разобрать. Отстегнул от батарейки контроллер, с которым она поставляется, и обнаружил, что скрытая от глаз часть контроллера имеет вполне себе нормальные контактные площадки, к которым можно припаяться. Разобрав основной корпус батарейки, внутри я обнаружил четыре заряжаемых элемента Varta V500HT 500mAh Ni-MH 1.2V. В голове сразу созрел план и стало интересно попробовать заменить элементы Varta на четыре обычных заряжаемых аккумулятора типоразмера AAA по 1.2V, чтобы получить в общей сложности нужные контроллеру 4,8 Вольта. Немного пошуршав в интернете на предмет возможности такой замены обнаружил то, что я не первый кому в голову пришла такая идея. И вот, что из этого вышло… Итак, фирменная батарейка HP для контроллеров Smart Array P-серии в розничной торговле можно найти у разных продавцов под разными названиями, типа HP Battery-backed write cache upgrade или HP Smart Array Cache Battery Kit и даже разными P/N. Основной P/N судя, например, по спецификации QuickSpecs от HP ProLiant DL360 G5 — 383280-B21. Текущая розничная стоимость такой батарейки на данный момент варьируется в районе 8-9 тысяч рублей за штучку. При этом далеко не каждый поставщик может похвастаться тем, что дата выпуска предлагаемых им батарей лежит в границах хотя-бы предыдущего года, а это, как мы понимаем уже дополнительный риск получить «прокисшие» батарейки и потом завязнуть в манипуляциях с возвратами и заменами (был такой опыт). Вот как раз с подобной ситуацией я и столкнулся, только гарантийный срок, данный поставщиком в своё время при реализации батареек уже давно вышел, а батарейка оказалась «просевшей» на столько, что контроллер ни в какую не
↧
HP iLO2 —Решаем проблемы использования ISO образа смонтированного через Java- апплет в веб-интерфейсе iLO
Как известно, при наличии активированной лицензии HP Integrated Lights-Out (iLO) Advanced в веб-интерфейсе iLO2 имеется возможность удалённого монтирования ISO образов в качестве носителя в виртуальном DVD приводе, с помощью которого можно, например, выполнять удалённую установку операционной системы или запускать всевозможные загрузочные утилиты для прошивки и тестирования аппаратных компонент сервера. При этом для выполнения монтирования используется Java-апплет со всеми вытекающими отсюда последствиями. Например можно столкнуться с проблемой, когда удалённо смонтированный ISO-образ отваливается от сервера по причине закрытия пользовательской сессии с запущенным браузером, в котором использовался Java-апплет для монтирования. Также замечено, что в случае использования образов большого размера с большим количеством мелких файлов можно столкнуться с проблемой очень низкой скорости чтения/загрузки файлов в таком виртуальном приводе. При этом самое неприятное в этой проблеме то, что она имеет плавающий характер и может проявляться как при использовании веб-браузера Internet Explorer, так и при использовании Mozilla Firefox. В некоторых ситуациях эти проблемы имеют обходное решение, которое заключается в том, чтобы вместо монтирования ISO-образа с локального компьютера оператора iLO через веб-браузер, использовать монтирование ISO-образа размещённого на веб-сервере, подключившись к iLO по протоколу SSH. Я сказал «в некоторых ситуациях» именно потому, что при таком варианте монтирования не во всех случаях решается проблема с медленной передачей большого количества мелких файлов, хотя прирост производительности в отличии от монтирования через Java-апплет по моим субъективным ощущениям всё же есть. Рассмотрим пошагово пример использования такого варианта монтирования. 1. Копируем нужный нам ISO-образ на любой локальный веб-сервер, так чтобы этот образ был доступен для загрузки по прямой URL-ссылке посредствам протокола HTTP. 2. Подключаемся по протоколу SSH к iLO2 используя те же учётные данные, с помощью которых мы обычно подключаемся к веб-интерфейсу iLO.3. Подключившись, выполняем команду перехода в раздел управления монтированием: cd /map1 Убеждаемся в том, что команда выполнена успешно: 4. Выполняем последовательно команды перехода к управлению виртуальным приводом: cd oemhp_vm1 cd cddr1 Убеждаемся
↧
↧
Расширение правил iptables на хостах oVirt 4.0
В одной из прошлых заметок я описывал пример установки набора утилит HP System Management Tools на физическом сервере HP ProLiant DL360 G5 с ОС CentOS Linux 7.2. Некоторое время спустя этот же сервер был использован в качестве хоста виртуализации и на нём были развёрнуты компоненты oVirt Hosted Engine. Недавно хост был выведен в обслуживание и на него из онлайн репозиториев были установлены обновлённые версии пакетов, а в число обновлённых пакетов вошли и пакеты с утилитами HP. После установки я решил проверить работоспособность обновлённых утилит и попытался открыть веб-узел HP System Management Homepage. Однако из этого ничего не вышло, так как хост попросту блокировал обращения на порт TCP 2381. Выяснилось, что служба firewalld на хосте остановлена, а служба iptables загружена с набором правил специфичных для oVirt. Причём правила на всех хостах oVirt, которые я разворачивал с веб-консоли oVirt Engine, одинаковые. А для того, чтобы изменить правила, централизовано раздаваемые сервером управления на хосты, потребуется воспользоваться утилитой engine-config на стороне сервера Engine. Утилита engine-config имеет большой набор ключей, значения которых определяют конфигурацию инфраструктуры oVirt. Узнаем ключи конфигурации oVirt, связанные с настройкой iptables: # engine-config --list | grep -i iptables IPTablesConfig: "iptables configuration" (Value Type: String) IPTablesConfigSiteCustom: "iptables site custom configuration, appended to IPTablesConfig" (Value Type: String) Как видим, в нашем распоряжении два ключа. В ключе IPTablesConfig хранятся все правила, которые централизовано раздаются сервером управления на хосты. А ключ IPTablesConfigSiteCustom может содержать дополнительные правила, которые могут потребоваться в той или иной инфраструктуре. Посмотрим на текущую конфигурацию правил для хостов, хранящуюся в ключе IPTablesConfig: # engine-config --get IPTablesConfig IPTablesConfig: # oVirt default firewall configuration. Automatically generated by vdsm bootstrap script. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT # vdsm -A INPUT -p
↧
ИТ Вестник №11/12.2016
Представляем вашему вниманию очередной обзорный материал об интересных, на наш взгляд, информационных обновлениях в ИТ-сфере за два прошедших месяца. За помощь в подготовке выпуска благодарю Евгения Лейтана. Информационная безопасность Исследователи создали эксплоит для получения root-доступа к Android-смартфонам с помощью уязвимости Rowhammer Google, как настоящий «закадычный» друг, снова «взяла за кадык» Microsoft и раскрыла непропатченную уязвимость в Windows Я для себя уже сделал выводы о перспективах Skype, и раз от раза убеждаюсь в их правильности. Очередная «грязная» история в статье Как Skype уязвимости чинил Ежегодная пресс-конференция «Лаборатории Касперского»: итоги года и прогнозы на будущее. Сотрудники лаборатории «Касперский» вместе с Владимиром Познером подвели итоги уходящего года в сфере ИТ безопасности и угроз, а также сделали определенные прогнозы и ответили на вопросы зрителей (которые тоже интересно послушать) OC Microsoft Windows / Windows Server Обновлены шаблоны групповых политик Microsoft Desktop Optimization Pack Group Policy Administrative Templates. Реализована поддержка самых актуальных версий App-V, MBAM, UE-V. Обновлён пакет Enhanced Mitigation Experience Toolkit (EMET) 5.52 и документация к нему. Описание корпоративных подписок для Enterprise-пользователей Windows 10: Windows 10 Enterprise E3 OC Linux Добавлена Вики-статья Как расширить существующий программный RAID 6 (добавление дополнительных дисков), созданный с помощью mdadm из дисковых multipath-устройств в CentOS Добавлена Вики-статья Как увеличить размер виртуального диска QUADStor и расширить раздел ext4 Виртуализация Microsoft App-V The MDOP December servicing release is now available. В составе Декабрьского обновления MDOP обновлена версия App-V 5.1 RTM, привносящая исправления ряда ошибок и выравнивание версий между App-V Client, RDS, and Server. Microsoft Azure 2 ноября Microsoft представила корпоративный мессенджер на базе Office 365 — Microsoft Teams, конкурент Slack. Далее ссылки для ознакомления. Microsoft представила сервис Microsoft Teams — конкурента Slack Introducing Microsoft Teams—the chat-based workspace in Office 365 Introducing Microsoft Teams: The new chat-based workspace in Office 365 Новое в Office 365 в декабре. MS старается, чтобы
↧
Разворачиваем сеть тонких клиентов Thinstation с подключением к серверу Windows Server 2012 R2 Remote Desktop Services
Рассмотрим пример организации выделенной сети тонких клиентов, подключающихся по протоколу RDP к центральному серверу служб удалённых рабочих столов Microsoft Windows Server (Remote Desktop Services). В качестве ОС тонкого клиента будем использовать свободно распространяемую среду Thinstation из проекта Thinstation by Donald A. Cupp Jr., в составе которой присутствует RDP-клиент FreeRDP. В качестве аппаратной платформы для тонкого клиента мы будем использовать устройства HP t610, хотя в рамках нашей задачи эти устройства имеют более чем избыточную конфигурацию. По сути минимальные системные требования для тонкого клиента с Thinstation – любой «аппаратный хлам» начиная с уровня Pentium-II с 128MB RAM и выше. Мы будем использовать бездисковую конфигурацию тонких клиентов, то есть загрузка системы будет выполняться по сети с использованием PXE (приоритетно) или с локальных загрузочных USB-накопителей (для клиентов без поддержки PXE и в отдалённых участках со слабым каналом передачи данных). Когда я изучал доступные в открытых источниках статьи на тему подобного развёртывания, то среди множества материалов выделил для себя статью Пети Хинчли «Use Thinstation to build a network-bootable RDP-enabled thin client image», от наработок которой я и буду отталкиваться. Также в качестве полезного источника информации стоит отметить такие русскоязычные ресурсы, как Thinstation по русски и Thinstation Доработка тонкого клиента. В рассматриваемом примере имеется несколько исходных условий, от которых нам придётся отталкиваться: Все тонкие клиенты должны быть изолированы в рамках одной сети и должны маршрутизироваться только до своего RDS-сервера. RDS-сервер, помимо предоставления сессий удалённых рабочих столов, по совместительству должен выполнять все функции управления тонкими клиентами (раздача IP адресов, раздача загрузочных образов ОС, раздача настроек каждого конечного клиента и т.д.). Загрузка конечной рабочей среды тонкого клиента должна происходить автоматически без участия пользователя/оператора (авто-логон RDP-сессии и запуск необходимой оболочки – конечного бизнес-приложения) Цикличная работа тонких клиентов должна быть автоматизирована, то есть клиенты должны автоматически включаться по расписанию утром каждого рабочего дня и выключаться в конце рабочего дня. Начнём
↧
ИТ Вестник №02/03.2017
Представляем вашему вниманию очередной обзорный материал об интересных, на наш взгляд, информационных обновлениях в ИТ-сфере, а также анонс обновлений нашего Вики-сайта. Выпуск Февральского обзора был отложен так, как материалов было накоплено немного, и теперь мы публикуем объединённый выпуск новостей за Февраль и Март. Информационная безопасность Обзорная статья об одном из инструментов Kali Linux: Sparta — комплекс для проведения тестирования на проникновение Обзорная статья о системе предотвращения вторжений с открытым исходным кодом The Artillery Project Обновлена открытая система оценки уязвимостей: Состоялся релиз OpenVAS 9 Интересная статья об обходе некоторых ограничений в Linux: Не доверяйте SUDO, она может вас подвести OC Microsoft Windows / Windows Server Выпущен Мартовский сервисный релиз Microsoft Desktop Optimization Pack, а также обновлён набор шаблонов групповых политик MDOP Group Policy Administrative Templates (2.7) Доступен документ о новой интересной возможности Windows 10 — Always-On VPN: Enhancing remote access in Windows 10 with an automatic VPN profile Описание настройки отслеживания изменения групповых политик при помощи Event log от MVP Романа Левченко: How easy is it to track Group Policy changes using the event log? Microsoft продолжает агрессивное продвижение Windows 10. Подробнее: Windows Update не будет работать на Windows 7 и 8.1 с новыми процессорами Официальный источник: «The processor is not supported together with the Windows version that you are currently using» error when you scan or download Windows updates Что такое программно-определяемые сети (SDN) в Windows Server 2016 и как их использовать далее в описании: Network Controller: программно-определяемые сети в Windows Server 2016. Часть 1: возможности и службы Microsoft не только успела стать «платиновым» членом Linux Foundation, но и запустить полноценный десктоп Ubuntu внутри Windows 10 Объявлено об обновлениях клиентов Remote Desktop под разные платформы: Remote Desktop clients – March 2017 update. OC Linux Любопытная статься о том, как «поменять ротор у турбины» не выключая «турбины»: Удаленная переустановка Linux
Сообщение ИТ Вестник №02/03.2017 появились сначала на Блог IT-KB.
↧
↧
ИТ Вестник №05.2017
Представляем вашему вниманию очередной обзорный материал об интересных, на наш взгляд, информационных обновлениях в ИТ-сфере за прошедший месяц, а также анонс обновлений нашего Вики-сайта. Информационная безопасность Наверняка ни для кого не прошла незамеченной информация о Майской вирусной активности, связанной с эксплуатацией уязвимости протокола SMBv1 в OC Windows. Вот ряд ссылок, которые могут быть полезны для того, чтобы получить дополнительную информацию по данной теме: MSRC Team - Customer Guidance for WannaCrypt attacks Microsoft Security Russia - WannaCryptor: изучаем, защищаемся и делаем выводы Видео и Презентация от Microsoft на тему: "WannaCrypt (Wanna Cry) Ransomware WebCast" Инструменты для проверки наличия установленного обновления MS17-010: R-Vision ms17-010 / RuSIEM Security Checker Чтобы максимально сократить область атаки на SMBv1, можно попросту централизованно отключить этот устаревший протокол. Статья KB2696547 расскажет о том, как это сделать. А статья Which version of the SMB protocol are you using? даст понимание того, где и какая версия SMB используется в ОС Windows. При централизованном отключении SMBv1 не забывайте про возможное наличие периферийной техники, использующей этот протокол. Уже "припылили"? Попробуйте расшифровать свои файлы при помощи wanakiwi Внимание! Linux-версия эксплойта EternalBlue. Недавно обнаруженная уязвимость удаленного выполнения кода (CVE-2017-7494) затрагивает все версии новее, чем Samba 3.5.0, которая выпущена 1 марта 2010 года. Добавлена Вики-статья Замена SSL сертификата веб-сервера Symantec LiveUpdate Administrator 2.3.6 OC Microsoft Windows / Windows Server Артём Синицын рассказывает нам о важных обновлениях безопасности, выпущенных Microsoft в Мае 2017 г. Обратите внимание на то, что после 9 мая обновления безопасности для Windows 10 1507 (RTM), кроме ветки Long Term Servicing Branch (LTSB), выпускаться не будут. Описание неприятного бага в NTFS, который несёт в себе угрозу нарушения стабильности работы файловой системы: Баг в NTFS, или как подвесить всю систему Microsoft анонсировала новую ОС Windows 10 S. Вопросы и ответы Вы найдете по следующей ссылке: Windows 10 S: вопросы и ответы Доступен для
Сообщение ИТ Вестник №05.2017 появились сначала на Блог IT-KB.
↧
ИТ Вестник №09.2017
Представляем вашему вниманию очередной небольшой обзорный материал об интересных, на наш взгляд, информационных обновлениях в ИТ-сфере за прошедший месяц, а также информацию об обновлениях нашего Вики-сайта. Информационная безопасность Эксплойт BlueBorne на Android, iOS, Linux и Windows: более 8 миллиардов устройств критически уязвимы. До выпуска исправлений системы безопасности соответствующих платформ, рекомендуется воздержаться от использования Bluetooth на ваших устройствах. В единстве - прибыль. ESET изучает браузерный майнер. В конце этой заметки об одном из методов скрытого майнинга, любители блэк-листов могут найти перечень известных на данный момент доменов с внедряемым скриптом. Что известно об атаке на цепи поставок CCleaner. Интересная история про компрометацию сборочной среды CCleaner с последующей раздачей инфицированной версии 5.33 в очередной раз напоминает о том, что в корпоративных средах необходим жёсткий инструментарий подавления распространения нелегитимного ПО. Артём Синицын в Microsoft Security Russia Blog рассказывает нам о критичных обновлениях безопасности выпущенных Microsoft в Сентябре 2017 г. Пара новых заметок в Вики о получении данных из БД Symantec Endpoint Protection Manager - Как получить список всех компьютеров без установленного SEP и Как получить список всех компьютеров Unmanaged Detector OC Microsoft Windows / Windows Server Обновлена утилита для нагрузочного тестирования файловых серверов на базе Windows Server - File Server Capacity Tool v1.3 (64-bit) OC Linux Имеете устройство Moxa Nport и хотите пробросить подключенный к нему GSM-модем в виртуальную машину на базе Linux, но не знаете с чего начать? Поможет статья Вики: Трансляция COM-порта с устройства Moxa Nport 5610 в виртуальную машину с Linux Debian 8 (Jessie) Виртуализация oVirt Стабильная ветка платформы виртуализации oVirt обновлена до версии 4.1.6 Представлена первая Alfa-версия oVirt 4.2.0. Ре-дизайн портала Administration Portal, на мой взгляд, выглядит очень недурственно. Управление IT-инфраструктурой Microsoft System Center Operations Manager Заметка про забавный костыль: Work around for installing SC 2016 OM console and SC 2016 SM console on the same server. Видимо в консерватории,
Сообщение ИТ Вестник №09.2017 появились сначала на Блог IT-KB.
↧
ИТ Вестник №10.2017
Представляем вашему вниманию очередной небольшой обзорный материал об интересных, на наш взгляд, информационных обновлениях в ИТ-сфере за прошедший месяц, а также информацию об обновлениях нашего Вики-сайта. Информационная безопасность В Октябре публично объявлено о множественных уязвимостях WPA2, которые позволяют производить MITM-атаки на беспроводные сети Wi-Fi. В российском сегменте Интернета одной из первых эта информация появилась в статьях xakep.ru - Безопасность Wi-Fi под угрозой из-за множества обнаруженных в WPA2 уязвимостей и Опубликована подробная информация о проблемах WPA2. В конце второй статьи есть небольшой список отсылок на реакцию разных вендоров ПО и железа на данную проблему. Более полный список вендоров можно найти на отдельной странице, которую обещают периодически обновлять: Carnegie Mellon University - Vulnerability Note VU#228519. В статье Серьезная уязвимость в популярной библиотеке шифрования подрывает безопасность миллионов крипто-ключей рассказывается о найденной но, как я понял, ещё публично не раскрытой уязвимости, масштабы которой, также как и в случае с WPA2, могут оказаться впечатляющими. В Октябре на белый свет вынырнула очередная реинкарнация Petya в лице нового шифровальщика Bad Rabbit, оперирующего в том числе и старым добрым Mimikatz. Bad Rabbit начал своё шествие через взломанные веб-сайты, прикидываясь перед Интернет-пользователями обновлением Adobe Flash Player (человеческая наивность, как одна из главных уязвимостей, может эксплуатироваться вечно). Подробней можно почитать в статьях Bad Rabbit: Petya возвращается и Троянец-вымогатель Bad Rabbit: плохой, плохой кролик Набирает обороты новый вирус Reaper поражающий IoT-устройства с незакрытыми уязвимостями. По данным первоисточника эксплуатируются уязвимости устройств GoAhead, D-Link, TP-Link, AVTECH, NETGEAR, MikroTik, Linksys, Synology и других. Помимо этого, в блоге Лаборатории Касперского нам обещают новый IoT-апокалипсис: Security Week 43: Грядет великая IoT-жатва... Добавлен ряд Вики-статей об эксплуатации Symantec Endpoint Protection (SEP): Подключение автономного (Standalone) клиента SEP к серверу SEP Manager SEP Manager - Как отключить значок SEP в области уведомлений на клиентах Как вручную обновить политику клиента SEP Как вручную установить самые актуальные антивирусные определения SEP Автоматическое
Сообщение ИТ Вестник №10.2017 появились сначала на Блог IT-KB.
↧