Archive for the ‘Linux’ Category
Создание раздела на носителе для LVM
Если хотим создать раздел LVM используя пространство всего диска , то необходимо полностью удалить таблицу разделов.
Для DOS разделов, достаточно id раздела установить 0x8e используя fdisk или cfdisk или подобное. Для всего устройства диска лучше стереть все таблицу разделов. Можно легко удалить , записав в существующую таблицу разделов нули в первый сектор, используя команду:
dd if=/dev/zero of=PhysicalVolume bs=512 count=1
Используя команду pvcreate для инициализации устройства и создания физического обьема для данных. Инициализация аналогична форматированию системы. Предварительно создать ( fdisk) раздел sdc1 на диске ( лучше в коде 8e Linux LVM ).
pvcreate /dev/sdс1 vgcreate vg1 /dev/sdc1 lvcreate -L50G -nwin2k3 vg1
Миф о остаточной намагниченности
Стирать информацию проще
Аргоритмы уничтожения
Алгоритм Содержание алгоритма Примечания
Руководство по защите информации МО США (NISPOM)
DoD 5220.22-M, 1995г. Количество циклов записи — 3.
Цикл 1 — запись произвольного кода.
Цикл 2 — запись инвертированного кода.
Цикл 3 — запись случайных кодов. NISPOM запрещает использование этого алгоритма для уничтожения данных с грифом: «СОВ.СЕКРЕТНО»
Альтернативные способы (в соответствии с NISPOМ):
-размагничивание;
-физическое разрушение
Стандарт VISR, 1999г.
(Германия) Количество циклов записи — 3.
Цикл 1 — запись нулей.
Цикл 2 — запись единиц.
Цикл 3 — запись кода с чередованием нулей и единиц.
ГОСТ Р50739-95г.
(Россия) Для классов защиты данных 1..3
Количество циклов записи — 2.
Цикл 1 — запись нулей.
Цикл 2 — запись случайных кодов.
Для классов защиты данных 4..6.
Один цикл записи нулей.
Алгоритм Брюса Шнейера
(Bruce Schneier) Количество циклов записи — 7.
Цикл 1- запись единиц.
Цикл 2 — запись нулей.
Циклы 3..7 — запись случайных кодов
Алгоритм Питера Гутманна
(Peter Gutman) Количество циклов — 35.
Циклы 1..4 — запись произвольного кода.
Циклы 5..6 — запись кодов 55h, AАh.
Циклы 7..9 — запись кодов 92h, 49h, 24h.
Циклы 10..25 — последовательная запись кодов от 00, 11h, 22h и т.д. до FFh.
Циклы 26..28 — аналогично циклам 7..9.
Циклы 29..31 — запись кода 6Dh, B6h.
Циклы 32..35 — аналогично циклам 1..4.
Теоретически возможность восстановления доказана, однако на практике вызывает ряд трудностей. Во-первых, размер одного «скана» составляет обычно 10х10 мкм, в микроскопах с более сложными конструкциями сканера — до 100х100мкм. Поэтому после получения серии данных по магнитному рельефу различных участков диска эти данные необходимо «сшить» для получения полного изображения. Во-вторых, перед записью на диск данные подвергаются специальному преобразованию (RLL-кодирование). Вариантов такого кодирования существует очень много, и в жестких дисках разных моделей даже одного производителя они могут отличаться. Поэтому задача извлечения информации из полученного магнитного рельефа поверхности также не отличается простотой. Тем не менее, разработав специальное программное обеспечение и используя высокие вычислительные мощности современных компьютеров, такую задачу вполне возможно решить.
Возможности магнитного силового микроскопа могут применяться и для несанкционированного получения информации. Траектория движения записывающей головки жесткого диска никогда точно не совпадает с дорожкой (рис. 10). Поэтому между дорожками остаются остатки от предыдущих циклов записи. Для нормальной работы жесткого диска это не имеет значения, так как у современных винчестеров ширина головки считывания меньше ширины головки записи. Однако по магнитному рельефу поверхности, полученному с помощью магнитно-силового микроскопа можно восстановить уничтоженные данные, в том числе и если на место уничтожаемых данных записана новая (несекретная или просто случайная) информация. Поэтому для гарантированного уничтожения секретных данных используются специальные устройства.
Дополнительно
virt -clone клонирование виртульных машин ( CENTOS)
Удобно клонировать диск LVM
dd if=/dev/vg_vms/lv_disk-1 of=/dev/vg_vms/lv_disk-2
Возможно запись клона в в файл (добавить для быстроты bs=512K) затем из файла на диск.
Клонирование самой VM
virt-clone -o source_system --name new_system --file /dev/vg_vms/lv_disk-3
При клонировании на диск большего размера , системы сделает resize при следующей перезагрузке.
Дополнительно
При клонировании VM с несколькими дисками# virt-clone \
--connect qemu:///system \
--original demo \
--name newdemo \
--file /mnt/data/images/newdemo.img \
--file /mnt/data/images/newdata.img
При клонировании на физ.устройство, диск должен быть того или большего размера. При большем размере система клона увеличиться до нужного размера.
# virt-clone \
--connect qemu:///system \
--name demo \
--file /dev/vg1/win2k3 \
--mac 51:52:00:01:23:34
Для защиты от восстановления — забиваем его нулями: dd if=/dev/zero of=/dev/vg_vms/lv_disk-1 Для проверки dd if=/dev/vg_vms/lv_disk-1| hexdump -C
Должны выводиться нули.
Статья на http://habrahabr.ru/post/117050/ SMART Проверка hdd
smartctl - Control and Monitor Utility for SMART Disks
Для проверки диска на поддержку smart
smartctl -i /dev/sda
...
SMART support is: Available — device has SMART capability.
SMART support is: Enabled
Для включения smart
smartctl -s /dev/sda
Вся информация по диску:
smartctl --all /dev/sda
smartctl -A /dev/sda
Raw_Read_Error_Rate (частота ошибок при чтении данных с диска, происхождение которых обусловлено аппаратной частью диска) - 049 Seek_Error_Rate (частота ошибок при позиционировании блока головок.) - 060 И температура не радует совсем, хотя проверка overall-health - PASSED
Настройка демона smartd /etc/smartd.conf По-умолчанию там только одна опция DEVICESCAN Рекомендуется закомментировать ее и просто перечислить список устройств, которые мы хотим мониторить. /etc/smartd.conf config file /dev/sda -S on -o on -a -I 194 -m admin@inelsis.ru /dev/sdb -S on -o on -a -I 194 -m admin@inelsis.ru Директива -o включает автоматическое off-line тестирование. Директива -S включает автозапись атрибутов. Директива -m за которой следует e-mail указывает куда warning сообщения отсылать. Директива -a указывает smartd мониторить все SMART параметры диска smartd по умолчанию логирует изменение значений всех атрибутов. Директива -I 194 означает игнорировать атрибут #194, (т.е. температуру) /etc/init.d/smartd start Смарт атрибуты: Каждый атрибут имеет величину - Value. Value Изменяется в диапазоне от 0 до 255 (задается производителем). Низкое значение говорит о быстрой деградации диска или о возможном скором сбое. т.е. чем выше значение Value атрибута, тем лучше. Raw Value - это значение атрибута во внутреннем формате производителя значение малоинформативно для всех кроме сервисманов. Threshold. - минимальное возможное значение атрибута, при котором гарантируется безотказная работа накопителя. При Значении атрибута меньше Threshold очень вероятен сбой в работе или полный отказ. Атрибуты бывают критически важными (Pre-fail) и некритически важными (Old_age). Выход критически важного параметра за пределы Threshold фактический означает выход диска из строя, выход за переделы допустимых значений некритически важного параметра свидетельствует о наличии проблемы, но диск может сохранять свою работоспособность.
Подробнее http://www.opennet.ru/base/sys/smart_hdd_mon.txt.html
Блокировка трафика пользователя с конкретного ресурса
Организация работает через управляемый маршрутизатор Mirotik. Смотрим откуда и куда идет повышенный трафик.
Далее.
Для iptables CentOS прямо в консоли набираем
iptables -I INPUT -s vk.com -j DROP
Для просмотра заблокированных
iptables -L -v iptables -L INPUT -v iptables -L INPUT -v -n Для удаления правила ( можно перезагрузить ) или iptables -D INPUT -s vk.com -j DROP
Не правильно работает ДНС подставляет суффикс в локальную зону
Домен на Windows 2003 server , на нем локальный ДНС. При проверке nslookup www.ru выдает Non-authoritative answer: Name: www.ru.corp.ru Address: 111.222.333.111 Подставляет к домену суффиксом поиск Решение Добавив в файл /etc/resolv.conf строчки
- domain corp.ru
- search corp.ru
- nameserver 192.168.1.100 #адрес dns сервера
Bind работает по своему сценарию. Если ДНС сервер как правило на AD Windows , то у него должно быть реально работающее в сети имя. Не ка обычно name.local
Установить значение директивы $cfg ‘blowfish_secret’
Если при открытии phpmyadmin — ошибка
При cookie-аутентификации, в конфигурационном файле необходимо задать парольную фразу установив значение директивы $cfg[‘blowfish_secret’].
Решение
/usr/share/phpmyadmin
файл config.inc.php
там деректива $cfg[‘blowfish_secret’] =’ любой набор символов’
Создание сертификата для web-сервера в CENTOS
До устанавливаем
yum install mod_ssl openssl
# Генерация приватного ключа openssl genrsa -out www.inelsis.ru.key 1024 # Генерация запроса на сертификат CSR openssl req -new -key www.inelsis.ru.key -out www.inelsis.ru.csr # Генерация самоподписанного ключа на год openssl x509 -req -days 365 -in www.inelsis.ru.csr -signkey www.inelsis.ru.key -out www.inelsis.ru.crt # Перемещение полученных файлов в правильные места mv www.inelsis.ru.crt /etc/pki/tls/certs/www.inelsis.ru.crt mv www.inelsis.ru.key /etc/pki/tls/private/www.inelsis.ru.key mv www.inelsis.ru.csr /etc/pki/tls/private/www.inelsis.ru.csr
«named» process is using 100% CPU on RedHat/CentOS
Проблемы с новым ДНС сервером. Установлен bind-9.8.2-0.23.rc1.el6_5.1.x86_64
При запуске named загрузка процессора примерно на 333%. У двухядерного на 100% оба ядра.
Проблема.
Пропатченный DNS сервер пытался сформировать ключи для зон и записать их в папку dynamic. Которая находилась не в том месте.
Решение.
1. Создать недостающую подпапку /dynamic . Создать пустой файл ‘dynamic/managed-keys.bind‘
2. Назначить права chown -R named:named /var/named
3. Перезагрузить named.
Найдено тут https://otrs.menandmice.com/otrs/public.pl?Action=PublicFAQZoom&ItemID=175