Рассмотрим основные команды работы с текстовым редактором Vim основном на более старом Vi. Если вы нацелены на серьезную дальнейшую работу в качестве системного администратора изучайте этот редактор. Vi универсальный редактор, который есть везде.
Почему выбираем VIM
Долгое время пользовался редактором mcedit, который входит в текстовый редактор Midnight Commander, и он вполне меня устраивал. Периодически видел в сети рекомендации опытных админов использовать редактор vim, но никак не мог понять чем же он так хорошо и почему советуют именно его.
Как оказалось этот редактор имеет смысл использовать исходя из двух основных причин:
Других редакторов нет на других системах по умолчанию (например Solaris), Vi это универсальный редактор, который есть везде с 80-x годов;
При редактировании с mc возможны ошибки, если случайно задел что-то и появился непечатный символ — глазами его не увидеть, а голову потом ломать можно очень долго почему что-то не работает как надо.
Этих причин мне хватило чтобы осознано изучить как работать с редактором Vim.
В случае отсутствия редактора установите пакет vim согласно правил выбранного дистрибутива.
Учебник VIM
Введем в консоли команду и увидим учебник по vim:
vimtutor
= вывод команды =
===============================================================================
= Д о б р о п о ж а л о в а т ь в у ч е б н и к VIM -- версия 1.7 =
===============================================================================
Vim -- это очень мощный редактор, имеющий множество команд, слишком много
для того, чтобы их все можно было описать в таком учебнике, как этот.
Этот учебник призван объяснить достаточное число команд для того, чтобы
вы могли с лёгкостью использовать Vim в качестве редактора общего
назначения.
Вам потребуется приблизительно 25-30 минут на освоение данного учебника в
зависимости от того, сколько времени вы потратите на эксперименты.
Внимание! Командами в уроках вы будете изменять этот текст. Создайте
копию этого файла, чтобы попрактиковаться на ней (если вы запустили
"vimtutor", то это уже копия).
Важно помнить, что этот учебник предназначен для обучения в процессе
использования. Это означает, что вы должны запускать команды для того,
чтобы как следует их изучить. Если вы просто прочитаете этот текст, то
не запомните команды!
Теперь убедитесь в том, что клавиша CapsLock не включена, и нажмите
клавишу j несколько раз, так, чтобы Урок 1.1 полностью поместился на
экране.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Урок 1.1: ПЕРЕМЕЩЕНИЕ КУРСОРА
** Для перемещения курсора нажмите клавиши h,j,k,l так, как показано ниже. **
!!! Остальная часть учебника не показана !!!
На прохождение всех уроков и выписывания всех команд в удобной мне форме у меня ушел день. Советую обязательно пройти эти уроки! Если вам покажется что используемые команды разбросаны по своим функциональным назначения вы можете воспользоватся моим списком команд.
Смена цветовой схемы
Все схемы для CentOS можно посмотреть по пути /usr/share/vim/vim74/colors
Чтобы посмотреть текущую схему, необходимо выполнить команду :
:colorscheme
Для просмотра цветовой схемы в текущей сессии набираем:
:colorscheme scheme_name
Для применить схемы после перезагрузки надо создать файл в папке пользователя и внести туда необходимый код:
= переходим в папку пользователя =
cd
= создаем необходимый файл =
vim .vimrc
= вносим необходимые параметры
syntax on
colorscheme scheme_name
Список основных команд VIM
ESC — снимает все режимы и переводит в Normal mode.
Навигация и Поиск
СТРЕЛКИ — перемещение курсора. 0— (ноль) перемещение к началу строки. Ctrl + G— внизу экрана появится статус с именем файла и номером строки. Shift + G — перемещение к концу файла. :№ строки — переход к нужной строке.
/искомая фраза — поиск после курсора. /искомая фраза\с— игнорировать регистр только для одного поиска. n — повтор поиска. Shift + N — поиск в обратном направлении. ?искомая фраза — сразу поиск в обратном направлении.
Опции для поиска: :set ic — игнорирование регистра при поиске. :set is — отображение частичных совпадений при поиске. :set hls — подсветка всех совпадений при поиске. Для отключения добавляется`no’ перед параметром.
Поиск парных скобок:
Ставим курсор на нужный символ { [ и тд. и знак % перенесет на парную скобку.
Выход и Сохранение
:q! — выйти из редактора БЕЗ СОХРАНЕНИЯ любых сделанных изменений. :q— закрыть если не делали никаких действий с файлом. :wq — выход с СОХРАНЕНИЕМ всего что сделано. :w!q — выход с СОХРАНЕНИЕМ когда у файла есть атрибуты на запрет изменений. Не путать с правами доступа!
Аналоги команд: w!— это W q! — это Q
:w test— создаст файл test в текущей директории. :w /home/test — создаст файл по указанному пути.
Сохранения части текста в файл: v— перевод в визуальный режим редактора (выделение стрелками). :'<,’>w /root/test— параметр ‘<,’> говорит что сохраниться только выделенная часть файл test.
Редактирование
:noh — убрать выделения.
i— вставка текста под курсором. a— вставка текста после курсора. A— добавление текста в конце строки.
yy — копирование строки. v — переводит в визуальны режим. Стрелками выделяется нужный текст. y — копирование выделенного текста. p — вставка последнего удалённого текста или того что было скопировано по команде y.
r — замена символа под курсором. R — замена нескольких символов.
ce — удаление символов в слове после курсора и переход в режим вставки. с$ — после курсора в строке всё удалит и перейдет в режим вставки.
Клавиша Backspace может использоваться для исправления при наборе!
o — создание пустой строки ПОД курсором и переход в режим вставки. O — создание пустой строку НАД курсором и переход в режим вставки.
:r TEST — вставка текст из файла TEST. :r !ls — прочитает вывод команды ls и вставит его ниже курсора.
u — отмена (откат) предшествующих действий. U — отмена (откат) предшествующих действий в строке. CTRL+ R — отмена отмены (если случайно отменили то что не надо было отменять).
:s/было/стало — заменит первое найденное вхождение в строке. :s/уводю/увожу/g — заменит все найденные в строке вхождения. :#,#s/было/стало/g — где #,# номера этих строк для замены всех вхождений. :%s/было/стало/g — замена всех вхождений во всем файле. :%s/было/стало/gc — поиск всех вхождений во всем файле и запроса подтверждения замены.
x — удаление символа под курсором. dd— удаление всей строки. 2dd— удаление двух строк. dw — удаление от курсора до конца слова, включая последующий пробел. de -удаление от курсора до конца слова, НЕ включая последующий пробел. d$ -удаление от курсора до конца строки. d^ -удаление от курсора до начала строки.
Выполнение внешних команд
:sh — переход в консоль (для возврата набрать exit). :!ls — команда добавит список файлов в текущем каталоге.
Вывод
Не так страшен Vim как он кажется при первом знакомстве с ним. Всего несколько дней и уже начинаешь понимать, что кажущаяся сложность использования на самом деле ограждает от случайных действий.
Установим и настроим почтовую программу Mozilla Thunderbird для обмена защищенными сообщениями с помощью дополнения Enigmail для PGP шифрования. Настройка одинаково проста как в системах Linux так и Windows. Не ленитесь защищать свою переписку.
Вступление
Рано или поздно у каждого пользователя возникает необходимость в общении по почте с помощью защищенных сообщений. Давно использую почтовую программу Thunderbird но не думал что в ней можно без особых усилий настроить механизм шифрования сообщений.
Скачать последнюю русскоязычную версию программы Thunderbird вы можете на официальном сайте.
Пример настройки рассмотрим на системе Windows. Для Linux все действия идентичны. В Calculate Linux при установке Thunderbird всё необходимое уже установлено и останется только настроить шифрование для необходимой почты.
Упускаю процесс установки и добавления почтового ящика.
Установка дополнения Enigmail
Расширение Enigmail необходимо для работы с шифрованием почты.
Открываем настройки программы и выбираем «Дополнения».
Выбираем «Получить дополнения» и жмем ссылку справа «Подробнее».
По поиску находим Enigmail и добавляем в Thunderbird.
После установки в меню Thunderbird появится закладка Enigmail.
Настройка Enigmail
В меню Thunderbird в закладке Enigmail выбираем «Мастер установки».
После выбора стандартной конфигурации выйдет сообщение которое сообщает о том что необходимо установить программу GnuPG которая и будет производить всю криптографическую работу.
Нажимаем «Установить…» и выполним установку.
После установки переходим к созданию ключа шифрования.
Создадим сертификат отзыва ключа.
После всех выполненных действий почтовая программа готова к работе с шифрованными сообщениями.
Работа с шифрованными сообщениями в Thunderbird
Для обмена шифрованными сообщениями вам необходимо обменяться открытыми ключами с нужными контактами!
Зашифрованные сообщения без расшифровки будет выглядеть таким образом.
Все ваши ключи мы можем посмотреть перейдя в Меню Thunderbird —> Enigmail —> Менеджер ключей.
Отправка открытого ключа
Выбираем нужный ключ и по нажатию правой кнопки мыши выбираем «Отправить открытые ключи по электронной почте».
Установка открытого ключа
Полученный открытый ключ добавим в Менеджере ключей перейдя по ссылке Файл —> «Импортировать ключи из файла»
После успешного импорта он появится в списке ключей.
Пример зашифрованного сообщения
Вывод
Обмен защищенными сообщениями на порядок усиливает конфиденциальность вашей переписки и по большому счету надо пользоваться этим по возможности чаще. На примере было показано как можно просто настроить безопасную переписку в электронной почте, ну а пользоваться таким механизмом или нет, конечно решать вам.
Рассмотрим основные моменты по работе с замечательной программой Conky которая позволяет выводить на рабочий стол любые параметры вашей системы показывая все процессы компьютера в реальном времени. Универсальная настройка для любой OC Linux.
Вступление
Удобное и информативное отображение параметров системы и особенно отображение тех параметров которые мне хочется видеть была одной из моих главных пожеланий при настройке любой системы. Первое время я пытался добавлять на панели разные аплеты с выводом информации, но все это не совсем удобно. Когда первый раз познакомился с Сonky мне было не удобно настраивать его и каждый раз при переустановке системы лезть в настройки и настраивать. К моей радости один из пользователей Calculate Linux, который регулярно выкладывает свои сборки, в сборку добавляет свой подход к настройкам Conky его то я и взял за основу.
Установка Conky
Пакет присутствует во всех дистрибутивах и называется conky. Назову лишь команды установки в некоторых системах.
Calculate Linux или Gentoo:
emerge conky
Debian
apt-get install conky
CentOS
yum install conky
Управление Conky
Для запуска достаточно запустить в консоли из под пользователя команду и на рабочем столе появится базовая версия отображения параметров:
conky
Все параметры берутся и файла настроек по умолчанию и вряд ли кого устроят. Вот так выглядят базовые настройки на моем рабочем столе:
Вся настройка производится редактирование одного файла conkyrc который в разных версиях может быть в разных местах.
Остановить можно командой из под пользователя:
killall conky
Удобный подход к работе с Conky
Самый удобный для меня подход оказался когда в папке лежит и файл настройки и шрифты что используются а так же скрипт запуска программы который я просто добавляю в автозагрузку системы.
Вот то что я делаю при установке новой системы для удобной работы с Conky:
Ложу папку my_conky туда куда мне удобно,
Папку со шрифтами копирую в папку /usr/share/fonts/,
Добавляю в автозагрузку файл start-conky.sh в котором прописаны параметры запуска.
Файл необходимо сделать запускаемым. В консоли команда: chmod +x /путь до/start-conky.sh
Настройка сводится к тому что я открываю файл conkyrc в текстовом редакторе и редактирую его. После сохранения файла вы сразу уведите результат своих настроек без перезагрузки сервиса.
Мой далеко не идеальный вариант настройки вы можете скачать по ссылке и отредактировать параметры под все свои требования.
Файл настроек Conky
Варианты и команды настроек я не буду указывать их вы всегда сможете найти в интернете с избытком как в примерах кода так и в разных инструкциях. Для работы с настройкой отображения картинок необходимо открывать шрифт и посмотреть необходимый код нужного элемента. Для работы с графическими шрифтами я использую программу FontForge.
Вот мой файл настроек который вы можете увидеть в скаченном архиве:
###############################
# Настройки Алексея Долотова #
# для сайта sevo44.ru #
###############################
update_interval 1
total_run_times 0
net_avg_samples 1
cpu_avg_samples 1
if_up_strictness link
# imlib_cache_size 0
double_buffer yes
no_buffers yes
format_human_readable
#######################
# Текстовые настройки #
#######################
use_xft yes
xftfont Ubuntu:size=8
override_utf8_locale yes
text_buffer_size 2048
#####################
# Оконная специфика #
#####################
own_window_class Conky
own_window yes
#own_window_type conky
own_window_argb_visual yes
own_window_transparent yes
own_window_hints undecorated,below,sticky,skip_taskbar,skip_pager
border_inner_margin 4
border_outer_margin 1
alignment top_right
gap_x 15
gap_y 15
minimum_size 182 700
maximum_width 182
default_bar_size 60 8
# use_xft yes
# xftfont caviar dreams:size=8
# xftalpha 0.5
# uppercase no
#########################
# Графические настройки #
#########################
# draw_outline no
draw_borders no
draw_graph_borders no
draw_shades yes
default_color cccccc
color0 D3D2D5
color1 77507b
color2 F2F2F2
color3 5C3566
######################################
# Начало кода вывода после кода TEXT #
######################################
TEXT
###########
# Система #
###########
!!! Часть кода скрыл. Все увидите в скаченном архиве my_conky !!!
#########
# Конец #
#########
Вот так выглядят мои настройки на рабочем столе:
Под моим контролем всегда:
Состояние работы процессора,
Загруженность памяти и какие ресурсы кушают больше всего,
Какие приложения занимают ресурсы процессора,
Информация о свободном месте на диске,
Результат работа обоих сетевых карт, проводной и wi-fi,
Информация о назначенных IP адресах.
Результат
При таком варианте работы с пакетом Conky все становится понятно и просто как в работе так и в настройках программы. Иметь на рабочем столе все необходимые вам параметры самый удобный способ быть в курсе что происходит в реальном времени с вашим компьютером.
Установим и настроим 1С:Предприятие 8.3 на OC Debian. Работать программа будет на свободном терминальном сервере XRDP для удобного подключения с любой системы. Прощай популярный нелегальный перевод систем Windows в терминальный сервер.
Введение
Произведем установку и настройку программы «1С:Предприятие 8.3» c конфигурацией «Бухгалтерия предприятия (базовая)» с программной и аппаратной лицензией. Установка будет производится на подготовленный сервер терминалов работающий под управлением XRDP в операционной системе Debian 8.
В системе Debian 9 все настраивается аналогичным образом. Единственное что необходимо это выбрать правильный пакет для HASP.
Многие конторы занимающиеся 1С будут советовать вам приобретать для работы в системе именно систему Windows обосновывая это большей надежностью и удобством. Имейте в виду что при продаже Windows продавец, согласно политике компании, получает приличное вознаграждение что вызывает у многих буйное желание продать побольше товаров МайкраСофака. Вам ведь никто не скажет что в системе Linux люди не используют антивирусы 🙂 там вирусы не живут.
Все действия производятся с учетом настройки сервера терминалов рассмотренной в статье «XRDP терминальный сервер Linux«.
Платформа и конфигурация 1С:Предприятие для Linux
В документах, которые вы получили после приобретения программного продукта семейства 1С, вы найдете регистрационные данные которые необходимы для регистрации на портале поддержки 1C:Портал поддержки. После регистрации и активирования своего продукта вы получите доступ для скачивания всего необходимого.
Иногда компании, в которых вы приобретаете продукт, может зарегистрировать продукт за вас. Уточните этот момент перед тем как регистрироваться самим.
Различие Базовой и Проф конфигурации
К выборе версии надо подходить очень аккуратно и не идти на развод торгующих компаний на подписку ИТС.
Компании обслуживающие 1С заинтересованы склонить вас на подписку и получать ежемесячный доход ничего не делая.
Рассмотрим кратко основные отличия:
Базовая версия — при этом выборе вы можете вести только одну организацию в одной базе. Можно таких баз вести сколько угодно но для каждой организации будет своя база. Плюс в том что вы всегда сможете сами обновляться с официального сайта поддержки не прибегая к помощи сторонних специалистов.
Если вы не планируйте вносить изменения в конфигурацию и пользоваться проверенной и стабильно работающей версией то это именно то что вам надо.
ПРОФ версия — как только вы перешли на эту версию про обновления можете забыть так как они будут доступны только при подписке ИТС. Появится возможность вносить изменения в конфигурацию и вести несколько фирм в одной базе но надо ли вам это решайте сами.
Самое главное имейте в виду что при переходе на ПРОФ вы полностью зависите от той компании в которой оформили подписку ИТС и от тех специалистов которые будут работать с вашей программой. Компаний много и тут важно выбрать хорошую. Лучше если это будет по рекомендации людей которым вы доверяете.
Вот вопрос-ответ службы поддержки 1С на два моих вопроса.
Версию ПРОФ в отличии от БАЗОВОЙ можно обновлять только при активной подписке на ИТС? — Да.
В моем случае для тестирования без приобретения подписки ИТС я не смогу обновлять верию ПРОФ легальными способами? — Да.
В практике сталкивался с тем что иногда компания сидит в старой версии программы (например 8.1) и хотят перейти и обновится до новой версии 8.3 но продавец у которого они приобретали продукт говорит что надо покупать новую версию. Какое было у них удивление когда я обновлял и ставил им последнюю версию и показывал как надо обновляться. Конечно я не затрагиваю момент обновление конфигурации с обновлением всех данных хотя и это при грамотном подходе возможно сделать с сохранением всех основных данных.
Программная и аппаратная лицензия 1С:Предприятие
Это пожалуй один из важных моментов которые нужно учесть сразу. Программная лицензия стоит дешевле но вызывает кучу проблем при смене оборудования. Не скрою что отдел лицензирование всегда идёт на встречу и может предоставить даже большее количество активаций при определенных условиях, но это не всегда удобно. Использование USB ключей всё упрощает и развязывает руки при обновлении оборудования или оптимизации работы с 1С.
В практике был случай когда компания приобрела программную лицензию на 5 пользователей и активировало её не для сервера а для каждого пользовательского компьютера. По началу все было нормально но когда база увеличилась начались проблемы со скоростью работы и даже использование скоростного диска SSD и перевода сети на 1 Gbit не сильно улучшило ситуацию.
Варианты разворачивания сети 1С:Предприятие
Все хотят работать в программе 1С быстро как на предприятии так и дома. Все это можно оптимально настроить разными способами с учетом требований эксплуатирующей организации.
Существует два вида работы базы данных:
Файловая база данных — самый простой вариант и подходит идеально для небольших организаций. Этот вариант мы и рассмотрим в этой статье.
База данных SQL — более сложный вариант и ориентирован на большое количество пользователей. При небольшом количестве пользователей нет смысла использовать такой вариант. Для работы будет нужна серверная лицензия которая стоит в районе 80 000 рублей.
Внимание!
Сервер 1С:Предприятия 8. под Linux может запуститься и без лицензии, при этом он позволяет иметь в кластере только один рабочий процесс, который допускает не более 12 клиентских соединений. Однако, такая работа сервера не дает права использования программного обеспечения сервера 1С:Предприятия без покупки продукта «1С:Предприятие 8. Лицензия на сервер». Об этом сказано в лицензионном соглашении любой основной поставки 1С:Предприятия.
Оптимальное использование файловой базы данных 1C:Предприятие
Когда вы используйте файловую базу данных расположенную в локальной сети и клиенты подключаются скорость работы в программе зависит от скорости локальной сети и от мощности самого компьютера. Для небольших баз этот вариант приемлем но очень быстро базы увеличиваются и работа в программе становится все медленней и медленней за исключением компьютера на котором расположена сама база.
Существует два варианта улучшения скорости работы в файловой базе данных:
Использование локальной сети 1 Gbit и диска SSD для базы данных — на какой то момент это улучшит положение но как показала практика не на долго. Очень быстро пользователи привыкают к улучшению скорости и начинаются опять жалобы на зависания в работе.
Использование терминального сервера — при этом варианте в организацию приобретается один мощный компьютер на котором устанавливается программа и все пользователи удалено подключаются к компьютеру использую свой профиль. Получится что на одном компьютере будет одновременно сидеть несколько пользователей не видя друг друга. По сети передается только картинка а вся работа производится на сервере. Возможно настроить удаленный доступ из интернета и тогда избранные пользователи смогут используя медленный интернет спокойно работать в программе с домашнего компьютера.
Конечно вы можете приобрести серверную версию Windows так как только там легально можно использовать терминальный режим. Некоторые по многочисленным советам в сети переводят обычные версии Windows в терминальный режим используя нелегальные варианты. Мой выбор пал но терминальный сервер Linux который удовлетворил все мои пожелания и требования.
Установка 1С Предприятие 8.3 на Linux
Пошагово пройдем путь установки программы на систему Debian 8.
Предварительная подготовка
Создадим папки на сервере куда разместим все необходимые файлы для установки платформы,программного обеспечения для работы с Hasp ключами USB и для баз данных программы:
Изменим файл /etc/hosts для правильной работы с базами PostgreSQL если нам потребуется:
mcedit /etc/hosts
= вывод команды с необходимыми изменениями =
127.0.0.1 localhost
127.0.1.1 xrdp1c.sevo44.loc xrdp1c
# без этой строки базы в PostgreSQL из шаблона создаваться не будут
192.168.0.105 xrdp1c.sevo44.loc xrdp1c
# The following lines are desirable for IPv6 capable hosts
#::1 localhost ip6-localhost ip6-loopback
#ff02::1 ip6-allnodes
#ff02::2 ip6-allrouters
Установка 1С:Предприятие 8.3
Скачиваем с сайта поддержки 1С два необходимых архива:
Cервер 1С:Предприятия (64-bit) для DEB-based Linux-систем
Клиент 1С:Предприятия (64-bit) для DEB-based Linux-систем
Распаковываем архивы и кладём всё что там есть в папку /root/1c/deb:
Пакеты с thin — это тонкий клиент. Нам он не нужен и можно удалить эти пакеты. Пакеты nls нужно использовать в случае использования языков кроме русского.
Удалив всё лишнее, запустим установку:
dpkg -i *.deb
= вывод команды =
Выбор ранее не выбранного пакета 1c-enterprise83-client.
(Чтение базы данных … на данный момент установлено 89244 файла и каталога.)
Подготовка к распаковке 1c-enterprise83-client_8.3.10-2252_amd64.deb …
Распаковывается 1c-enterprise83-client (8.3.10-2252) …
Выбор ранее не выбранного пакета 1c-enterprise83-common.
Подготовка к распаковке 1c-enterprise83-common_8.3.10-2252_amd64.deb …
Распаковывается 1c-enterprise83-common (8.3.10-2252) …
Выбор ранее не выбранного пакета 1c-enterprise83-server.
Подготовка к распаковке 1c-enterprise83-server_8.3.10-2252_amd64.deb …
Распаковывается 1c-enterprise83-server (8.3.10-2252) …
Выбор ранее не выбранного пакета 1c-enterprise83-ws.
Подготовка к распаковке 1c-enterprise83-ws_8.3.10-2252_amd64.deb …
Распаковывается 1c-enterprise83-ws (8.3.10-2252) …
Настраивается пакет 1c-enterprise83-common (8.3.10-2252) …
Настраивается пакет 1c-enterprise83-server (8.3.10-2252) …
Настраивается пакет 1c-enterprise83-ws (8.3.10-2252) …
Настраивается пакет 1c-enterprise83-client (8.3.10-2252) …
Обрабатываются триггеры для desktop-file-utils (0.22-1) …
Обрабатываются триггеры для mime-support (3.58) …
Обрабатываются триггеры для hicolor-icon-theme (0.13-1) …
Обрабатываются триггеры для systemd (215-17+deb8u7) …
Работа с сервером 1С:Предприятие в системе Linux
Программа установлена осталось проверить некоторые моменты.
Все стартовало и работает как надо. Команды управления сервером 1С:Предприятие:
service srv1cv83 start
service srv1cv83 stop
service srv1cv83 restart
service srv1cv83 status
Создание файловой базы данных 1C:Предприятие
При первом запуске вылезет сообщение о необходимости установки шрифтов. В моем случае все шрифты были и отображаются корректно.
В Linux для создания баз из шаблона вначале необходимо установить шаблон в необходимую папку а потом указать в настройке откуда брать шаблоны.
Для этих действий необходимо чтобы в системе была установлена Wine. К сожалению без этого нельзя запустить файлы exe. Других способов установки базы из шаблона в системе Linux я не нашел.
В моем случае я скопировал папку с базой в нужное место и дал необходимые права:
chmod -R 777 /base1c
Права надо давать только после того как копируйте все необходимые базы 1С!
Активирование программной лицензии 1С:Предприятие
В активировании программной лицензии есть один нюанс. Если вы запустите программу она напишет что необходимо активировать и вы начнете вводить пин код то он окажется на 1 знак больше чем требуемое количество.
Для активации обнопользовательской программной лицензии необходимо запустить программу 1С:Предприятие под пользователем root и только тогда при активации появится необходимое поле.
Установка HASP для работы с USB ключом
Программное обеспечение для работы с USB ключом будем использовать от компании Etersoft. Посмотрим какие последние версии для Debiam 8 есть на сайте перейдя по ссылке ftp://ftp.etersoft.ru/pub/Etersoft/HASP/stable/x86_64/Debian/8/ В моем случае последняя версия haspd_7.40-eter10debian_amd64.deb.
Для Debian 9 выберите пакет для этой системы.
Перейдем в папку, скачаем туда пакет:
cd /root/1c/hasp
wget ftp://ftp.etersoft.ru/pub/Etersoft/HASP/stable/x86_64/Debian/8/haspd_7.40-eter10debian_amd64.deb
= часть вывода команды =
2017-06-01 17:04:10 (2,25 MB/s) - «haspd_7.40-eter10debian_amd64.deb» сохранён [3261640]
Установим:
dpkg -i haspd_7.40-eter10debian_amd64.deb
= вывод команды =
Выбор ранее не выбранного пакета haspd.
(Чтение базы данных … на данный момент установлено 41583 файла и каталога.)
Подготовка к распаковке haspd_7.40-eter8debian_amd64.deb …
Распаковывается haspd (7.40-eter8debian) …
Настраивается пакет haspd (7.40-eter8debian) …
insserv: warning: script 'haspd.outformat' missing LSB tags and overrides
Обрабатываются триггеры для systemd (215-17+deb8u3) …
Обрабатываются триггеры для man-db (2.7.0.2-5) …
Запустим и проверим статус:
service haspd start
service haspd status
= вывод команды =
● haspd.service - LSB: Hasp keys support
Loaded: loaded (/etc/init.d/haspd)
Active: active (running) since Вт 2016-03-29 16:22:46 MSK; 1s ago
Process: 6521 ExecStart=/etc/init.d/haspd start (code=exited, status=0/SUCCESS)
CGroup: /system.slice/haspd.service
├─6557 aksusbd
├─6568 winehasp
├─6577 hasplm -c /etc/haspd/hasplm.conf
└─6586 hasplmd -s
мар 29 16:22:46 vm008srv1c8 haspd[6521]: Enable workaround for /proc/bus/usb (bind from /dev/bus/usb)[ DONE ]
мар 29 16:22:46 vm008srv1c8 haspd[6521]: [ DONE ]
мар 29 16:22:46 vm008srv1c8 aksusbd[6557]: loaded, daemon version: 7.40.1.50292, key API (USB) version: 3.88 (parallel driver not available)
мар 29 16:22:46 vm008srv1c8 haspd[6521]: Running aksusbd... [ DONE ]
мар 29 16:22:46 vm008srv1c8 winehasp[6568]: winehasp 2.00 loaded
мар 29 16:22:46 vm008srv1c8 haspd[6521]: Running winehasp... [ DONE ]
мар 29 16:22:46 vm008srv1c8 hasplm[6577]: HASP LM v8.30 loaded
мар 29 16:22:46 vm008srv1c8 haspd[6521]: Running hasplm... [ DONE ]
мар 29 16:22:46 vm008srv1c8 hasplmd[6586]: HASP LM v18.0.1.55506 loaded
мар 29 16:22:46 vm008srv1c8 haspd[6521]: Running hasplmd... [ DONE ]
Все хорошо. Осталось подключить USB ключ или как в нашем случае пробросить его в системе Proxmox до нужной виртуальной машины.
Проброс USB устройства в системе виртуализации Proxmox
Рассказано для 4 версии Proxmox в 5 всё делается в веб интерфейсе!
Более подробно о вариантах проброса USB устройств в системе Proxmox вы можете узнать из статьи «USB проброс в Proxmox«.
Выполним проброс USB устройства с ключом от 1С:Предприятие 8, согласно статьи указанной выше.
Все действия на сервере Proxmox!
lsusb
= вывод команды с пояснениями =
Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 005 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 004 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
Bus 003 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
# Вот наш ключBus 002 Device 003: ID 0529:0001 Aladdin Knowledge Systems HASP v0.06
Bus 002 Device 004: ID 0665:5161 Cypress Semiconductor USB to Serial
Bus 002 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub
lsusb -t
/: Bus 05.Port 1: Dev 1, Class=root_hub, Driver=uhci_hcd/2p, 12M
/: Bus 04.Port 1: Dev 1, Class=root_hub, Driver=uhci_hcd/2p, 12M
/: Bus 03.Port 1: Dev 1, Class=root_hub, Driver=uhci_hcd/2p, 12M
/: Bus 02.Port 1: Dev 1, Class=root_hub, Driver=uhci_hcd/2p, 12M
|__ Port 1: Dev 4, If 0, Class=Human Interface Device, Driver=usbfs, 1.5M
|__ Port 2: Dev 3, If 0, Class=Vendor Specific Class, Driver=usbfs, 12M
/: Bus 01.Port 1: Dev 1, Class=root_hub, Driver=ehci-pci/8p, 480M
Видим что шина 2 и порт 2. Пропишем в параметры виртуальной машины:
mcedit /etc/pve/qemu-server/ID виртуальной машины.conf
= необходимое дополнение =
# Добавляем в конце строку. При изменении параметров vm эта строка останется!
usb0: 2-2
После перезагрузки сервера виртуализации Proxmox устройство будет работать в нужной виртуальной системе.
Проблемы со шрифтами
Сразу не заметил проблему со шрифтами при экспорте в pdf файл. Часть текста обрезалась и информация была не полной. Можно ставить пакеты со шрифтами но я вычислил, что достаточно иметь шрифты по пути /usr/share/fonts/msttcorefonts.
Очень рекомендую сразу отключить проверку на обновление системы в настройках программы. Отключить можно в разделе Администрирование — Интернет-поддержка пользователей. Обновлять спокойней и удобней через конфигуратор.
Обновление платформы 1С:Предприятие в Linux
Обновление производится по принципу установки программы пройденной в статье выше. Скачиваем новые пакеты и заново устанавливаем.
Обновление базовой конфигурации 1C:Предприятие в Linux
Обновление для ПРОФ это совсем другая песня.
Обновлять конфигурацию можно двумя способами:
Автоматическое обновление — в режиме конфигуратора базы. Конфигурация — Обновить конфигурацию.. — Поиск доступных обновлений указываем наш логин и пароль от личного кабинета пользователя и обновляемся.
Ручное обновление — вначале скачиваем все необходимые обновления в зависимости от версий обновления в личном кабинете и дальше в конфигураторе базы. Конфигурация — Обновить конфигурацию.. — Выбор файла обновление
Результат
После всех выполненных действий у нас будет работать терминальный сервер в котором удобно и конформно работать с программным комплексом 1С:Предприятие 8 для пользователей и администраторов. Лично для меня это развязало руки от привязки к компьютеру куда я установил программу и активировал программный ключ. В следующих статьях на тему 1С расскажу как я настроил резервное копирование файловых баз даныx и произведу установку базы на PostgreSQL c публикацией на Web сервере.
Установим терминальный сервер XRDP на OC Debian. Настроим все основные требования для удобной работы с сервером для пользователей и администраторов. В последствии рассмотрим установку на сервер программу из семейства 1С Предприятие 8.
Введение
Из статьи вы узнаете о том как настроить терминальный сервер на базе операционной системы Linux. Настраивать будем используя дистрибутив Debian 10 Buster.
Ранее в этой статье я расказывал как производится настройка на Debian 8 и 9 версии и какие нюансы настройки. В новой версии большенсово проблем прошлых версий исправлено, но появились новые с решением которых я с вами и поделюсь.
Совершенно нет желания захломлять ресурс старыми не актуальными статьями. XRDP он всегда один и лучше использовать его на новых стабильных версиях. При желании всегда можно мигрировать со старой версии Debian на новую. Например, я вполне успешно делаю обновления начиная с 7 версии.
Вариант с нелегальным переводом системы Windows в терминальный сервер используя патчи я сразу отбросил в сторону. Не занимаюсь воровством программ и не буду.
Требования для терминального сервера:
Работа буфера обмена в обоих направлениях,
Переключение раскладки клавиатуры на русский язык,
Работа пользователей по сертификату,
Монтирование сетевых ресурсов,
Подключение локальной папки на сервер,
Создание одной сессии для пользователя,
Подключение принтеров.
Главная задача чтобы сессия пользователя оставалась на сервере и можно было к ней подключиться с любого места.
Графическую оболочку лучше использовать легковесную. Например, LXDE или XFCE. В моем примере рассматривается использование XFCE.
Все дальнейшие действия описаны с учетом стандартной усатновки сервера с выбором окружения XFCE и установкой ssh сервера.
Если вам хочется почитать «Как скачать и установить Debian 10 Buster» вы можете это сделать на сайте который стал для меня отправной точкой в изучении Linux. Все статьи на этом ресурсе написаны понятным языком и проверены автором перед тем как выкладывать в сеть.
Неудачная попытка настройки XRDP на CentOS 7
В репозитории Epel присутствует свежая версия xrdp.x86_64 1:0.9.2-10.el7 что сразу порадовало. Установка проходит без проблем и все сразу работает после старта службы.
В CentOS, как я понял, работают в основном над своим рабочим окружением Gnomе и стараются поддерживать KDE. Для терминального сервера окружение Gnome и KDE тяжеловаты. Можно установить XFCE, LXDE или MATE но они в урезанном виде и пришлось поковыряться, чтобы настроить нужные элементы на панели не говоря уже о других неудобных моментах в настройке.
Дальше я мучатся с настройкой этой системы не стал, так как в Debian все для меня настроилось гораздо проще и удобней.
Предварительна подготовка
Для своего удобства я всегда устанавливаю файловый редактор vim и файловый менеджер mc. Установим выполнив команду:
apt install vim mc
В статье в командах будут использоваться именно эти программы.
По умолчанию считается что действия в консоли выполняются из под пользователя root.
Установка XRDP на Debian 10
К сожалению вы не сможете впоследствии установить на эту систему 1C:Предприятие по причине долгой задержки в поддержке этой версии от разработчиков. Команды и действия полностью эдентичны для установки на Debian 9.
Настройка произведена и можно подключатся по протоколу RDP.
Для запуска X сервера (отображение экрана) существуют разные права доступа. По умолчанию запуск разрешен всем пользователям с доступом к консоли.
Для изменения прав доступа к запуску X сервера необходимо выполнить следующую команду:
dpkg-reconfigure xserver-xorg-legacy
Перезагружаем сервис:
service xrdp restart
Настройка новых правил применнена и можно подключатся по протоколу RDP используя новые параметры.
Настройка XRDP
Вначале настроим пользователя которого создали при установке и на основе этих настроек создадим в последствии шаблон (скелет) для добавления новых пользователей.
Скелет (Skel) позволит при добавлении нового пользователя скопировать все параметры настроенного пользователя.
Двухсторонний буфер обмена XRDP
Буфер сразу работает и не требует настроек. Все проблемы могут быть связанны с раскладкой клавиатуры которые мы решим дальше.
Перезагрузка системы пользователем XRDP
Остановился на варианте когда простому пользователю для выполнения перезагрузки не надо указывать пароль root.
Будем использовать сервис PolicyKit. Все параметры разбиты на секции где есть описание на английском языке. Для применения политик в нужных параметрах указывается необходимое значение.
Откроем нужный файл и сделаем необходимые изминения:
vim /usr/share/polkit-1/actions/org.freedesktop.login1.policy
= часть вывода команды и необходимые изменения =
= вместо auth_admin_keep указываем yes =
<action id="org.freedesktop.login1.reboot">
<description gettext-domain="systemd">Reboot the system</description>
<message gettext-domain="systemd">Authentication is required for rebooting the system.</message>
<defaults>
<allow_any>yes</allow_any>
<allow_inactive>yes</allow_inactive>
<allow_active>yes</allow_active>
</defaults>
<annotate key="org.freedesktop.policykit.imply">org.freedesktop.login1.set-wall-message</annotate>
</action>
Теперь при перезагрузке система не будет запрашивать пароль root.
Одна сессия для пользователя XRDP
Мне было необходимо сделать чтобы у пользователя при подключении создавалась только одна сессия и чтобы она сохранялась на сервере. Всегда удобно уйдя с работы и закрыв терминал придти домой подключиться по RDP и увидеть свой рабочий стол со всеми открытыми документами и программами.
Для настройки нам необходимо открыть файл и сделать там необходимые изменения:
vim /etc/xrdp/sesman.ini
= вывод части команды с необходимыми настройками =
[Sessions]
;; X11DisplayOffset - x11 display number offset
; Type: integer
; Default: 10
X11DisplayOffset=10
;; MaxSessions - maximum number of connections to an xrdp server
; Type: integer
; Default: 0
# Выставляем количество пользователей для одновременной работе на сервере MaxSessions=3
;; KillDisconnected - kill disconnected sessions
; Type: boolean
; Default: false
; if 1, true, or yes, kill session after 60 seconds
# Не разрываем сеанс при отключении пользователя чтобы потом попасть в туже сессиюKillDisconnected=false
Запрет авторизации ROOT
По умолчанию разрешен вход под пользователем root. В целях безопасности отключим такую возможность:
vim /etc/xrdp/sesman.ini
= необходимое изменение =
[Security]
# Авторизация root. true - разрешено false - запрещено
AllowRootLogin=false
Название подключенной локальной папки
Изменим название подключаемой локальной папки при подключению к серверу терминалов на свое имя:
vim /etc/xrdp/sesman.ini
= необходимое изменение =
[Chansrv]
; drive redirection, defaults to xrdp_client if not set
# Название монтируемой папки
FuseMountName=Mount_FOLDER
Сертификат при работе сервера XRDP
По умолчанию система работает с сертификатами созданными при установке о чем свидетельствует информация в логе xrdp:
cat /var/log/xrdp.log
= необходимая информация =
[INFO ] Using default X.509 certificate: /etc/xrdp/cert.pem
[INFO ] Using default X.509 key file: /etc/xrdp/key.pem
[ERROR] Cannot read private key file /etc/xrdp/key.pem: Permission denied
К сожалению мы видим ошибку доступа к файлу, хотя подключиться и работать мы сможем.
Для исправления ошибки выполним команду которая добавит учетную запись пользователя с именем xrdp в группу с именем ssl-cert.
adduser xrdp ssl-cert
После перезагрузки системы и подключившись по rdp вы не увидите информации в логе про ошибку. Информация о том что вы используйте сертификаты по умолчанию будет показана как прежде.
Выпуск собственого сертификата для XRDP
Выпустим свой сертификат по команде указанном в файле настройки xrdp. Изменим только действие сертификата с 1 года до 10 лет. Создадим папку, перейдем туда и запустим команду генерации ключа:
mkdir /etc/xrdp/certificate/
cd /etc/xrdp/certificate/
openssl req -x509 -newkey rsa:2048 -nodes -keyout key.pem -out cert.pem -days 3650
= будут заданы вопросы на которые ответьте по аналогии =
Country Name (2 letter code) [AU]:RU
State or Province Name (full name) [Some-State]:Kostroma
Locality Name (eg, city) []:Kostroma
Organization Name (eg, company) [Internet Widgits Pty Ltd]:sevo44
Organizational Unit Name (eg, section) []:sevo44
Common Name (e.g. server FQDN or YOUR name) []:Administrator
Email Address []:info@sevo44.ru
Отредактируем файл настройки:
vim /etc/xrdp/xrdp.ini
= часть кода с необходимые изменениями =
; security layer can be 'tls', 'rdp' or 'negotiate'
; for client compatible layer
security_layer=negotiate
; minimum security level allowed for client
; can be 'none', 'low', 'medium', 'high', 'fips'
crypt_level=high
; X.509 certificate and private key
; openssl req -x509 -newkey rsa:2048 -nodes -keyout key.pem -out cert.pem -days 365
certificate=/etc/xrdp/certificate/cert.pem key_file=/etc/xrdp/certificate/key.pem
; set SSL protocols
; can be comma separated list of 'SSLv3', 'TLSv1', 'TLSv1.1', 'TLSv1.2', 'TLSv1.3'
ssl_protocols=TLSv1.2, TLSv1.3
; set TLS cipher suites
#tls_ciphers=HIGH
Дадим необходимые права для файлов созданного сертификата выполнив команду:
chown -R xrdp:xrdp /etc/xrdp/certificate/
После перезагрузки сервера и подключения к нему по XRDP cообщений больше в логе об использовании сертификатов по умолчанию нет и сервис работает с нашим сертификатом.
Настройка вида окна авторизации XRDP
Отредактируем параметры отвечающие за отображение формы авторизации пользователей. Отредактируем параметры в файле:
vim /etc/xrdp/xrdp.ini
= часть кода с необходимыми изменениями =
; Login Screen Window Title
ls_title=XRDP server 1C
; top level window background color in RGB format
# Фонls_top_window_bg_color=000000
; width and height of login screen
ls_width=350
ls_height=430
; login screen background color in RGB format
ls_bg_color=dedede
; optional background image filename (bmp format).
#ls_background_image=
; logo
; full path to bmp-file or file in shared folder
# Свой логотип в формате bmp размера 240х140
ls_logo_filename=/etc/xrdp/logo_xrdp.bmp
ls_logo_x_pos=55
ls_logo_y_pos=50
; for positioning labels such as username, password etc
ls_label_x_pos=30
ls_label_width=60
; for positioning text and combo boxes next to above labels
ls_input_x_pos=110
ls_input_width=210
; y pos for first label and combo box
ls_input_y_pos=220
; OK button
ls_btn_ok_x_pos=142
ls_btn_ok_y_pos=370
ls_btn_ok_width=85
ls_btn_ok_height=30
; Cancel button
ls_btn_cancel_x_pos=237
ls_btn_cancel_y_pos=370
ls_btn_cancel_width=85
ls_btn_cancel_height=30
= Оставляю сессию только Xorg а остальные коментирую =
;
; Session types
;
; Some session types such as Xorg, X11rdp and Xvnc start a display server.
; Startup command-line parameters for the display server are configured
; in sesman.ini. See and configure also sesman.ini.
[Xorg]name=Xorglib=libxup.sousername=askpassword=askip=127.0.0.1port=-1code=20
Результат моих изменений.
Перезагрузим сервис xrdp для применения всех сделанных настроек:
service xrdp restart
Отключение screensaver
Вначале хотел отключать его у пользователей но подумав решил удалить:
apt-get remove xscreensaver
В системе Debian 10 после базовой установки я не обнаружил пакета xscreensaver.
Для того чтобы к системе всегда можно было подключиться в менеджере питания настройте необходимые параметры.
Настройка базового пользователя
Будем использовать пользователя что создавали при установке как базового пользователя из настроек которого будем делать скелет. Настраивайте как вам угодно. Вся настройка зависит только от требований и пожеланий конечных пользователей. Устанавливаем необходимые программы, монтируем сетевые ресурсы, устанавливаем принтеры, модернизируем панели и тд. и тп.
Раскладка клавиатуры в XFCE
С раскладками в XRDP приходилось возится больше всего. После добавления нового элемента «Раскладка клавиатуры» на панель и его настройки все работает как положено.
Проблема с отсутствием русской раскладки возникает только в том случае если пользователь не закрывает свой сеанс на сервера а просто закрывает программу подключения и при повторном заходе русская раскладка отсутствует. Невозможно добиться того чтобы пользователи всегда закрывали сеанс да и к тому же это не удобно в работе.
Что я только не перепробовал, куда только не писал рекомендованный код, по рекомендациям с разных статей но проблема эта никуда не уходила. Показать пользователю как каждый раз настраивать «Раскладка клавиатуры» не серьезно. Вариант есть дубовый но рабочий на 100 % и при любых обстоятельствах.
Добавил элемент на панель «Запуск приложения» указал там «Терминал Xfce» и внёс туда код:
Разместил рядом с флагами поменяв иконку на понравившуюся мне.
Теперь если переключение не работает тыкаем по кнопке и раскладка снова работает.
Решение проблемы с раскладкой клавиатуры
Мне на почту прислал решение Михаил с сайта admin1c.ru
Посл проверки с радостью делись с вами этим решением!
Необходимо в файле /etc/xrdp/xrdp_keyboard.ini добавить необходимый код и переключение работает прекрасна при любых вариантах работы с системой.
vim /etc/xrdp/xrdp_keyboard.ini
= необходимые проверки и дополнения =
В моем случае эти коды были, но лучше проверить их наличие
[default_rdp_layouts]
rdp_layout_us=0x00000409
rdp_layout_ru=0x00000419Всё что ниже добавляем в конце не забывая что переключение происходит сочетанием клавиш alt+shift
[layouts_map_ru]
rdp_layout_us=ru,us
rdp_layout_ru=ru,us
[rdp_keyboard_ru]
keyboard_type=4
keyboard_type=7
keyboard_subtype=1
; model=pc105 при необходимости
options=grp:alt_shift_toggle
rdp_layouts=default_rdp_layouts
layouts_map=layouts_map_ru
После перезагрузки XRDP проверяем результат.
service xrdp restart
Блокировка настроек XFCE пользователям
В статье выше мы разрешили простым пользователям перезагружать сервер без ввода пароля root. Cделаем запрет на редактирование системных настроек. В папке /etc/xdg/xfce4/xfconf лежат базовые настройки и по умолчанию они не работают так как работают настройки самого пользователя. Добавив параметр в эти файлы пользователь будет использовать именно их.
Вначале настроим вид панели и все настройки что нам необходимо и перенесем их в нужное место с внесением необходимых изменений.
Cделаем запрет на редактирование панели. Скопируем параметры настроенного пользователя:
Откроем и отредактируем файл указав запрет на изменения всем кроме пользователя local:
mcedit /etc/xdg/xfce4/xfconf/xfce-perchannel-xml/xfce4-panel.xml
= вывод команды с необходимыми изменениями =
<channel name="xfce4-panel" version="1.0" locked="*" unlocked="local">
После закрытия с сохранением все пользователи кроме local не смогут изменять настройки панели о чем им оповестит окно предупреждения при попытке сделать изменения.
Запрет на изменения настрое XFCE делается редактированием файла:
mcedit /etc/xdg/xfce4/xfconf/xfce-perchannel-xml/xsettings.xml
= вывод команды с необходимыми изменениями =
<channel name="xsettings" version="1.0" locked="*" unlocked="local">
Настройки XFCE сделанные пользователем не будут применяться но никаких предупреждающих сообщений пользователь не увидит!
Мы настроили запрет на выключение пользователю но значки показываются и можно выполнить действие указав пароль root. Такой вариант решает проблему но захотелось сделать эти кнопки не активными.
Изменим вид панели пользователя. Создадим папку и необходимый файл с параметрами:
mkdir /etc/xdg/xfce4/kiosk
mcedit /etc/xdg/xfce4/kiosk/kioskrc
= вывод команды с необходимыми изменениями =
[xfce4-session]
# Указываем пользователей кто может перегрузить сервер или разрешение группе %root
Shutdown=root,sevo44
Обычно я в панели вывожу элемент «Системные действия» и там выбираю только «Перезагрузка» и «Завершение сеанса».
В итоге мы даём возможность всем пользователям выходить из сеанса а перезагрузку разрешаем только избранным пользователям.
Для применения всех параметров перезагрузим сервер:
reboot
Так выглядит выход из системы у пользователей с разрешением.
У всех остальных будет такой вид.
Создание skel (скелета) для новых пользователей
Еще раз все проверив и убедившись в правильности всех настроек настала пора создать шаблон настроек который будет применяться на всех вновь создаваемых пользователей.
Я использую настройки самой XFCE, рабочего стола и списка баз 1С:Предприятие. Выполним действия:
cd /home/Базовый пользователь
cp -R -f -b .config/ /etc/skel/
cp -R -f -b Рабочий\ стол/ /etc/skel/
# В случае использования 1С:Предприятие
cp -R -f -b .1C/ /etc/skel/
Последняя строка кода скопирует настройку окна «Запуск 1С:Предприятие» в которой указываются параметры всех баз.
Теперь все новые пользователи при авторизации будут иметь те же настройки и информацию на рабочем столе что и базовый пользователь.
В последствии по этой схеме можно менять настройки любого пользователя перенося необходимое с папки настроенного пользователя в папку необходимого. Для большого количества пользователей можно написать несложный скрипт который автоматизирует этот процесс.
Для доступа будем использовать обычных пользователей которых создадим на сервере. Можно конечно настроить авторизацию по доменным пользователям, но мне такие сложности пока не требовались к тому же это приведет к необходимости настраивать VPN для пользователей которым необходимо работать удалённо.
Добавление новых пользователей
Добавление производится командой:
adduser user007
= вывод команды с информацией для заполнения =
Добавляется пользователь «user007» ...
Добавляется новая группа «user007» (1007) ...
Добавляется новый пользователь «user007» (1006) в группу «user007» ...
Создаётся домашний каталог «/home/user007» ...
Копирование файлов из «/etc/skel» ...
Введите новый пароль UNIX: Повторите ввод нового пароля UNIX:
passwd: пароль успешно обновлён
Изменение информации о пользователе user007
Введите новое значение или нажмите ENTER для выбора значения по умолчанию
Полное имя []: user007
Номер комнаты []:
Рабочий телефон []:
Домашний телефон []:
Другое []:
Данная информация корректна? [Y/n] y
Изменении пароля пользователя
passwd user007
= вывод команды =
Введите новый пароль UNIX:
Повторите ввод нового пароля UNIX:
passwd: пароль успешно обновлён
Удаление пользователя
При удалении укажем необходимость удалять файлы пользователя и домашнюю директорию:
deluser --remove-home user007
= вывод команды =
Идёт поиск файлов для сохранения/удаления ...
Удаляются файлы ...
Удаляется пользователь «user007» ...
Предупреждение: в группе «user007» нет больше членов.
Готово.
Список пользователей
Посмотреть всех пользователей и их параметры можно посмотрев необходимый файл:
cat /etc/passwd
= часть вывода команды =
test:x:1001:1001:test,,,:/home/test:/bin/bash
sevo44:x:1002:1002:sevo44,,,:/home/sevo44:/bin/bash
usr1cv8:x:999:1003:1C Enterprise 8 server launcher:/home/usr1cv8:/bin/sh
geoclue:x:119:127::/var/lib/geoclue:/bin/false
davfs2:x:120:128::/var/cache/davfs2:/bin/false
В файле указаны все основные параметры пользователя и вы можете их редактировать в случае необходимости.
Подключение локального диска на сервер терминалов
Подключение было проверено на стандартном клиенте Windows и программах LInux Remmina и KRDC. Монтирование и работа с локальным диском подключаемого клиента происходит без проблем.
В случае проблем с подключением дисков необходимо в настройках подключения в локальных ресурсах отключать галочку “Принтеры»
Подключение с Windows
При подключении c систем Windows на странице авторизации не получится переключить раскладку клавиатуры для требуемого языка ввода. В большинстве случаев по умолчанию стоит Русская раскладка а вводит надо на Английском.
Перед подключением с Windows необходимо вначале перейти на раскладку в которой вводится логин и пароль, как правило это EN.
Добавление принтеров
К принтерам у меня особое отношение. Эти аппараты вечно приносят кучу проблем и слава богу что все больше и больше их делают сетевыми что облегчает настройку. Настроить сетевой принтер не вызовет проблем даже у начинающего администратора. С usb принтерами придется повозится до получения бубна мастера по подключению принтера в системах Linux. Подключение локального принтера используя программу RDP клиента у меня никогда не получалось а по словам опытных программистов работает коряво и не стабильно. Ладно еще если в одном офисе всё а если разные или вообще с дома хотят подключить принтер вообще жжжж….
Для меня есть два варианта решения проблемы для удаленных от офиса пользователей:
В случаях когда принтере не требуется я в семействе бухгалтерских программ 1С настраиваю нормальное сохранения в PDF и все это сохраняется в локальную папку которая без проблем подключается к серверу терминалов во всех популярных клиентах.
Если нужен принтере в работе то необходимо настраивать VPN чтобы удавленный клиент попал в туже сеть.
Управление XRDP
Управление службой стандартное для систем Debian.
service xrdp restart
service xrdp start
service xrdp stop
service xrdp status
Так выглядит статус после старта службы:
service xrdp status
● xrdp.service - xrdp daemon
Loaded: loaded (/lib/systemd/system/xrdp.service; enabled)
Active: active (running) since Вт 2017-05-23 15:05:32 MSK; 32s ago
Docs: man:xrdp(8)
man:xrdp.ini(5)
Process: 759 ExecStart=/usr/sbin/xrdp $XRDP_OPTIONS (code=exited, status=0/SUCCESS)
Process: 730 ExecStartPre=/bin/sh /usr/share/xrdp/socksetup (code=exited, status=0/SUCCESS)
Main PID: 949 (xrdp)
CGroup: /system.slice/хrdp.service
└─949 /usr/sbin/хrdp
май 23 15:05:31 хrdp systemd[1]: PID file /run/xrdp/xrdp.pid not readable (yet?) after start.
май 23 15:05:32 хrdp systemd[1]: Started xrdp daemon.
май 23 15:05:33 хrdp xrdp[949]: (949)(140156439295744)[INFO ] starting хrdp with pid 949
май 23 15:05:45 хrdp xrdp[949]: (949)(140156439295744)[INFO ] listening to port 3389 on 0.0.0.0
Просмотр активных пользователей XRDP
У каждого подключенного пользователя создается одна сессия, их то нам и надо посмотреть выполнив необходимую команду:
Теперь мы можем отключить пользователя указав команду, которая завершит все процессы пользователя:
pkill -9 -u local
Ротация логов xrdp
По умолчанию логи не ротируются и мы изменим это недоразумение. Можно создать свой файл ротации но мне это не надо и я добавлю параметры в один из стандартных файлов.
Все требуемые мной параметры получились. Дальнейшее использование покажет какие проблемы могут быть в работе, но это обыденно и любая система требует вмешательства администратора. Все проблемы и их решения будут тут отражены. Радует что с каждой новой версией идут улучшения а значит проект живой и активно развивающийся.
Вся эта статья была лишь прелюдия для того чтобы рассказать как можно используя Linux настроить легально и надежно стабильную работу сервера «1С:Предприятие 8.3 на Linux» работающего с файловой базой. Минимальные вложения и максимальная производительность.
Установим одну из самых стабильных операционных систем linux Debian 8. Настроим учитывая основные требования системного администратора. Нужна стабильность в работе? Выбирайте этот дистрибутив OC Linux. Самая большая база программ и огромное сообщество.
Предисловие
Операционная система Debian является основоположником целого семейства OC Linux и зарекомендовала себя как одна из самых надежных и стабильных систем. На рабочем компьютере устаревшие но проверенные версии программного обеспечения могут вызвать неудобство в работе но для сервера надежность прежде всего. Каждый выбирает сам, что он хочет получить, стабильность или современность. Для серверов мой выбор однозначно падает на стабильность.
В скриншотах показана пошаговая установка с указанием всех необходимых параметров.
Для установки системы на RAID1 можете воспользоваться информацией из статьи «Установка на RAID1«.
Настройка Debian 8
Подключение по ssh
Откроем консоль и определим ip адрес:
local@xrdp:~$ ip addr
= вывод команды =
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 02:74:8a:ed:a9:d3 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.150/24 brd 192.168.0.255 scope global dynamic eth0
valid_lft 31965sec preferred_lft 31965sec
inet6 fe80::74:8aff:feed:a9d3/64 scope link
valid_lft forever preferred_lft forever
Подключимся по ssh под простым пользователем:
ssh local@192.168.0.150
= вывод команды =
Warning: Permanently added '192.168.0.150' (ECDSA) to the list of known hosts.
local@192.168.0.150's password:
The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
local@xrdp:~$
По умолчанию к системе Debian 8 нельзя подключится сразу под суперпользователем root!
Переключится на пользователя root:
local@xrdp:~$ su -
= вывод команды =
Пароль:
root@xrdp:~#
Обновление
Обновим индекс пакетов в Debian 8 до актуального состояния:
apt-get update
Выполним обновление всех пакетов системы:
apt-get upgrade
Необходимые пакеты для работы
Установим без вопросов пакеты которые обычно используются в работе c Debian 8:
apt-get -y install mc htop iftop cifs-utils davfs2
mc — консольный редактор,
htop — консольный монитор просмотра состояния сервера,
cifs-utils — пакет необходимый для монтирование сетевых ресурсов,
davfs2 — пакет для подключения по протоколу WebDav
Определим редактор mc в системе по умолчанию:
select-editor
= вывод команды с необходимым параметром =
Select an editor. To change later, run 'select-editor'.
1. /bin/nano <---- easiest
2. /usr/bin/mcedit
3. /usr/bin/vim.tiny
Choose 1-3 [1]: 2
Разрешим подключение root по ssh
Произведем изменения в файле конфигурации ssh:
mcedit /etc/ssh/sshd_config
= необходимые изменения =
# Можно поменять на другой порт при желании
Port 22
# Разрешение подключаться под root
PermitRootLogin yes
Перезагрузим сервис ssh:
service sshd restart
Проверим правильность изменения порта (если это делали):
После установки наша система получает ip адрес используя DHCP.
При установке после определения сетевых параметров по DHCP вы можете сделать шаг назад и сразу настроить статический ip адрес.
Для назначения статического адреса вы можете использовать два варианты:
Привязать mac адрес на DHCP сервере и закрепить нужный ip,
Назначить сетевые параметры изменив настройки.
Обычно я использую первый вариант, но это не всегда разумно.
Изменим сетевые параметры (обратите внимание на название сетевой карты у нас она eth0):
mcedit /etc/network/interfaces
=вывод команды с необходимыми изменениями=
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
allow-hotplug eth0
# Запускать автоматически при загрузке системы
auto eth0
# Интерфейс eth0 в диапазоне IPv4 со статическим адресом
iface eth0 inet static
# IP адрес
address 192.168.0.107
# Шлюз по умолчанию
gateway 192.168.0.106
# Маска сети
netmask 255.255.255.0
# DNS
dns-nameservers 8.8.8.8
Выполним перезапуск сети командой:
/etc/init.d/networking restart
= вывод команды =
[ ok ] Restarting networking (via systemctl): networking.service.
Проверим правильность изменений:
ip addr
= вывод команды =
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 02:74:8a:ed:a9:d3 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.150/24 brd 192.168.0.255 scope global dynamic eth0
valid_lft 29523sec preferred_lft 29523sec
inet 192.168.0.107/24 brd 192.168.0.255 scope global secondary eth0
valid_lft forever preferred_lft forever
inet6 fe80::74:8aff:feed:a9d3/64 scope link
valid_lft forever preferred_lft forever
После перезагрузки системы отображение inet 192.168.0.150/24 пропадет!
Проверим соединение с интернетом отправив 4 пакета на ya.ru:
ping -c 4 ya.ru
= вывод команды =
PING ya.ru (87.250.250.242) 56(84) bytes of data.
64 bytes from ya.ru (87.250.250.242): icmp_seq=1 ttl=54 time=15.2 ms
64 bytes from ya.ru (87.250.250.242): icmp_seq=2 ttl=54 time=15.1 ms
64 bytes from ya.ru (87.250.250.242): icmp_seq=3 ttl=54 time=16.0 ms
64 bytes from ya.ru (87.250.250.242): icmp_seq=4 ttl=54 time=18.4 ms
--- ya.ru ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 15.186/16.235/18.422/1.310 ms
Настройка iptables
Изначально фаервол в Debian 8 полностью открыт. Проверим это:
iptables -L -v -n
= вывод команды =
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Всё пропускает.
Самое удобное для работой с iptables это создать скрипт и при необходимости его редактировать указывая нужные параметры и применять.
Создадим скрипт настройки iptables:
mcedit /etc/iptables.sh
= вывод команды с необходимой информацией =
#!/bin/bash
#
# Объявление переменных
export IPT="iptables"
# Сетевой интерфейс
export WAN=eth0
export WAN_IP=192.168.0.107
# Очистка всех цепочек iptables
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X
# Политики для трафика, не соответствующего ни одному правил у
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
# Локальный трафик для loopback
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
# Ping
$IPT -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
# Исходящие и Входящие соединения
$IPT -A OUTPUT -o $WAN -j ACCEPT
#$IPT -A INPUT -i $WAN -j ACCEPT
# Доступ к web серверу
#$IPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
#$IPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
# Доступ к Samba
#$IPT -A INPUT -p tcp -m tcp --dport 137 -j ACCEPT
#$IPT -A INPUT -p tcp -m tcp --dport 138 -j ACCEPT
#$IPT -A INPUT -p tcp -m tcp --dport 139 -j ACCEPT
#$IPT -A INPUT -p tcp -m tcp --dport 445 -j ACCEPT
#$IPT -A INPUT -p tcp -m tcp --dport 901 -j ACCEPT
# Состояние ESTABLISHED говорит что это не первый пакет в соединении
# Пропускать все уже инициированные соединения, а также дочерние от них
$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Пропускать новые, а так же уже инициированные и их дочерние соединения
$IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Форвардинг для уже инициированных и их дочерних соединений
$IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Включаем фрагментацию пакетов. Необходимо из за разных значений MTU
$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
# Отбрасывать все пакеты, которые не могут быть идентифицированы
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP
# Приводит к связыванию системных ресурсов, так что реальный
# обмен данными становится не возможным, обрубаем
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
# Открываем порт для ssh
$IPT -A INPUT -i $WAN -p tcp --dport 22 -j ACCEPT
# Открываем порт для DNS
$IPT -A INPUT -i $WAN -p udp --dport 53 -j ACCEPT
# Открываем порт для NTP
$IPT -A INPUT -i $WAN -p udp --dport 123 -j ACCEPT
# Открываем порт для RDP
#$IPT -A INPUT -i $WAN -p tcp --dport 3389 -j ACCEPT
# Логирование
$IPT -N block_in
$IPT -N block_out
$IPT -N block_fw
$IPT -A INPUT -j block_in
$IPT -A OUTPUT -j block_out
$IPT -A FORWARD -j block_fw
$IPT -A block_in -j LOG --log-level info --log-prefix "--IN--BLOCK"
$IPT -A block_in -j DROP
$IPT -A block_out -j LOG --log-level info --log-prefix "--OUT--BLOCK"
$IPT -A block_out -j DROP
$IPT -A block_fw -j LOG --log-level info --log-prefix "--FW--BLOCK"
$IPT -A block_fw -j DROP
# Сохраняем правила
/sbin/iptables-save > /etc/iptables_rules
Даем файлу права на запуск:
chmod +x /etc/iptables.sh
Всегда очень внимательно настраивайте правила! В случае неправильной настройки вы можете потерять доступ к серверу!
Запускаем скрипт:
sh /etc/iptables.sh
Проверяем правила:
iptables -L -v -n
= вывод команды =
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8
5 356 ACCEPT all -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:123
0 0 block_in all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 block_fw all -- * * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
3 308 ACCEPT all -- * eth0 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW
0 0 block_out all -- * * 0.0.0.0/0 0.0.0.0/0
Chain block_fw (1 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix "--FW--BLOCK"
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain block_in (1 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix "--IN--BLOCK"
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain block_out (1 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix "--OUT--BLOCK"
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Настроим применение правил при загрузке сервера. Добавляем необходимую строку в файл сетевых настроек:
mcedit /etc/network/interfaces
= необходимое дополнение =
# Загрузка правил iptables при старте машины
pre-up iptables-restore < /etc/iptables_rules
Применим изменения командой:
/etc/init.d/networking restart
= вывод команды =
[ ok ] Restarting networking (via systemctl): networking.service.
Логирование Cron
В Debian нет отдельного файла логов cron. Исправим это недоразумение.
Строка присутствует значит все будет ротироваться как надо.
Результат
Сервер готов к дальнейшей настройке под необходимые требования. Конечно, это не самые идеальные параметры настройки, но для меня такая базовая настройка оказалась самой удобной.
Получим и настроим автоматическое обновление бесплатного сертификата SSL для сайта от компании Lets`Encrypt. Срок сертификата 90 дней. Настроить получение сертификатов возможно на любой операционной системе Linux. Стабильная и удобная работа с сервисом.
Введение
С января 2017 года Firefox и Chrome маркируют как надежные только сайты с SSL-сертификатами. Это одна из причин по которой следует использовать этот сертификат.
Если коротко, то это защита сайта которая многим не нужна, но введение некоторых ограничений заставляет использовать её. Хорошо что есть ресурсы которые предоставляют сертификаты бесплатно, сколько времени еще так будет не известно, но мы пока попользуемся.
Мной было найдено два ресурса выдающие бесплатные SSL для сайтов:
StartCom — у этого ресурса проблемы с разработчиками браузеров и чем все это закончится не понятно. Удобно что выдается на 3 года и можно установить на любой обычный хостинг.
Let’s Encrypt is — все работает и никаких проблем нет. Для установки нужен свой VDS хостинг. Хоть сертификат и выдается на 90 дней, но при настройке автоматического обновления никаких проблем не возникает.
Мой выбор однозначно пал на второй вариант, так как стабильность и понятность для меня самое важное.
Разработчик рекомендует использовать пакетную систему Snap. Ее смысл заключается в том, что в пакет с приложением входит полный набор компонентов, необходимых для запуска данного приложения. Такие пакеты можно устанавливать в систему не заботясь о зависимостях, так как все зависимости уже включены в пакет. Пакетная система Snap была созданная компанией Canonical и изначально появилась в дистрибутиве Ubuntu Linux.
При установке на дистрибутивы которые используют не стабильные репозитории это очень оправдано и понятно почему. В нашем случае устанавливать в таком виде не имеет смысла. Лично у меня на протяжении лет 5 проблем не возникало.
Для использования Certbot, необходимо сначала добавить репозиторий Epel . Подключим необходимый репозиторий:
dnf -y install epel-release
Установим без вопросов Certbot от Let’s Encrypt:
yum -y install certbot
Предварительная подготовка
Предварительная подготовка заключается в выполнении двух действий:
Ответы на вопросы от разработчика;
Вносим необходимые настройки в конфигурацию Nginx.
Подробно про установку и начальную настройку сервера вы можете узнать в моей статье NGINX установка и настройка.
Ответы на вопросы от разработчика
Запускаем получение сертификата, но получать его не будем. Необходимо ответить на несколько вопросов от разработчика:
certbot certonly
= вывод команды =
Saving debug log to /var/log/letsencrypt/letsencrypt.log
How would you like to authenticate with the ACME CA?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: Spin up a temporary webserver (standalone)
2: Place files in webroot directory (webroot)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2Enter email address (used for urgent renewal and security notices)
= в случае проблем с получением сертификата на эту почту будут приходить сообщения == можно указать выдуманный =(Enter 'c' to cancel): info@sevo44.ru
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server. Do you agree?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
= подтверждаем что ознакомились с условиями предоставления услуг =
(Y)es/(N)o: Y
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing, once your first certificate is successfully issued, to
share your email address with the Electronic Frontier Foundation, a founding
partner of the Let's Encrypt project and the non-profit organization that
develops Certbot? We'd like to send you email about our work encrypting the web,
EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
= Просят поделиться своим адресом электронной почты с Фондом Electronic Frontier,партнером-основателем проекта Let's Encrypt и некоммерческой организацией, котораяразрабатывает Certbot. Отказываюсь. =
(Y)es/(N)o: N
Account registered.
= Выходим по Ctrl + C =
В данном примере есть два варианта получения сертификата. Расскажу грубо о каждом варианте и поясню разницу:
Spin up a temporary webserver (standalone) — при таком варианте сертификат будет получен с использованием тестового сервера разработчика. Этот вариант подходит при условии что сайт уже где то работает и нам его надо перенести. После переезда нам надо заходить в настройки получения сертификата и менять параметры. Мне такой вариант не нравится и ниже вы узнаете почему;
Place files in webroot directory (webroot) — при этом варианте сервис проверяет доступ к серверу и если он есть выдает сертификат. Основное преимущество данного вида в том что мне не надо в последствии править настройки получения сертификата. Достаточно с работающего сервера взять действующие сертификаты положить их в свое место и прописать пути в настройках Nginx. После реального переезда сайта достаточно получить сертификаты и указать в настройках Nginx новые пути.
Вносим необходимые настройки в конфигурацию Nginx
В конфигурации Nginx для сайта должны быть добавлены следующие строки:
Можно для каждого сайта указывать свою директорию, но мне это не нравится. Предпочитаю делать общую.
При настройке Nginx для работы сайтов с использованием сертификатов есть два варианта:
Внести все основные настройки для работы сайта с сертификатом в главный файл настройки Nginx а в настройках для самого сайта указывать только пути для сертификата;
Не трогать главный файл и все настройки прописывать в настройках для сайта.
Лично я предпочитаю первый вариант и именно он будет описан ниже.
Вот пример моего файла настроек главного конфигурационного файла Nginx:
В этом файле два блока server. Первый отвечающий за работы http мы закомментировали, второй отвечающий за https перевели на работу по http и закомментировали пути к сертификату.
Обязательно проверяем правильность настроек Nginx и применяем обновления:
nginx -t
= вывод при успешной настройке =
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
nginx -s reload
Все предварительные подготовки сделаны. Переходим к непосредственному получению сертификата.
Не знаю какие ограничения на установку, но я спокойно установил SSL сертификат на домен и 5 его поддоменов.
Пример получения сертификата SSL:
certbot certonly
= вывод команды с действиями =
Saving debug log to /var/log/letsencrypt/letsencrypt.log
How would you like to authenticate with the ACME CA?
-------------------------------------------------------------------------------
1: Spin up a temporary webserver (standalone)
2: Place files in webroot directory (webroot)
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2
Please enter in your domain name(s) (comma and/or space separated) (Enter 'c'
to cancel):sevo44.ru
Requesting a certificate for sevo44.ru
Input the webroot for sevo44.ru: (Enter 'c' to cancel):/etc/nginx/cert-renewal
Waiting for verification...
Cleaning up challenges
Generating key (2048 bits): /etc/letsencrypt/keys/0014_key-certbot.pem
Creating CSR: /etc/letsencrypt/csr/0014_csr-certbot.pem
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/sevo44.ru/fullchain.pem. Your cert will
expire on 2021-12-14. To obtain a new or tweaked version of this
certificate in the future, simply run certbot again. To
non-interactively renew *all* of your certificates, run "certbot
renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
Сертификат успешно получен и указан период его действия.
Получение одного сертификата на домен с WWW и без
При попытке зайти по ссылке https://www.sevo44.ru мы получим сообщение об ошибке сертификата:
curl -I https://www.sevo44.ru
= вывод команды =
curl: (51) SSL: no alternative certificate subject name matches target host name 'www.sevo44.ru'
В настройках DNS для домена обязательно должен быть прописаны параметры его работы по адресу www.sevo44.ru!
Для исправление этой ошибки необходимо получить сертификат на домен с www и без.
Мы разкоментировали все строчки что ранее закомментировали и переключили второй блок на работу по https с указанием путей к сертификатам. Как вы заметил http2 протокол включается простым добавлением этой записи.
Сделаем проверку настроек и обновим настройки Nginx:
nginx -t
nginx -s reload
Ресурсы проверки SSL и Http2 сайта
Проверим сторонними ресурсами как установился наш SSL-сертификат.
SSLReport — сервис проверки SSL но более детальный.
Проверим работу http2 протокола:
HTTP/2 Test — сервис показывающий проверяющий работу http2.
Продление SSL-сертификата
Есть возможность производить обновления в ручную и в автоматическом режиме.
Ручной режим
Проверим автоматическое продление сертификатов, выполнив эту команду:
certbot renew --dry-run
= вывод команды =
Saving debug log to /var/log/letsencrypt/letsencrypt.log
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/sevo44.ru.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Cert not due for renewal, but simulating renewal for dry run
Plugins selected: Authenticator webroot, Installer None
Simulating renewal of an existing certificate for sevo44.ru
Performing the following challenges:
http-01 challenge for sevo44.ru
Waiting for verification...
Cleaning up challenges
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
new certificate deployed without reload, fullchain is
/etc/letsencrypt/live/sevo44.ru/fullchain.pem
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations, all renewals succeeded. The following certs have been renewed:
/etc/letsencrypt/live/sevo44.ru/fullchain.pem (success)
** DRY RUN: simulating 'certbot renew' close to cert expiry
** (The test certificates above have not been saved.)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Видим что все хорошо.
Для обновления всех сертификатов достаточно запустить команду:
certbot renew
= вывод команды =
Saving debug log to /var/log/letsencrypt/letsencrypt.log
-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/sevo44.ru.conf
-------------------------------------------------------------------------------
Cert not yet due for renewal
The following certs are not due for renewal yet:
/etc/letsencrypt/live/sevo44.ru/fullchain.pem (skipped)
No renewals were attempted.
Обновлять ничего.
Автоматический режим
Для автоматического обновления нам необходимо добавить параметры в crontab:
vim /etc/crontab
= необходимое варианты добавление =
# Cert Renewal
# запись в лог файл
30 2 0 * * root /usr/bin/certbot renew --post-hook "nginx -s reload" >> /var/log/letsencrypt/cron-renew.log
=== или ===
# без записи в лог файл
30 2 0 * * root /usr/bin/certbot renew --post-hook "nginx -s reload" >> /dev/null 2>&1
Согласно этой настройке команда будет выполняться по воскресеньям в 2:30 после выполнения произойдёт reload nginx.
Удаление сертификата
Удаление сертификата состоит из двух частей:
Аннулирование сертификатов на серверах Let`s Enscrypt;
Удаление сертификатов на сервере.
Аннулируем сертификат:
certbot revoke --cert-path /etc/letsencrypt/archive/sevo44.ru/cert1.pem
= вывод команды =
Saving debug log to /var/log/letsencrypt/letsencrypt.log
An unexpected error occurred:The client lacks sufficient authorization :: Certificate is expired
Please see the logfiles in /var/log/letsencrypt for more details.
В выводе говориться что сертификат просрочен и удалять нечего.
Удалим сертификат на сервере:
certbot delete --cert-name sevo44.ru
= вывод команды =
Saving debug log to /var/log/letsencrypt/letsencrypt.log
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
The following certificate(s) are selected for deletion:
* sevo44.ru
Are you sure you want to delete the above certificate(s)?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y - подтверждаем удаление
Deleted all files relating to certificate sevo44.ru.
Принудительное обновление сертификата
Бывает ситуации когда надо принудительно обновить сертификат по разным причинам.
Вот варианты команд которые можно использовать:
= Для принудительного обновления всех сертификатов =
certbot --force-renewal
= Выборочное принудительное обновление сертификатов =
= через запятую указываются все необходимые доменные имена =
certbot --force-renewal -d www.itsecforu.ru,itsecforu.ru
Заключение
Не сразу я пришел к такому механизму настройки получения сертификатов. Мне кажется такой вариант удобен и понятен. Использую эту инструкцию на рабочих серверах. Проблем с автоматическим обновлением сертификатов и программы не возникало.
Если захочется посмотреть более подробно инструкцию выполните команду:
certbot --help
certbot --help all
Например можете отфильтруйте опцию обновления, используя команду grep / egrep:
certbot --help all | grep -i force
certbot --help all | egrep -i 'renewal|force'
Применим удобное и эффективное средство для защиты сайта от подбора паролей с помощью популярного сервиса Fail2ban. Помогает для защиты от ботов и очень любопытных товарищей. Заблокируем назойливых роботов на уровне VDS хостинга.
Введение
Рано или поздно ваш сайт будут пробовать на прочность всякие роботы. Если движок сайта свободный, то роботы начинают проверять вас на прочность сразу.
Все бесплатные движки всегда надо обновлять и внимательно относиться ко всем дополнениям что устанавливайте. Обязательно держите резервные копии и тогда даже взлом не страшен.
Меня начали проверять почти сразу. Пользуясь случаем хочу передать привет товарищу Токарчуку Александру Степановичу с IP адреса которого упорно хотели попасть в админку моего сайта. Почему то пытаются войти, в моем случае, как правило с Украины.
Советую сразу смените путь к админке сайта с помощью iThemes Security. По умолчанию путь в WordPress домен/wp-admin и именно сюда все боты и лезут… Поленился я сразу сменить и боты стали ломится каждую минуту и причем в своем большинстве используя Российские ip адреса. Путь сменил, но они всё равно ломятся по стандартному пути…
Ошибка входа в админку
Для того чтобы понять пытаются к нам войти или нет надо посмотреть логи сайта. Если логи настроены правильно, то вы увидите все действия что происходят с вашим сайтам и ни одно событие не останется без внимания.
Посмотрим как выглядит лог неудачной попытки авторизации на популярном движке WordPress:
Согласно этим строчкам 2 раза неудачно авторизовались.
iThemes Security для WordPress
Для популярного движка WordPress существует свободный плагин iThemes Security для защиты сайта. Не буду останавливаться на рассмотрении настройки, покажу лишь как он показывает ошибки авторизации.
Согласно этих данных видим что регулярно производится по 2 попытки авторизации к административной панели сайта.
При нажатии на ip мы увидим информацию о координатах этого адреса:
У меня как обычно Украина. Нажмем на ISP: PP SKS-Lugan и увидим более детальную информацию:
Можно делать с этой информацией всё что угодно и тут всё в вашей власти.
Моя задача сделать так чтобы данные пользователи блокировались для всего моего VDS хостинга, а не только для сайта работающего на WordPress c защитой iThemes Security. Для этого и надо настроить Fail2ban.
Настройка Fail2ban
Установка
Устанавливать и настраивать будем для системы CentOS 7, хотя и для других систем, с учетом специфики операционной системы, данное описание подойдёт.
Установим:
yum install fail2ban
Конфигурационный файл настройки находится здесь — /etc/fail2ban/jail.conf, но, как сказано в комментариях файла, данный файл рекомендуется не изменять.
Чтобы при обновлении Fail2ban не удалялись наши настройки создадим локальную копию файла, именно с него и будет работать наша система защиты.
Отправка почты на внешний e-mail адрес
Настроим чтобы письма root пересылались на нужную нам внешнюю e-mail почту.
Открываем файл /etc/aliases и внесем изменения:
mcedit /etc/aliases
=необходимые изменения=
# Person who should get root's mail
root:info@sevo44.ru
Применим изменения выполнив команду:
newaliases
Отправим тестовое сообщение выполнив команду:
echo «test» | mail -s Testmail root
Если в выводе будет -bash: mail: команда не найдена то надо установить пакет:
= Для CentOS =
yum install mailx
= Для Debian =
apt-get install mailutils
Если на указанную почту пришло сообщение где в теле письма «test», то значит всё хорошо и теперь все сообщения что система создает для root будут переправлены на вашу почту.
Обязательно проверьте спам почты. Если в спаме нет то смотрите логи отправки почты. Всегда использую почтовый сервис yandex.ru и проблем с ними нет.
В случае если письмо не пришло то надо идти в файл лога и смотреть что там не так. В моем случае лог выглядит так:
cat /var/log/maillog
= вывод команды с необходимыми значениями =
Apr 10 22:57:03 ih378645 postfix/smtp[29844]: D56B64957: to=<info@sevo44.ru>, orig_to=<root>, relay=mx.yandex.ru[87.250.250.89]:25, delay=0.57, delays=0.02/0/0.03/0.52, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued on mxfront10g.mail.yandex.net as 1491854223-b3qP5cuV0Mf-v2CaUBlk)
Работа с почтой Postfix
Перестала приходить почта от f2b о блокировке желающих войти в админку сайта.
Вот количество ip которое стремительно увеличивалось:
В логах обнаружил сообщение о превышении лимита на отправку сообщений:
cat /var/log/maillog
= вывод команды с необходимыми значениями =
May 5 12:48:32 ih378656 postfix/smtp[12576]: 3111D5EE9: to=<dolotov44@yandex.ru>, orig_to=<root@localhost>, relay=mx.yandex.ru[93.158.134.89]:25, conn_use=23, delay=12862, delays=12859/3.1/0.07/0.06, dsn=4.5.1, status=deferred (host mx.yandex.ru[93.158.134.89] said: 451 4.5.1 The recipient <dolotov44@yandex.ru> has exceeded their message rate limit. Try again later. 1493977712-W6SydoLQur-mWE8thiK (in reply to end of DATA command))
May 5 12:48:32 ih378656 postfix/smtp[12563]: 2E9A05F20: host mx.yandex.ru[87.250.250.89] said: 451 4.5.1 The recipient <dolotov44@yandex.ru> has exceeded their message rate limit. Try again later. 1493977712-LwxkdR0eGu-mWD4A8YU (in reply to end of DATA command)
Посмотрим количество сообщений в очереди postfix:
mailq | grep Request
= вывод команды =
-- 5811 Kbytes in 1888 Requests.
Файл настройки большой, поэтому я покажу только настройки что я менял. Откроем файл и внесем нужные исправления и добавления:
mcedit /etc/fail2ban/jail.local
= вывод команды с необходимыми изменениями =
# "bantime" это количество секунд запрета
# 1 week = 604800
bantime = 604800
# Время работы параметра "maxretry"
# seconds.
findtime = 600
# "maxretry" количество попыток до бана
maxretry = 3
#
# ACTIONS
#
# Действия при срабатывании правил.
# Адрес электронной почты получателя
destemail = root@localhost
# Адрес отправителя
sender = f2b
# Выбрать действие по умолчанию. Чтобы изменить, просто переопределить значение 'действие' s
# Всего 3 вида действия
# action_ только запрет
# action_mw запретить и отправить по электронной почте с whois доклад destemail
# action_mwl запретить и отправить по электронной почте с whois отчет и соответствующие строки журнала
action = %(action_mwl)s
# Свои фильтры для защиты
# Название блока используемое при работе с сервисом
[sites-sevo44ru]
# Включение правила
enabled = true
# Какие порты блокируются
port = http,https
# Название файла фильтра
filter = sites-sevo44ru
# Путь до лог файла который анализируется
logpath = /web/sites/sevo44.ru/log/access.log
# Количество неудачных попыток до блокировки
maxretry = 3
# Период блокировки -- вечная. Иногда лучше использовать и такое :)
#bantime = -1
Обращаю особое внимание на строку action = %(action_mwl)s. Если хотите получать оповещения на почту обязательно правильно укажите этот параметр и настройте оповещение на необходимый почтовый ящик.
Мне пришлось отключить отправку сообщений на почту. Про перезагрузке сервиса на почту приходят сообщения о всех заблокированных ip. При большом количестве блокировок почтовый ящик на yandex отказывается их принимать. Если кто может подсказать как решить эту проблему подскажите.
Если укажите чтобы на почту приходила информация с whois докладом в письме можете увидеть missing whois program установите необходимое выполнив команду:
yum install jwhois
Теперь в сообщениях на почту будет приходить детальная информация об ip адресе блокируемого.
Файл фильтра
Создадим файл фильтра в необходимой папке с указанием нужных параметров:
Можно в новой строчке перечислять любые необходимые параметры.
В одном из фильтров я использую код ^<HOST> .*base64_decode который блокирует всех кто пытается использовать эту кодировальную хренодрянь.
Проверим наш фильтр выполнив команду:
fail2ban-regex /web/sites/sevo44.ru/log/access.log /etc/fail2ban/filter.d/sites-sevo44ru.conf
= вывод информации =
Running tests
=============
Use failregex filter file : sites-wpsevo44ru, basedir: /etc/fail2bаn
Use log file : /web/sites/wp.sevo44.ru/log/access.log
Use encoding : UTF-8
Results
=======
Failregex: 309 total
|- #) [# of hits] regular expression
| 1) [309] ^<HOST> .* "POST /wp-login.php
`-
Ignoreregex: 0 total
Date template hits:
|- [# of hits] date format
| [77612] Day(?P<_sep>[-/])MON(?P=_sep)Year[ :]?24hour:Minute:Second(?:\.Microseconds)?(?: Zone offset)?
`-
Lines: 77612 lines, 0 ignored, 309 matched, 77303 missed
[processed in 16.01 sec]
Missed line(s): too many to print. Use --print-all-missed to print all 77303 lines
Видим что в нашем логе 309 срабатываний правила.
Можно вывести информация обо всех этих строчках:
fail2ban-regex /web/sites/wp.sevo44.ru/log/access.log /etc/fail2ban/filter.d/sites-wpsevo44ru.conf --print-all-matched
= вывод информации =
Running tests
=============
Use failregex filter file : sites-wpsevo44ru, basedir: /etc/fail2ban
Use log file : /web/sites/sevo44.ru/log/access.log
Use encoding : UTF-8
Results
=======
Failregex: 309 total
|- #) [# of hits] regular expression
| 1) [309] ^<HOST> .* "POST /wp-login.php
`-
Ignoreregex: 0 total
Date template hits:
|- [# of hits] date format
| [77618] Day(?P<_sep>[-/])MON(?P=_sep)Year[ :]?24hour:Minute:Second(?:\.Microseconds)?(?: Zone offset)?
`-
Lines: 77618 lines, 0 ignored, 309 matched, 77309 missed
[processed in 15.31 sec]
|- Matched line(s):
| 185.34.244.250 - - [05/Mar/2017:13:11:24 +0300] "POST /wp-login.php HTTP/2.0" 200 2208 "https://sevo44.ru/wp-login.php?redirect_to=https%3A%2F%2Fsevo44.ru%2Fwp-admin%2F&reauth=1" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36" "2.27"
| 185.34.244.250 - - [05/Mar/2017:13:11:30 +0300] "POST /wp-login.php HTTP/2.0" 302 955 "https://sevo44.ru/wp-login.php" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36" "-"
= часть информации скрыта =
После последующих необходимых изменениях перезагружаем стандартной для CentOS 7 командой:
systemctl restart fail2ban
После перезагрузки на почту будут приходить сообщения об остановке, запуске всех работающих фильтров и всех заблокированных ip.
Для полной уверенности посмотрим статус:
systemctl status fail2ban
● fail2bаn.service - Fail2Bаn Service
Loaded: loaded (/usr/lib/systemd/system/fail2bаn.service; enabled; vendor preset: disabled)
Active: active (running) since Пн 2017-04-10 23:23:47 MSK; 2min 20s ago
Docs: man:fail2ban(1)
Process: 30794 ExecStop=/usr/bin/fail2bаn-client stop (code=exited, status=0/SUCCESS)
Process: 30830 ExecStart=/usr/bin/fail2bаn-client -x start (code=exited, status=0/SUCCESS)
Main PID: 30834 (fail2ban-server)
CGroup: /system.slice/fail2bаn.service
└─30834 /usr/bin/python2 -s /usr/bin/fail2bаn-server -s /var/run/fail2ban/fail2bаn.sock -p /var/run/fail2ban/fail2bаn.pid -x -b
апр 10 23:23:46 ih378645.vds.myihor.ru systemd[1]: Starting Fail2Ban Service...
апр 10 23:23:47 ih378645.vds.myihor.ru fail2ban-client[30830]: 2017-04-10 23:23:47,141 fail2bаn.server [30832]: INFO Starting ...v12.45.668
апр 10 23:23:47 ih378645.vds.myihor.ru fail2ban-client[30830]: 2017-04-10 23:23:47,141 fail2bаn.server [30832]: INFO Starting ...n mode
апр 10 23:23:47 ih378645.vds.myihor.ru systemd[1]: Started Fail2Ban Service.
Hint: Some lines were ellipsized, use -l to show in full.
Всё у нас хорошо. Работает и стартует при перезагрузке сервера.
Главный файл настройки
В главном файле настройки указывается куда будут складываться логи и другие параметры. Нам важно убедится в правильности пути до лог файлов. Откроем и посмотрим куда пишутся логи:
cat /etc/fail2ban/fail2ban.conf
= вывод команды с пояснениями =
# Где лежат логи
logtarget = /var/log/fail2ban.log
Ротация логов сервиса
Откроем файл ротации сервиса и сделаем необходимые изменения:
Мне удобней чтобы ротация проходила каждый день и хранилась 30 дней.
Сохраним и применим изменения без перезагрузки:
logrotate /etc/logrotate.conf
Работа с сервисом
Выведем информацию о работающих фильтрах:
fail2ban-client status
= вывод команды =
Status
|- Number of jail: 1
`- Jail list: sites-sevo44ru
Видим что активен один фильтр.
Выведем детальную информацию о фильтре:
fail2ban-client status sites-sevo44ru
= вывод команды =
Status for the jail: sites-sevo44ru
|- Filter
| |- Currently failed: 0
| |- Total failed: 4
| `- File list: /web/sites/sevo44.ru/log/access.log
`- Actions
|- Currently banned: 1
|- Total banned: 4
`- Banned IP list: 92.53.96.68
Видим что всего было 4 срабатывания и 1 IP что заблокирован.
Для ручного блокирования используем команду:
fail2ban-client set sites-sevo44ru banip 91.200.12.91
= вывод команды =
91.200.12.91
Для ручного разблокирование используем команду:
fail2ban-client set sites-sevo44ru unbanip 91.200.12.91
= вывод команды =
91.200.12.91
Осталось окончательно убедится что сервис работает. Посмотрим текущие правила iptables:
iptables -L -v -n
= вывод команды. только интересующая нас часть =
Chain f2b-sites-sevo44ru (1 references)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 91.200.12.91 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 92.53.96.68 0.0.0.0/0 reject-with icmp-port-unreachable
18949 3413K RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Всё отлично. В выводе команды видим заблокированные ip адреса.
Результат
Хочется вам или нет, но периодически необходимо просматривать логи сайтов. Только так можно вовремя выявить проблемные места с сайтом и вовремя отреагировать на паразитирующую активность всякой интернет шушары. Хочется сразу сказать что иногда можно не успеть вовремя среагировать и ресурс будет взломан но для этого случая всегда держите в сохраняемости актуальные резервные копии сайта.
Обслуживание компьютеров, ремонт, лечение вирусов, модернизация. Системы на ОС Linux. Создание и продвижение Интернет проектов. Бесплатные консультации. Офисные АТС. Видеонаблюдение.
