Archive for the 'Linux' Category

TACACS unter CentOS 6

Dienstag, August 28th, 2012

Informationen über TACACS gibt es in der Wikipedia (http://de.wikipedia.org/wiki/TACACS). Dieser Artikel zeigt nur, wie man einen TACACS-Server auf CentOS 6 64bit installiert.

Installation

  • Die Quelltexte gibt es unter: ftp://ftp.shrubbery.net/pub/tac_plus
  • Herunterladen mittels:
    • wget ftp://ftp.shrubbery.net/pub/tac_plus/tacacs+-F4.0.4.26.tar.gz
  • Quellen entpacken:
    • tar xzf tacacs+-F4.0.4.26.tar.gz
  • Standardmaessig sind nicht alle notwendigen Pakete installiert um den Tacacs-Daemon zu kompilieren – die werden jetzt nachinstalliert:
    • yum install -y make gcc-c++ flex bison tcp_wrappers-devel.x86_64 man xinetd
  • Configure, make, make install durchfuehren – vorher aber noch in Ordner mit den Quellen wechseln:
    • cd tacacs+-F4.0.4.26
    • ./configure --prefix=/usr
    • make
    • make install
  • Der Tacacs-Dienst ist jetzt installiert. Bevor er das erste mal gestartet werden kann, muss ein ldconfig aufgerufen werden, damit die installierten libraries erkannt werden:
    • ldconfig
  • Es fehlt noch der Ordner mit der Konfigurationsdatei. Dieser wird in /etc/ angelegt und darin die Konfigurationsdatei.
    • mkdir /etc/tac_plus
    • touch /etc/tac_plus/tacacs.conf
  • Der Tacacs-Dienst wird ueber xinetd gestartet und muss dort mit einer Konfigurationsdatei versehen werden, damit xinetd den Dienst ueberhaupt kennt. Ausserdem muss xinetd noch aktiviert und gestartet werden:
    • touch /etc/xinetd.d/tacacs
    • Moeglicher Inhalt der Konfigurationsdatei ist:
      • service tacacs
        {
        socket_type = stream
        protocol = tcp
        wait = no
        disable = no
        user = root
        server = /usr/bin/tac_plus
        server_args = -C /etc/tac_plus/tac_plus.conf -L -p 49 -i -d 16
        cps = 50 10
        flags = IPv4
        }
      • chkconfig xinetd on
      • service xinetd restart

Konfiguration des Tacacs-Dienstes

Nachdem die notwendigen Dateien installiert sind und auch der xinetd den Tacacs-Dienst kennt um ihn zu starten, kann jetzt die eigentliche Tacacs-Konfiguration eingespielt werden. Eine minimale Konfiguration in /etc/tac_plus/tac_plus.conf koennte etwa so aussehen:


accounting file = /var/log/tac-plus/account
key = 85bc054457f1d43c15de234813b4856b66d474ebde7fd6258beb532fc7
group = all {
default service = permit
service = exec {
priv-lvl = 15
}
}

user = lando {
member = all
login = des $1$0T$Ntl2SGIAxzGnEjdpjLFi00
}

Passworte, wie hier eins in der login-Zeile zu sehen ist, koennen mit tac_pwd generiert werden. Standardmaessig werden crypt-Passworte erzeugt. Es gibt mit dem Paramter -m auch die Moeglichkeit, MD5-Passworte zu nutzen. Mehr Informationen ueber die Konfiguration gibts in der Manpage: man tac_plus.conf.

Partitionen und Volumes vergroessern

Montag, Oktober 18th, 2010

Heute stand ich mal wieder vor einem interessanten Problem. Ich habe in einer virtuellen Umgebung (in diesem Falle XenServer) ein Template, dass nach dem Ausrollen in eine VM, eine 10GB Platte hat. Ich kann diese dann einfach im XenCenter vergroessern, was allerdings nur dazu fuehrt, dass das Betriebssystem in der VM, eine groessere Festplatte anzeigt. Eingebunden wird von diesem zusaetzlichen Speicherplatz nichts. Dazu bedarf es ein bisschen Abhilfe. Meine Festplatte ist im folgenden /dev/xvda, diese hat 2 Partitionen:

  1. /dev/xvda1 – 512MB Partition fuer /boot, ext2 als Dateisystem
  2. /dev/xvda2 – etwa 8.5GB grosse Partition fuer LVM (enthaelt root und swap)

Um das ganze nun umzubauen, damit /dev/xvda3 mehr als nur diese 8.5GB hat, sondern auch den restlichen freien Platz nutzt, sind folgende Schritte notwendig:

Notwendige Software

Auf einem debian brauche ich dazu: gpart (enthaelt sfdisk) und lvm2:

aptitude install gpart lvm2

Werte bestimmen

Bestimmen der Start- und Endwerte der zu aendernden Partition:

fdisk -u -l /dev/xvda

Das gibt folgende Ausgabe:

Disk /dev/xvda: 21.5 GB, 21474836480 bytes
255 heads, 63 sectors/track, 2610 cylinders, total 41943040 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x000b41d0

    Device Boot      Start         End      Blocks   Id  System
/dev/xvda1   *        2048      999423      498688   83  Linux
Partition 1 does not end on cylinder boundary.
/dev/xvda2          999424    23066623    11033600   8e  Linux LVM

Werte berechnen

Die Ausgabe von dem fdisk-Aufruf eben enthaelt alle notwendigen Angaben. Sowohl den Anfangs- als auch den Endwert. Der Anfangswert ist die 999424 (siehe auch das Device xvda2) und der Endwert ist die Sektor der Platte 41943040. Die Groesse der Partition muss berechnet werden: Sektorzahl der Platte minus Anfangswert – in meinem Bespiel also 41943040 – 999424 = 40943616

Partition vergroessern

Das eigentliche Vergroessern erfolgt mit sfdisk:

sfdisk --force -uS -N2 /dev/xvda

An der Kommandozeile von dem Programm dann erst den Startwert (999424) und die Groesse (40943616) angeben, mit Enter bestaetigen und dann noch die Aenderung mit y bestaetigen.

Die Partitionsgrenzen sind damit verschoben und um diese Aenderungen vollstaendig zu uebernehmen, muss die Maschine neugestartet werden.

PV und LV vergroessern

Die Partition ist jetzt auf volle Groesse gebracht, nun erfolgt das Vergroessern der ganzen LVM-Geschichten:

  1. Physical Volume vergroessern:
    pvresize /dev/xvda2

    Mit pvdisplay kann man die Aenderung kontrollieren.

  2. Die Volume Group sollte jetzt ebenfalls vergroessert sein. Kontrolle erfolgt ueber: vgdisplay. Hier kann man dann ebenfalls sehen, wieviel Speicherplatz jetzt auf dem Volume frei ist.
  3. Logical Volume vergroessern:
    sudo lvextend -l +100%FREE data/root

Dateisystem vergroessern

Als letztes wird dann noch das Dateisystem angepasst und auf die maximale Groesse aufgeblasen. In meinem Beispiel ist es ein ext3. Das Vergroessern dauert… je nach Groesse eine ganze Weile:

resize2fs /dev/data/root

Fertig. Kontrolle erfolgt ueber df -h. Wenn hier jetzt die neue Festplattengroesse erscheint, ist alles glatt gelaufen. Am besten aber nochmal die Maschine neustarten, damit man sicher ist, dass nicht irgendwo ein kleiner Fehler ist. Gegebenenfalls ist sogar ein Filesystemcheck sinnvoll. Dieser sollte nicht auf einem gemounteten Dateisystem durchgefuehrt werden, sondern beim naechsten Neustart ablaufen. Dazu muss die Datei /forcefsck angelegt werden:

touch /forcefsck

Fedora 11 – Leonidas

Dienstag, Juni 9th, 2009

Auch bei diesem Release gibt es die finalen Fedora-Images mal wieder ein kleines Stückchen früher als gewöhnlich zum downloaden: ftp://public.lando.cc/pub/linux/fedora11/.

CentOS 5.3 und Plesk 9.2.1

Dienstag, Mai 5th, 2009

Ich habe am Wochenende meinen CentOS-Server auf Version 5.3 gehievt, was erstaunlich problemlos funktioniert hat. Nach ein paar Empfehlungen aus einigen Foren, habe ich folgende Updatebefehle gewählt:

yum -y update yum
yum clean all
yum -y update glibc
yum -y update

Nun noch das Plesk-Update durchwuergen – das gabs dann gestern Nacht. Sonst hatte ich ja bei jedem groesseren Plesk-Update eher mit Problemen zu kaempfen. Aber diesmal hat auch das erfreulicher Weise funktioniert. Man sollte sich lediglich die Updateanweisung einmal genauer anschauen. Diese ist auf den Parallels-Seiten zu finden. Das Greylisting funktioniert wunderbar und spart auf meinem Server einiges an Ressourcen an. DNS-Blacklisting ist zwar gut und schoen, bringt aber nicht immer sonderlich viel. Ich denke, dass die Kombination aus DNSBL und Greylisting sehr lange und gut funktionieren wird.

Plesk 9-Problemchen

Mittwoch, Januar 7th, 2009

Ich habe vor einiger Zeit von Plesk 8 auf Plek 9 umgestellt. In der Hoffnung, dass die Parallels-Leute einiges dazugelernt haetten. Aber das war wohl leider noch nicht der Fall. Es sind viele Schritte in die richtige Richtung getan worden (z.B. Umstellung von QMail auf Postfix), aber so buggy haette die Software niemals unters Volk gehen duerfen. Einer der boesesten Fehler haengt mit der Gross- und Kleinschreibung bei Domainnamen und eMail-Adressen zusammen. Sobald Grossbuchstaben im Spiel sind, kommen keine Mails mehr an. Sie werden allerdings auch nicht zum Absender zurueckgeschickt, sondern verschwinden einfach irgendwo. Ich weiss noch nicht wo, aber das finde ich noch heraus. 🙂

[Update 2009/03/16:] In den vergangenen Tagen gabs mal wieder ein bisschen Sorgen mit dem Mailing. Einige Mails (an info@) verschwanden, also gings mal wieder auf die Suche. Dabei bin ich ueber die postqueue gestolpert – da waren die ganzen nicht zugestellten Mails also hin. Schwuppdiwupp aussortiert und dann die Queue einfach mal ausgeleert. Danach dann weitergesucht, warum einige Mails zugestellt wurden und einige nicht. Dabei fand ich – wieder mittels postqueue -p – heraus, was das eigentliche Problem war. Der hostname-Eintrag in der main.cf war nicht korrekt. Dazu kamen noch zwei Begrenzungen fuer Postfachgroessen, die ich anpassen musste.

Fedora 10 Cambridge-Mirror

Freitag, November 21st, 2008

Wie durch Zufall ist mir heute schon das neue Fedora 10 begegnet. Ich habe die wichtigsten ISOs mal zum Download auf meinem FTP abgelegt. Zu finden unter: ftp://public.lando.cc/ . Die Version ist Final. Viel Spass damit. 🙂

Serverumzüge geschafft

Freitag, August 8th, 2008

So langsam kehrt wieder Ruhe ein. Die beiden Serverumzüge sind fast geschafft. An einigen Ecken und Kanten muss ich noch ein wenig frickeln, aber 95% aller Dinge laufen erstmal wieder. Das heisst fuer mich also bald erstmal: Wochenende.

Achja, was die Alathair-Sphere betrifft: Sie laeuft jetzt auf einem CentOS5 x64 – ohne Probleme. Das auf dem alten Server schien also ein SuSE-Problem gewesen zu sein. Die Zeiten fuer einen Worldsave – wird alle 20 Minuten erstellt – sind auf etwa 4 Sekunden gesunken. Das ist eine Verbesserung von ueber 10 Sekunden im Gegensatz zum alten Server. Weiterhin braucht das riesen Datenbank-Update-Script nun nur noch etwa 11 Minuten statt vorher 18. Eine Geschwindigkeitssteigerung, die wir wohl dem Opteron, 4GB RAM und dem RAID1 zu verdanken haben. 🙂

Das Maschinenbau-Forum konnte ohne weitere Schwierigkeiten wieder zum Laufen gebracht werden. Ich warte im Moment nur noch auf das neue SSL-Zertifikat. Warum das so lange dauert, weiss ich nicht.

Auch die anderen Seiten funktionierten ohne Probleme einfach wieder. Es war insgesamt eine doch recht ansehnliche Datenmenge, die den Umzug so derart in die Laenge gezogen hat.

Server down

Donnerstag, Juli 31st, 2008

Im Moment ist es der Super-GAU. Mein dedizierter Server will nach einem Update nicht mehr. Nun heisst es gut ueberlegen, was tun. Im Moment glaube ich, dass eine Neuinstallation die schnellste Loesung ist. Die ist zwar nicht schoen und macht viel Arbeit, aber das reparieren geht nicht voran. Umso mehr ich hier am frickeln bin, umso mehr geht gerade kaputt. Von der Nicht-Erreichbarkeit des Servers sind unter anderem das Maschinenbau-Forum und die Seiten des UO-Shards Alathair betroffen.

Ich habe vorhin versucht das anstehende Plesk-Update auszufuehren – keine gute Idee. Nachdem der Installer fuer das Plesk 8.6.0 anlief, bekam ich ziemlich schnell die Mail, dass etwas nicht stimmte. Das war eigentlich bisher bei jedem Update der Fall. Aber diesmal war es nicht wirklich reparabel. Er hatte ein halb installiertes Plesk 8.6.0 und ein halbes 8.4.0. Beim Reparaturversuch wurde es nicht besser. Am Ende habe ich also nichts mehr richten koennen. Und fange mit dem Backup der Daten an. Vielleicht kann ich ja waehrenddessen mal ein paar Stunden schlafen – das Kopieren wird Ewigkeiten dauern.

[2008-07-31, 0400 Uhr] Backup wird erstellt und auf einen anderen Server kopiert.
[2008-07-31, 1200 Uhr] Backup kopiert noch immer, Datenbanksicherung ist schon fertig – funktioniert sogar. Die restlichen Daten kopieren – es wird also zu keinem Datenverlust kommen.
[2008-07-31, 1740 Uhr] Backup wird immernoch kopiert, das dauert leider bei diesen Datenmengen eine kleine Ewgikeit.
[2008-07-31, 2345 Uhr] Backup ist abgeschlossen; jetzt noch Sicherstellung, dass sie auch in Ordnung sind. Danach gehts dann zur Neuinstallation.
[2008-08-01, 0330 Uhr] Backups sind in Ordnung. Die neue Hardware ist auch schon verfuegbar. Ich brauche also nicht in ein paar Tage nochmal alles umziehen, sondern kann direkt auf den neuen Server. An dieser Stelle: Hut ab vor 1und1 fuer die schnelle Bereitstellung – Server gegen 23 Uhr bestellt, gegen 2 Uhr war er einsatzbereit. Die Installation laeuft. 🙂
[2008-08-02, 2130 Uhr] Fast alle Seiten sind nun wieder funktionsfaehig. Der Rest wird dann heute nacht folgen. Wenns Probleme geben sollte, einfach ne Mail an lando@lando.cc

Um nochmal lobenswert 1und1 zu erwaehnen: um 0:42 bekam ich die Auftragsbestaetigung fuer den neuen Server (nachdem ich vorher den Freischaltcode eingegeben hatte). Etwa eine halbe Stunde spaeter bekam ich eine Mail, die mir den Abschluss der Einrichtung bestaetigte – das war schnell. 🙂

FBSD7amd64 bei Server4You

Dienstag, Juli 15th, 2008

Nachdem ich im letzten Artikel beschrieben habe, wie man den Depenguinator auf einem S4Y-Server einsetzt, fehlt nun nur noch die eigentliche FreeBSD-Installation.

Nachdem man das System depenguiniert hat, kann man sich mit ssh wieder auf die Kiste verbinden. Hierzu brauchen wir wieder das Keyfile, dass wir in der vorherigen Anleitung angelegt haben.

ssh -i id_rsa root@SERVER

(mehr …)

Depenguinator 2.0 auf S4Y-Server

Freitag, Juli 11th, 2008

Server4You ist wohl einer der Anbieter, die dedizierte Server fuer relativ wenig Geld unters Volk bringen. Leider hat man dort nur die Wahl zwischen Linux und ggf. einem Windows. Da das fuer mich eigentlich mitlerweile keine wirklich schoene Option mehr ist, habe ich mich mal eine Weile umgesehen. So einfach ist es nicht dort ein FreeBSD zu installieren, da das RescueSystem nicht einfach ist und Zugriff auf eine Konsole hat man bei S4Y auch nicht inklusive.

Es gibt jedoch eine Moeglichkeit um auch hier ein FreeBSD zu installieren. In frueheren Zeiten (FreeBSD5) konnte man das mit dem Depenguinator 1 erledigen – mit aktuellen FBSDs funktioniert das jedoch nicht mehr. Mitlerweile gibt es einen Nachfolger: Depenguinator 2.0. Mit ihm ist es moeglich ein FreeBSD so in eine RAM-Disk zu legen, dass man dies booten und dann mit der Installation weiter machen kann. 🙂

Zunaechst mal braucht man also einen dedizierten Server4You-Server (keinen VServer), weiterhin etwas FreeBSD-Know How und natuerlich Geduld und ein bisschen Frickelwillen. Die Anleitung unter http://www.daemonology.net/blog/2008-01-29-depenguinator-2.0.html hilft zwar schon viel weiter, aber so ganz hat es bei mir damit dann doch nicht funktioniert.

(mehr …)