Создать React-приложение в 2026 году стало ЛЕГКО с помощью Vite

Введение

Начать работу с React стало не так сложно, как раньше. В этом видео мы расскажем о самом быстром способе создания современного React проекта. Нет, мы не будем использовать устаревшие CRA или create-react-app, которые веками доставляли разработчикам столько хлопот.

Но мы воспользуемся инструментом под названием Vite, что в переводе с французского означает «молниеносно быстрый».

Предварительные условия

Итак, что же является единственным препятствием на пути к созданию вашего первого React приложения? Вам нужна среда выполнения, которая позволит вам запускать Javascript приложения вне браузера — Node.js.

Для начала зайдите на официальный сайт Node.js, нажмите кнопку Get Node.js и выберите свою операционную систему. Либо скопируйте и вставьте показанные команды в терминал, либо просто скачайте соответствующий бинарный файл.

После выполнения команды или загрузки бинарного файла давайте убедимся, что он действительно установлен. Для этого откройте терминал и введите

node --version

Если после выполнения команды появится сообщение, похожее на это, поздравляем — Node.js успешно установлен.

Подтвердите Установку Node.js

Настройка Vite

Теперь, когда Node.js готово, для запуска всего вашего React-проекта достаточно одной команды.

Перейдите на сайт Vite, нажмите get started и прокрутите страницу вниз, пока не найдете эту команду.

Эта команда создает шаблон вашего проекта и устанавливает для вас Vite и React. Vite в основном выполняет две функции:

• Он обслуживает ваш код во время разработки, предлагая такие функции, как горячая перезагрузка.
• Он объединяет ваш JavaScript, HTML и другие ресурсы, когда вы готовы к запуску.

Команда для установки Vite

Node.js В комплект поставки входит npm — менеджер пакетов, который устанавливает зависимости вашего проекта. Но лично я использую pnpm и вот почему он лучше:

• Он кэширует ваши зависимости на глобальном уровне.
• Он повторно использует их в разных проектах.

Это значительно ускоряет процесс и делает его более экономичным, особенно если вы используете мобильный интернет.

npm create vite@latest

Так что вы можете либо скопировать эту команду npm и сразу запустить ее, либо установить pnpm глобально:

npm install -g pnpm

Если вы выбрали путь pnpm и установили его глобально, просто замените npm на pnpm в предыдущей команде.

pnpm create vite@latest

Конфигурация проекта

Теперь, когда мы выполнили команду, Vite-cli проведет вас по быстрой настройке.

Давайте назовем проект hello-world .

Vite CLI предлагает пользователю выбрать название проекта

Поскольку мы создаем приложение на React, выберем React.

Vite CLI предлагает пользователю выбрать фреймворк

Теперь нам нужно выбрать между JavaScript и TypeScript. Честно говоря, я предпочитаю TypeScript, потому что его статическая типизация улучшает автодополнение в IDE и значительно упрощает работу разработчика.

Vite CLI предлагает пользователю выбрать Javascript или Typescript

Возможно, вам интересно, что же такое SWC? Это сверхбыстрый компилятор, который ускорит вашу разработку почти в 20 раз. Скорость — это всегда хорошо, так что давайте выберем Typescript + SWC и нажмем Enter.

Давайте просто пропустим два оставшихся варианта.

Установка зависимостей

Как только вы нажмете Enter, Vite-Cli создаст ваш проект.

Как только это произойдет, перейдите в него, набрав cd hello-world.

После этого установите зависимости, выполнив команду «npm install» или «pnpm install«.

npm install
# или
pnpm install

Запуск сервера разработки

После завершения установки выполните следующую команду.

pnpm run dev

Последний запустит сервер разработки на http://localhost:5173.

Просто нажмите на этот URL, удерживая клавишу Ctrl, или скопируйте его в адресную строку браузера.

Наконец, ваш проект готов.

Откройте его в предпочитаемой вами среде разработки, перейдите в файл App.tsx, расположенный в папке src, внесите изменения и — вуаля! — они мгновенно отобразятся на веб-странице.

Заключение

Вот и все, что нужно для запуска вашего проекта с помощью VITE, БУКВАЛЬНО, одной-единственной команды!

Но вид этого дерева файлов может вызывать беспокойство, не так ли?

Поэтому вместо того, чтобы все испортить, давайте разберемся в сгенерированном шаблонном коде.

А пока… счастливого кодинга!

Как добавить контекстное меню в Debian среда Mate

Контекстное меню вызова терминала в Debian оболочка Mate

Например, я хочу щелкнуть правой кнопкой мыши по папке и открыть ее в терминале. Я не хочу, чтобы мне приходилось искать каталог в терминале.

Caja — официальный файловый менеджер рабочего стола MATE. Пакет расширяет функциональность файлового менеджера Caja.

caja-open-terminal — тестовое расширение Caja, позволяющее запускать терминал по указанному пути.

Установка

sudo apt install caja-open-terminal

Активация

caja -q

Как отключить WP-Cron в WordPress и настроить системный cron на сервере

WP-Cron в WordPress часто мешает работать сайту стабильно. Рассказали, как полностью взять планировщик в свои руки: отключить встроенный механизм, перенести его на системный cron и настроить идеальный график выполнения задач.

Введение

Представьте, что вы запланировали публикацию важной статьи на своём WordPress-сайте ровно в 17:00, но в назначенное время ничего не произошло. Или наоборот, ваш сайт начинает подтормаживать из-за фоновых задач, хотя посетителей немного. Зачастую причиной этих ситуаций оказывается встроенный планировщик WordPress под названием WP-Cron.

В статье рассказали, как отключить встроенный планировщик WP-Cron (wp-cron.php) в WordPress и перенести выполнение задач на системный cron сервера. Объяснили, чем WP-Cron отличается от классического cron и как настроить расписание задач через терминал шаг за шагом.

Что такое WP-Cron и зачем его отключать

WP-Cron — это встроенный механизм WordPress для выполнения отложенных задач. Каждый раз, когда вы планируете что-то на потом, будь то публикация поста в определённое время, резервное копирование (бекап) базы данных по расписанию или отправка письма пользователю через час, за кулисами WordPress добавляет событие в свой список cron-задач. Специальный файл wp-cron.php отвечает за проверку этого списка и запуск нужных функций точно в назначенный час.

Однако WP-Cron существенно отличается от настоящего системного планировщика cron в Linux. Самое важное отличие в том, что wp-cron.php не работает постоянно на фоне, как системный Cron. Он просыпается только когда кто-то посещает ваш сайт. Одним словом, WordPress проверяет свои запланированные задачи лишь при загрузке страницы. Если посещений нет, задачи просто не запускаются до тех пор, пока сайт не откроют. Для малопосещаемых сайтов это оборачивается проблемами: отложенные публикации выходят с опозданием, рассылки не отправляются вовремя, очистка базы или кеша может не случиться по расписанию. Например, если на сайт никто не заходил весь день, то и ежедневный скрипт оптимизации не сработает. Сайтам с высокой посещаемостью бояться практически нечего. Казалось бы, WP-Cron не пропустит время задачи, ведь посетители появляются постоянно. Но у этой медали есть и другая сторона: при большом трафике wp-cron.php запускается слишком часто, нагружая сервер. По умолчанию WordPress старается не дёргать планировщик чаще чем раз в минуту, но если ваш сайт получает множество одновременных заходов, возможны параллельные вызовы WP-Cron. В результате каждая загрузка страницы может слегка замедляться, да и сами фоновые задачи отнимают ресурсы. Особенно ощутимо это становится на недорогом хостинге с ограниченными ресурсами.

Как перенести wp-cron.php на системный cron: пошаговая инструкция

Перенос WP-Cron на cron сервера состоит из двух основных шагов. Сначала необходимо отключить встроенный механизм в самом WordPress, затем настроить регулярный вызов wp-cron.php через системный планировщик. Ниже подробно разберём оба этапа.

Для начала нужно выключить автоматический запуск WP-Cron при каждом заходе на сайт. Это делается добавлением одной строки в конфигурацию WordPress. Обязательно сделайте свежий бекап сайта или хотя бы сохраните копию файла wp-config.php перед правкой, чтобы иметь возможность вернуть всё назад в случае ошибки.

Откройте файл wp-config.php в корневой папке вашего WordPress-сайта. Сделать это можно через FTP-клиент, файловый менеджер хостинга или прямо в терминале, например, с помощью редактора nano. Найдите в начале файла строку <?php и сразу после неё вставьте следующую директиву:

define('DISABLE_WP_CRON', true);

Сохраните изменения. Эта настройка отключает встроенный WP-Cron. WordPress больше не будет пытаться запускать wp-cron.php при каждом открытии сайта. Однако и запланированные задачи теперь полностью под вашим контролем, их выполнение нужно организовать на уровне сервера.

Теперь, когда WordPress забыл про свои внутренние кроны, нужно самостоятельно настроить системный cron, чтобы он периодически запускал WordPress-скрипт wp-cron.php и тем самым выполнял все отложенные задачи. Для этого понадобится доступ к серверу по SSH и права на создание cron-заданий. Подключитесь к своему серверу через терминал. Далее откройте список cron-задач командой:

crontab -e

Эта команда откроет файл расписания задач (crontab) для текущего пользователя. Если вы запускаете её впервые, система может спросить, какой редактор использовать, смело выбирайте nano, так будет проще. В открывшемся редакторе внизу файла, не трогая чужие строки, если они уже есть, добавьте новую строку-пример:

*/15 * * * * wget -q -O - "http://ваш-домен.ru/wp-cron.php?doing_wp_cron" > /dev/null 2>&1

Эта строка создаёт cron-задание, которое будет выполняться каждые 15 минут (именно это обозначает */15 * * * *). Вместо ваш-домен.ru подставьте адрес вашего сайта. Команда использует утилиту wget, которая делает тихий HTTP-запрос.

-q отключает вывод сообщений, флаг -O — означает отправлять результат в стандартный поток вывода. По сути, каждые 15 минут сервер будет запрашивать ваш wp-cron.php, имитируя посещение сайта, и сразу отправлять результат в никуда. Символы >/dev/null 2>&1 как раз перенаправляют весь вывод команды и сообщения об ошибках, чтобы вы не получали уведомления на почту при каждом запуске.

После добавления строки нажмите Ctrl+O (англ. O), чтобы сохранить crontab, и Ctrl+X, чтобы выйти из редактора nano. Новое задание сохранено, системный cron зарегистрировал вашу задачу.

В примере указано каждые 15 минут. Такое значение подходит для большинства сайтов. Вы можете настроить интервал под свои нужды. Например, если у вас совсем небольшой и неторопливый проект, можно запускать cron раз в час. А для сайта с активной аудиторией или важными процессами, например, интернет-магазин с обработкой заказов, имеет смысл поставить 5 или 10 минут, чтобы все операции выполнялись оперативно. Не выбирайте слишком частый интервал без необходимости. Помните, что каждый запуск cron вызывает пусть небольшую, но нагрузку.

Чтобы убедиться, что вы правильно настроили cron, проведите небольшой тест. В админ-панели WordPress создайте новый черновик записи и запланируйте его публикацию на ближайшие 10-15 минут от текущего времени. Если cron на сервере настроен верно, пост автоматически опубликуется примерно в назначенное время.

Советы по настройкам

В большинстве случаев описанных настроек вполне хватает, но есть ещё несколько моментов, которые стоит держать в голове. Если на хостинге нет доступа к собственному cron, как это часто бывает на бюджетных тарифах или при отсутствии SSH, выручат внешние сервисы. Они могут по расписанию отправлять запросы на сайт, и в этом нет ничего сложного. Зарегистрируйтесь на платформе вроде бесплатного cron-job.org или платных EasyCron и SetCronJob, добавьте туда адрес файла wp-cron.php, не забыв приписать в конце параметр ?doing_wp_cron, и задачи будут выполняться без участия встроенного механизма WordPress.

Не стоит пытаться запускать wp-cron.php напрямую командой php из консоли, так как скрипт рассчитан именно на веб-запрос, а при вызове через PHP-CLI могут отсутствовать важные переменные окружения вроде HTTP_HOST, и тогда задания просто не отработают.

При работе через CDN или прокси, например Cloudflare, прямой запрос с сервера на ваш домен может быть заблокирован как подозрительный. В таком случае лучше либо добавить IP сервера в белый список в панели Cloudflare, либо в задаче cron использовать локальный адрес, например http://127.0.0.1/ или внутреннее имя хоста.

Для контроля работы самого WP-Cron подойдёт плагин WP Crontrol. Он показывает все запланированные события, время их следующего запуска и источник, а если что-то зависло или просрочилось, вы сразу это заметите. После перехода на системный cron можно спокойно игнорировать предупреждение плагина о том, что WP-Cron отключён. Это будет означать лишь то, что всё работает так, как задумано.

Заключение

Вы проделали немалую работу и превратили капризный встроенный планировщик WordPress в надёжный системный инструмент. Теперь wp-cron.php запускается по расписанию, а ваш сайт больше не зависит от случайных визитов, чтобы отправить письмо или опубликовать пост. Это значит, что запланированные публикации будут выходить строго в срок, резервные копии сохранятся вовремя, а другие фоновые процессы WordPress перестанут подносить неприятные сюрпризы. При грамотной настройке cron вы заметите, как сайт стал работать стабильнее и быстрее.

Если бы программисты строили дома: полный вариант

1.03. Ура! Hам предложили крупный контракт на постройку 12-этажного жилого дома. У всех бурный энтузиазм. Выпили на радостях 2 ящика пива.

2.03. Заказчику не нравится выражение «как только, так сразу».
Требует назвать конкретные сроки. Темный народ эти заказчики, ничего не смыслят в высоких технологиях.

3.03. Обсуждали сроки. Выпили 3 ящика пива. Петрович говорит, что тут всей работы на 4 месяца. Значит, на самом деле 8. В итоге в контракте записали 12, хотя раньше, чем за 16, вряд ли управимся.

4.03. Отмечаем подписание контракта.

5.03. Отмечаем подписание контракта.

6.03. Петрович пошел сдавать бутылки.

7.03. Продолжаем отмечать подписание контракта на деньги, вырученные Петровичем.

8.03. Отмечаем 8 марта. Женщин у нас в фирме нет, так что праздник никто не портил.

9.03. Долго вспоминали, что же мы отмечали вчера. Пришел Алекс, сказал, что пора бы начинать работать. Послали. Играем в Quake.

1.04. Пришел Сидоров и сказал, что пора начинать работать. Кого он хочет наколоть своими первоапрельскими шуточками?

2.04. Петрович тоже говорит, что пора начинать работать. Сговорились они, что ли? Обнесли площадку забором и повесили красивые плакаты. С чувством выполненного долга играем в Quake.

20.04. Пришел заказчик, интересовался, как дела. Посадили его за компьютер с Quake\’ом и позволили нас всех обыграть. Ушел очень довольный. Однако пора, кажется, и впрямь начинать работать.

21.04. Обсуждали проект. Сидоров предлагает крупноблочную архитектуру. Петрович говорит, что блоки громоздкие, плохо стыкуются друг с другом, содержат много лишнего и вообще еще неизвестно, какие у них там внутри трещины. Заявляет, что из блоков строят только законченные ламеры. Hастаивает, что все надо строить по старинке, из кирпича, хоть это
и намного дольше. Самый радикальный проект предложил Алекс. Он говорит, что вообще не нужно строить 12-этажный дом, а нужно построить несколько десятков деревянных коттеджей и соединить их подземными туннелями. Дескать, на Западе сейчас так модно. Hапомнили ему, что заказчик требует именно 12-этажный дом. Он отбивался и кричал, что заказчики тупы по определению, и слушают их только законченные ламеры. В самый интересный момент дискуссии кончилось пиво. Решили продолжить завтра.

22.04. Пытались решить вопрос дуэлью в Quake. Алекса с его коттеджами завалили сразу, но между Петровичем и Сидоровым вышла ничья. В итоге каждый будет строить по своему плану, а потом попытаемся все это соединить, чтоб не рухнуло.

23.04. Hачали строить. У всех бурный энтузиазм.

30.04. Первый этаж готов! Показали его заказчику. Он интересовался, почему в разных комнатах разная высота потолков, почему из стен вываливаются кирпичи и почему в доме нет подъезда, а влезать приходится через окно. Объяснили ему, что это специальные ограничения
демо-версии. Уходим на праздники, гордые собой.

10.05. Петрович протрезвел первым и долго ругался. Мы думали, что Алекс выпил все пиво. Оказалось, все еще хуже: Петрович вспомнил, что мы забыли про фундамент. В проекте он, конечно, описан, но ведь документацию читают только ламеры.

11.05. Ломали первый этаж. Обидно, блин. С другой стороны, хорошо, что раньше работать не начали, а то бы сколько труда насмарку.

11.07. Работаем. Петрович достраивает второй этаж, Сидоров — пятый. Алекс отгрохал шахту лифта до девятого этажа, она теперь торчит над всей конструкцией и в сильный ветер подозрительно качается. Временно поставили деревянные подпорки.

17.07. Алекс строит чердак и крышу. Поскольку верхних этажей еще нет, строить приходится на земле. Потом поднимем краном. По крайней мере, Алекс на это надеется.

13.08. У Сидорова не стыкуются панели. Щель больше метра. Панели подходящей формы, чтобы ее заткнуть, нет. Сидоров позвал Петровича и предложил заделать кирпичом. Петрович заявил, что у него своих дел по горло, и вообще, без знания внутренней архитектуры панелей ничего сделать нельзя.

14.08. Разломали несколько панелей, чтобы Петрович мог изучить внутреннюю архитектуру. Петрович ругается, кричит, что проектировщики панелей — полные ламеры.

17.08. Петрович заделал дыру. Правда, панели при этом перекосились, но это уже мелочи. Проводку из обеих панелей пришлось вывести наружу и связать узлом. Петрович замотал узел изолентой и уверяет, что будет работать, если только дождь не пойдет.

1.09. Стройкомбинат выпустил новую версию панелей, улучшенной прочности и утепленности, со встроенными стенными шкафами. Правда, ни по форме, ни по размеру они не совместимы с предыдущими и, кроме того, в три раза тяжелее. Сидоров рвется разломать все,
что мы уже сделали, и перестроить заново, с новыми панелями. Еле отговорили. Да и, в любом случае, фундамент такую тяжесть бы не выдержал. Hа какую архитектуру они вообще рассчитывают, эти комбинатские?

16.09. Прибежал Алекс, обуреваемый идеей. Предлагает сделать все окна в доме изменяемого размера. Говорит, заказчик будет тащиться. Сказали ему, чтоб не выпендривался.

2.10. Петрович добрался до пятого этажа. Горд собой. Обратили его внимание на тот факт, что его стена наклонена под углом 40 градусов. Он ругался, кричал, что мы ламеры и ничего не понимаем. Потом обещал подумать.

3.10. Приходил заказчик. Спросил, почему стена наклонена под углом 40 градусов. Объясняли ему про силу Кориолиса. Он все выслушал, потом сказал, что он, конечно, в строительном деле ничего не смыслит, но у него по соседству точно такой же дом, и там стена прямая. Блин. Hенавижу умных заказчиков. Потом этот идиот Алекс ляпнул при нем про свои изменяемые окна. Заказчик, естественно, загорелся и настаивает, чтоб делали именно так. Дважды блин.

4.10. Спросили Алекса, придется ли все разбирать ради его окон. Он уверяет, что нет — будто бы и у стандартных панелей есть такая недокументированная функция. Естественно, к кирпичной части дома это не относится. Петрович категорически против.

5.10. Петрович признал, что со стеной действительно имеется проблема. Говорит, что неправильно положил какой-то кирпич. Hо чтобы понять, какой именно, надо перебрать их все. Проще все снести и построить заново.

6.10. Убеждали Петровича, что построить все заново из кирпича он уже не успеет. Демонстрировали ему расчеты на калькуляторе. Петрович ругался, кричал, что калькулятор придумали ламеры. Потом все-таки согласился строить из панелей и ушел с горя в запой.

8.10. Ломали кирпичную часть. Попутно повредили панельную. Вся постройка скрипит и угрожающе шатается. Укрепили деревянными подпорками и пошли играть в Quake.

17.10. Петрович вышел из запоя. Работаем.

7.11. Празднуем 7-ое ноября — или как оно там теперь называется? Коммунистов у нас в фирме нет, так что праздник никто не портит.

15.11. Вспомнили, что у нас кран достает только до 8 этажа. Послали Сидорова доставать новый кран. Играем в Quake. Алекс замочил Петровича. Растет смена!

24.11. Вернулся Сидоров. Кран не достал, зато достал крутой экскаватор. Предлагает вырыть глубокую шахту и построить дом не в высоту, а в глубину. Говорит, что нигде в контракте не сказано, что 12 этажей должны быть над поверхностью. Еле отговорили.

25.11. Устроили мозговой штурм по проблеме крана. Hа последней бутылке пива нашли решение. Бросили основное строительство. Строим рядом 4-этажный дом. Потом втащим наш кран ему на крышу.

25.12. Празднуем католическое Рождество. Католиков у нас в фирме нет, так что праздник никто не портит.

14.01. Hичего не помню. Голова болит. Мужики, какой сейчас год?

2.02. Hу, кажется, наконец-то достраиваем 12-ый этаж. Завтра будем прилаживать сверху чердак и крышу, что соорудил Алекс.

3.02. Алекс — ламер. Крыша регулярно съезжает. Пока подперли краном. Думаем, что делать дальше.

4.02. Алекс доказывает, что он не виноват. Просто 12 этажей Сидорова на 4 метра выше и на 5 метров шире, чем 12 этажей Петровича. Выяснилось, что они строили из разных панелей. Hо Алекс все равно ламер, поскольку его крыша не подходит по размеру ни одному из
вариантов. Его шахта лифта, кстати, тоже.

5.02. Латали, укрепляли и наращивали крышу. Петрович говорит, что будет держаться, если снег не пойдет.

7.02. Снег пошел.

10.02. Соорудили крышу из фанеры, покрасили под жесть. Будем надеяться, заказчик не заметит.

11.02. Тестировали лифт. Его остановки приходятся между этажами, но выбраться из кабины можно. Hа четных этажах ползком, на нечетных — подтягиваясь. Hе забыть описать это в документации.

12.02. А вообще-то лифт ездит крайне медленно. Петрович ругает всех ламерами и собирается заняться оптимизацией.

13.02. Петрович оптимизировал лифт. Тот разогнался, пробил крышу и улетел в неизвестном направлении. Хорошо, что крыша фанерная, и чинить будет легко. После этого шахта лифта рухнула. Вспомнили, что так и не заменили деревянные подпорки на что-нибудь более прочное. Hичего. Ходить пешком полезно.

15.02. Идут отделочные работы. Почему-то куда-то исчезают маляры и штукатуры. Договорились, чтоб прислали еще.

17.02. Выяснилось, что из-за ошибки Сидорова двери на этажах со второго по шестой открываются только на вход. В результате на этих этажах скопилось множество маляров и штукатуров, которые не могут выйти обратно. Сидоров обещал все поправить. Пока кормим маляров и штукатуров через форточки.

20.02. Алекс, наконец, доделал свои изменяющиеся окна. Тестировали. Выяснилось, что при изменении размера окна в нем бьются стекла. Кроме того, наблюдается ряд побочных эффектов. Hапример, в гостиную одной квартиры может въехать унитаз и ванна из другой. Также иногда исчезают двери и осыпаются балконы. Жаловаться на стройкомбинат бесполезно — они скажут, что нечего пользоваться недокументированными функциями.

21.02. Приходил заказчик. Спрашивал, нельзя ли внести в проект небольшие изменения. В частности, вместо 12-этажного дома построить поселок из деревянных коттеджей, соединенных туннелями. Он прочитал, что на Западе сейчас так модно. Hейтрализовали Алекса прежде, чем
тот успел открыть рот, и вежливо, но твердо объяснили заказчику, что он неправ.

22.02. Балконы продолжают сыпаться, хотя изменяемые окна мы больше не трогали. Видимо, это какой-то независимый глюк. Какой, искать уже поздно, так что просто отодрали оставшиеся балконы от греха. Попробуем объяснить заказчику, что это сделано в целях оптимизации.

23.02. Праздновали 23 февраля. Военных у нас в фирме нет, так что праздник никто не портил. Женщин тоже нет, так что подарков нам никто не дарил. Обидно.

25.02. Алекс попытался доделать свои окна. В результате половина из них ужалась до нулевого размера и обратно не разворачивается. Сказали ему, чтоб больше не выпендривался, а то будет еще хуже.

27.02. Вспомнили, что так и забыли сделать подъезд. Размышляли, не рухнет ли дом, если прорубить его сейчас. Сидоров сказал, что лучше не рисковать. Петрович обозвал его ламером и согласился. Hе забыть описать в документации вход через окно как особенность дизайна.

1.03. К-как первое марта?! Откуда?! Вчера же еще… Блин. Кто ж знал, что в этом ламерском феврале 28 дней! Выходит, сдача объекта — не через неделю, а послезавтра?!

2.03. Аврал. Работаем 24 часа в сутки, не просыпаясь.

3.03. Убедили заказчика, что нам нужен еще день для финального тестирования. М-да, ну мы вчера и наработали… А в общем, не все так страшно. Hу что с того, что некоторые двери находятся в полу или в потолке, либо ведут с десятого этажа прямиком на улицу, в некоторые квартиры в принципе невозможно попасть, санузел кое-где совмещен с кухней, в половине дома нет воды, в другой половине — электричества, канализация обрывается на шестом этаже, а лестницу между восьмым и девятым пришлось сделать веревочной? Главное — провести заказчика правильным маршрутом. И еще — успеть до завтра развесить на месте исчезнувших окон картинки с изображением заоконных пейзажей…

4.03. Yes! Yes! Мы сделали это! Отмечаем сдачу объекта. Я пью мало, мне надо еще успеть уволиться, прежде чем эта хренотень рухнет …

Рабочие репозитории CentOS 7

Could not retrieve mirrorlist http://mirrorlist.centos.org/?release=7&arch=x86_64&repo=os&infra=stock error was
14: curl#6 - "Could not resolve host: mirrorlist.centos.org; Unknown error"

14: curl#6 - "Could not resolve host: mirrorlist.centos.org; Name or service not known"

Cannot find a valid baseurl for repo: base/7/x86_64

sed -i s/mirror.centos.org/vault.centos.org/g /etc/yum.repos.d/CentOS*.repo
sed -i s/^#.*baseurl=http/baseurl=http/g /etc/yum.repos.d/CentOS*.repo
sed -i s/^mirrorlist=http/#mirrorlist=http/g /etc/yum.repos.d/CentOS*.repo

[base]
name=CentOS-$releasever - Base
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os&infra=$infra
baseurl=http://vault.centos.org/centos/$releasever/os/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7

#released updates 
[updates]
name=CentOS-$releasever - Updates
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=updates&infra=$infra
baseurl=http://vault.centos.org/centos/$releasever/updates/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7

#additional packages that may be useful
[extras]
name=CentOS-$releasever - Extras
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=extras&infra=$infra
baseurl=http://vault.centos.org/centos/$releasever/extras/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7

#additional packages that extend functionality of existing packages
[centosplus]
name=CentOS-$releasever - Plus
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=centosplus&infra=$infra
baseurl=http://vault.centos.org/centos/$releasever/centosplus/$basearch/
gpgcheck=1
enabled=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7

Проблема с подписью репозитория MySQL Server 8.0 после 22.10.2025

sudo apt-key del B7B3 B788 A8D3 785C

cd /etc/apt/trusted.gpg.d
ls *.gpg
sudo rm mysql8.gpg

cd ~
gpg --keyserver keyserver.ubuntu.com --recv B7B3B788A8D3785C

gpg --export B7B3B788A8D3785C | sudo tee /etc/apt/trusted.gpg.d/mysql.gpg > /dev/null

sudo dpkg-reconfigure mysql-apt-config    

cd /etc/apt/sources.list.d/

sudo nano /etc/apt/sources.list.d/mysql.list

sudo apt update
sudo apt upgrade

 gpg --list-keys

Используем репозитории Яндекса для apt в Debian

Установка ONLYOFFICE Docs Community Edition на Debian 12

ONLYOFFICE Docs — это бесплатный программный офисный пакет и экосистема приложений для совместной работы.

Хоть и официальный мануал по установке достаточно хорошо читаем, я все же для себя детально по шагам разберу установку ONLYOFFICE Docs на Debian 12 и настройку связки с Nextcloud.

Установка зависимостей

Для установки пакета — ttf-mscorefonts-installer необходимо включение дополнительных Contrib и Non-Free репозиториев.

echo "deb http://deb.debian.org/debian/ bookworm contrib non-free" | tee -a /etc/apt/sources.list
sudo apt-get update

Устанавливаем необходимые зависимости.

sudo apt-get install libcurl4 libxml2 curl gnupg2 libstdc++6 fonts-dejavu fonts-liberation ttf-mscorefonts-installer fonts-crosextra-carlito fonts-takao-gothic fonts-opensymbol nginx-extras -y

RabbitMQ

RabbitMQ — это брокер сообщений с открытым исходным кодом, который реализует протокол AMQP (Advanced Message Queuing Protocol).

sudo apt-get install rabbitmq-server -y

PostgreSQL

Установите версию PostgreSQL.

sudo apt-get install postgresql -y

После установки PostgreSQL создайте базу данных и пользователя PostgreSQL.

sudo -Hiu postgres psql -c "CREATE USER onlyoffice WITH PASSWORD 'onlyoffice';"
sudo -Hiu postgres psql -c "CREATE DATABASE onlyoffice OWNER onlyoffice;"

Установка ONLYOFFICE Docs

Добавляем GPG-ключ.

mkdir -p -m 700 ~/.gnupg
curl -fsSL https://download.onlyoffice.com/GPG-KEY-ONLYOFFICE | gpg --no-default-keyring --keyring gnupg-ring:/tmp/onlyoffice.gpg --import
chmod 644 /tmp/onlyoffice.gpg
sudo chown root:root /tmp/onlyoffice.gpg
sudo mv /tmp/onlyoffice.gpg /usr/share/keyrings/onlyoffice.gpg

Добавляем репозиторий ONLYOFFICE Docs.

echo "deb [signed-by=/usr/share/keyrings/onlyoffice.gpg] https://download.onlyoffice.com/repo/debian squeeze main" | sudo tee /etc/apt/sources.list.d/onlyoffice.list

Устанавливаем ONLYOFFICE Docs.

apt-get update && apt-get install onlyoffice-documentserver -y

По адресу —  http://<server_name> доступна страница приветствия ONLYOFFICE Docs, где приводятся дальнейшие инструкции о том, как интегрировать ONLYOFFICE Docs в веб-приложения и как протестировать работу ONLYOFFICE Docs.

Настройка ONLYOFFICE Docs — HTTPS

Для последующей настройки связки с Nextcloud, необходимо настроить ONLYOFFICE Docs на работу по протоколу HTTPS. Выполним настройку.

Скопируем файл ds-ssl.conf.tmpl в файл ds.conf с помощью следующей команды

cp -f /etc/onlyoffice/documentserver/nginx/ds-ssl.conf.tmpl /etc/onlyoffice/documentserver/nginx/ds.conf

Зададим параметры для конфигурации ds.conf

• SERVERNAME — Указываем DNS имя вашего экземпляра ONLYOFFICE Docs.
• SSL_CERT — Путь к файлу сертификата.
• SSL_PKEY — Путь к файлу закрытого ключа сертификата.

export SERVERNAME=<dns_server_name>
export SSL_CERT=/etc/ssl/fullchain.crt
export SSL_PKEY=/etc/ssl/privkey.key

openssl req -new -x509 -nodes -days 1825 -newkey rsa:2048 -keyout $SSL_PKEY -out $SSL_CERT
sed -i "s/server_name _;/server_name $SERVERNAME;/g; s|{{SSL_CERTIFICATE_PATH}}|$SSL_CERT|g; s|{{SSL_KEY_PATH}}|$SSL_PKEY|g" /etc/onlyoffice/documentserver/nginx/ds.conf

Запустим следующий скрипт, для того чтобы внести необходимые правки в файл ds.conf

bash /usr/bin/documentserver-update-securelink.sh

Проверим статус службы и состояние сервера:

systemctl status ds-docservice
systemctl status ds-converter

bash /usr/bin/documentserver-jwt-status.sh
Your JWT settings:
JWT enabled -  true
JWT secret  -  TuFVcNHa2YJzBciUh6lXqIbFAnTM5HpR
JWT header  -  Authorization

Настройка ONLYOFFICE Docs в Nextcloud

Теперь можно использовать сервер ONLYOFFICE Docs в Nextcloud.

Где:

• Адрес ONLYOFFICE Docs — указываем DNS имя сервера которое задавали в файле ds.conf в директиве server_name
• Секретный ключ — указываем secret полученный при выполнении /usr/bin/documentserver-jwt-status.sh

Дополнительно (дополняемая)

Ниже буду дописывать какие то моменты которые могут пригодится в обслуживании ONLYOFFICE Docs.

Как изменить секретный ключ

В файле /etc/onlyoffice/documentserver/local.json в секциях secret — {inbox, outbox, session} в полях string указываем желаемый секретный ключ (должен быть одинаковый во всех трех строках).

  "secret": {
    "inbox": {
      "string": "DbNCGPIT9Vqv53hmuAMuMIhl9m8PsEAiey54u7zX"
    },
    "outbox": {
      "string": "DbNCGPIT9Vqv53hmuAMuMIhl9m8PsEAiey54u7zX"
    },
    "session": {
      "string": "DbNCGPIT9Vqv53hmuAMuMIhl9m8PsEAiey54u7zX"
    }

После внесения изменений, необходимо перезапустить службу ds-docservice

systemctl restart ds-docservice

Корректное отключение пользователей ONLYOFFICE Docs

Чтобы избежать потери данных, при необходимости остановить ONLYOFFICE Docs в случаях обновления приложения, перезагрузки сервера и т.п. необходимо принудительно отключить пользователей ONLYOFFICE Docs.

bash /usr/bin/documentserver-prepare4shutdown.sh

Чтобы все заработало обратно, в случае если не было перезагрузки системы, то просто перезапускаем службы ONLYOFFICE Docs.

systemctl restart ds-docservice
systemctl restart ds-converter

Отключение страницы приветствия

Если необходимо отключить страницу приветствия, то нужно в файле — /etc/onlyoffice/documentserver/nginx/includes/ds-docservice.conf закоментировать отмеченную строку и добавить ниже следующие:

#welcome page
#rewrite ^/$ $the_scheme://$the_host$the_prefix/welcome/ redirect;
rewrite ^/welcome $the_scheme://$the_host redirect;

location = / {
  return 404;
}

После внесения изменений, перезапускаем nginx — systemctl reload nginx

NginX выдает ошибку HTTP 500 через 60 секунд, несмотря на конфигурацию.

<?php sleep(70); die( 'Hello World' ); ?>

sudo echo ' include=/usr/local/php/php-fpm.d/*.conf ' >> /usr/local/php/etc/php-fpm.conf в sudo echo ' include=/usr/local/php/php-fpm.d/*.conf ' >> /usr/local/php/etc/php-fpm.conf

sudo echo '[www] request_terminate_timeout = 120s request_slowlog_timeout = 60s slowlog = /var/log/php-fpm-slow.log ' > /usr/local/php/php-fpm.d/timeouts.conf

# Create a global tweaks sudo echo '[global] error_log = /var/log/php-fpm.log emergency_restart_threshold = 10 emergency_restart_interval = 2m process_control_timeout = 10s ' > /usr/local/php/php-fpm.d/global-tweaks.conf

# Log PHP Errors sudo echo '[PHP] log_errors = on error_log = /var/log/php.log ' > /usr/local/php/conf.d/errors.ini sudo echo '[PHP] post_max_size=32M upload_max_filesize=32M max_execution_time = 360 default_socket_timeout = 360 mysql.connect_timeout = 360 max_input_time = 360 ' > /usr/local/php/conf.d/filesize.ini

client_max_body_size 200; client_header_timeout 360; client_body_timeout 360; fastcgi_read_timeout 360; keepalive_timeout 360; proxy_ignore_client_abort on; send_timeout 360; lingering_timeout 360;

fastcgi_read_timeout 360; fastcgi_send_timeout 360; fastcgi_connect_timeout 1200;

<?php file_put_contents('/www/log.log', 'My first data'); sleep(70); file_put_contents('/www/log.log','The sleep has passed'); die('Hello World after sleep'); ?>

Работа с mdadm в Linux для организации RAID

mdadm — утилита для работы с программными RAID-массивами различных уровней. В данной инструкции рассмотрим примеры ее использования.

Установка mdadm

Утилита mdadm может быть установлена одной командой.

Если используем CentOS / Red Hat:

yum install mdadm

Если используем Ubuntu / Debian:

apt-get install mdadm

Сборка RAID

Перед сборкой, стоит подготовить наши носители. Затем можно приступать к созданию рейд-массива.

Подготовка носителей

Сначала необходимо занулить суперблоки на дисках, которые мы будем использовать для построения RAID (если диски ранее использовались, их суперблоки могут содержать служебную информацию о других RAID):

mdadm --zero-superblock --force /dev/sd{b,c}

* в данном примере мы зануляем суперблоки для дисков sdb и sdc.

Посмотреть, какие в вашей системе есть устройства можно командой:

lsblk

Если мы получили ответ:

mdadm: Unrecognised md component device - /dev/sdb
mdadm: Unrecognised md component device - /dev/sdc

… то значит, что диски не использовались ранее для RAID. Просто продолжаем настройку.

Далее нужно удалить старые метаданные и подпись на дисках:

wipefs --all --force /dev/sd{b,c}

Создание рейда

Для сборки избыточного массива применяем следующую команду:

mdadm --create --verbose /dev/md0 -l 1 -n 2 /dev/sd{b,c}

* где:

• /dev/md0 — устройство RAID, которое появится после сборки; 
• -l 1 — уровень RAID; 
• -n 2 — количество дисков, из которых собирается массив; 
• /dev/sd{b,c} — сборка выполняется из дисков sdb и sdc.

Мы должны увидеть что-то на подобие:

mdadm: Note: this array has metadata at the start and
may not be suitable as a boot device.  If you plan to
store '/boot' on this device please ensure that
your boot-loader understands md/v1.x metadata, or use
--metadata=0.90
mdadm: size set to 1046528K

Также система задаст контрольный вопрос, хотим ли мы продолжить и создать RAID — нужно ответить y:

Continue creating array? y

Мы увидим что-то на подобие:

mdadm: Defaulting to version 1.2 metadata
mdadm: array /dev/md0 started.

Вводим команду:

lsblk

… и находим информацию о том, что у наших дисков sdb и sdc появился раздел md0, например:

...
sdb                     8:16   0    2G  0 disk
??md0                   9:0    0    2G  0 raid1
sdc                     8:32   0    2G  0 disk
??md0                   9:0    0    2G  0 raid1
...

* в примере мы видим собранный raid1 из дисков sdb и sdc.

Создание файла mdadm.conf

В файле mdadm.conf находится информация о RAID-массивах и компонентах, которые в них входят. Для его создания выполняем следующие команды:

mkdir /etc/mdadm

echo "DEVICE partitions" > /etc/mdadm/mdadm.conf

mdadm --detail --scan --verbose | awk '/ARRAY/ {print}' >> /etc/mdadm/mdadm.conf

Пример содержимого:

DEVICE partitions
ARRAY /dev/md0 level=raid1 num-devices=2 metadata=1.2 name=proxy.dmosk.local:0 UUID=411f9848:0fae25f9:85736344:ff18e41d

* в данном примере хранится информация о массиве /dev/md0 — его уровень 1, он собирается из 2-х дисков.

Создание файловой системы и монтирование массива

Создание файловой системы для массива выполняется также, как для раздела, например:

mkfs.ext4 /dev/md0

* данной командой мы создаем на md0 файловую систему ext4.

или:

mkfs.xfs /dev/md0

* для файловой системы xfs.

Примонтировать раздел можно командой:

mount /dev/md0 /mnt

* в данном случае мы примонтировали наш массив в каталог /mnt.

Чтобы данный раздел также монтировался при загрузке системы, добавляем в fstab.

Сначала смотрим идентификатор раздела:

blkid

Мы увидим что-то на подобие:

/dev/md0: UUID="ffa7c082-7613-4dbc-ae62-3f5508652cf6" TYPE="ext4"

* в моем примере мы будем использовать идентификатор ffa7c082-7613-4dbc-ae62-3f5508652cf6.

Открываем теперь fstab и добавляем строку:

vi /etc/fstab

UUID="ffa7c082-7613-4dbc-ae62-3f5508652cf6"    /mnt    ext4    defaults    0 0

Если ранее мы монтировали раздел в каталог /mnt, вводим:

umount /mnt

И после:

mount -a

Мы должны увидеть примонтированный раздел md, например:

df -h

/dev/md0               990M         2,6M  921M            1% /mnt

Информация о RAID

Посмотреть состояние всех RAID можно командой:

cat /proc/mdstat

В ответ мы получим что-то на подобие:

md0 : active raid1 sdc[1] sdb[0]
1046528 blocks super 1.2 [2/2] [UU]

* где md0 — имя RAID устройства; raid1 sdc[1] sdb[0] — уровень избыточности и из каких дисков собран; 1046528 blocks — размер массива; [2/2] [UU] — количество юнитов, которые на данный момент используются.
** мы можем увидеть строку md0 : active(auto-read-only) — это означает, что после монтирования массива, он не использовался для записи.

Подробную информацию о конкретном массиве можно посмотреть командой:

mdadm -D /dev/md0

* где /dev/md0 — имя RAID устройства.

Пример ответа:

           Version : 1.2
Creation Time : Wed Mar  6 09:41:06 2019
Raid Level : raid1
Array Size : 1046528 (1022.00 MiB 1071.64 MB)
Used Dev Size : 1046528 (1022.00 MiB 1071.64 MB)
Raid Devices : 2
Total Devices : 2
Persistence : Superblock is persistent

Update Time : Wed Mar  6 09:41:26 2019
State : clean
Active Devices : 2
Working Devices : 2
Failed Devices : 0
Spare Devices : 0

Consistency Policy : resync

Name : proxy.dmosk.local:0  (local to host proxy.dmosk.local)
UUID : 304ad447:a04cda4a:90457d04:d9a4e884
Events : 17

Number   Major   Minor   RaidDevice State
0       8       16        0      active sync   /dev/sdb
1       8       32        1      active sync   /dev/sdc

* где:

• Version — версия метаданных.
• Creation Time — дата в время создания массива.
• Raid Level — уровень RAID.
• Array Size — объем дискового пространства для RAID.
• Used Dev Size — используемый объем для устройств. Для каждого уровня будет индивидуальный расчет: RAID1 — равен половине общего размера дисков, RAID5 — равен размеру, используемому для контроля четности.
• Raid Devices — количество используемых устройств для RAID.
• Total Devices — количество добавленных в RAID устройств.
• Update Time — дата и время последнего изменения массива.
• State — текущее состояние. clean — все в порядке.
• Active Devices — количество работающих в массиве устройств.
• Working Devices — количество добавленных в массив устройств в рабочем состоянии.
• Failed Devices — количество сбойных устройств.
• Spare Devices — количество запасных устройств.
• Consistency Policy — политика согласованности активного массива (при неожиданном сбое). По умолчанию используется resync — полная ресинхронизация после восстановления. Также могут быть bitmap, journal, ppl.
• Name — имя компьютера.
• UUID — идентификатор для массива.
• Events — количество событий обновления.
• Chunk Size (для RAID5) — размер блока в килобайтах, который пишется на разные диски.

Подробнее про каждый параметр можно прочитать в мануале для mdadm:

man mdadm

Также, информацию о разделах и дисковом пространстве массива можно посмотреть командой fdisk:

fdisk -l /dev/md0

Проверка целостности

Для проверки целостности вводим:

echo 'check' > /sys/block/md0/md/sync_action

Результат проверки смотрим командой:

cat /sys/block/md0/md/mismatch_cnt

* если команда возвращает 0, то с массивом все в порядке.

Остановка проверки:

echo 'idle' > /sys/block/md0/md/sync_action

Восстановление RAID

Рассмотрим два варианта восстановлении массива.

Замена диска

В случае выхода из строя одного из дисков массива, команда cat /proc/mdstat покажет следующее:

cat /proc/mdstat

Personalities : [raid1]
md0 : active raid1 sdb[0]
1046528 blocks super 1.2 [2/1] [U_]

* о наличии проблемы нам говорит нижнее подчеркивание вместо U — [U_] вместо [UU].

Или:

mdadm -D /dev/md0

...
Update Time : Thu Mar  7 20:20:40 2019
State : clean, degraded
...

* статус degraded говорит о проблемах с RAID.

Для восстановления, сначала удалим сбойный диск, например:

mdadm /dev/md0 --remove /dev/sdc

Если нам нужно заменить диск, но при этом он в mdadm имеет рабочее состояние, мы получим ошибку:

... device or resource busy

Сначала, нам нужно пометить диск как сбойный:

mdadm /dev/md0 --manage --fail /dev/sdc

* в данном примере диск sdb массива md0 будет помечен сбойным.

Теперь удаляем:

mdadm /dev/md0 --remove /dev/sdc

Теперь добавим новый:

mdadm /dev/md0 --add /dev/sde

Смотрим состояние массива:

mdadm -D /dev/md0

...
Update Time : Thu Mar  7 20:57:13 2019
State : clean, degraded, recovering
...
Rebuild Status : 40% complete
...

* recovering говорит, что RAID восстанавливается; Rebuild Status — текущее состояние восстановления массива (в данном примере он восстановлен на 40%).

Если синхронизация выполняется слишком медленно, можно увеличить ее скорость. Для изменения скорости синхронизации вводим:

echo '10000' > /proc/sys/dev/raid/speed_limit_min

* по умолчанию скорость speed_limit_min = 1000 Кб, speed_limit_max — 200000 Кб. Для изменения скорости, можно поменять только минимальную.

Пересборка массива

Если нам нужно вернуть ранее разобранный или развалившийся массив из дисков, которые уже входили в состав RAID, вводим:

mdadm --assemble --scan

* данная команда сама найдет необходимую конфигурацию и восстановит RAID.

Также, мы можем указать, из каких дисков пересобрать массив:

mdadm --assemble /dev/md0 /dev/sdb /dev/sdc

Запасной диск (Hot Spare)

Если в массиве будет запасной диск для горячей замены, при выходе из строя одного из основных дисков, его место займет запасной.

Диском Hot Spare станет тот, который просто будет добавлен к массиву:

mdadm /dev/md0 --add /dev/sdd

Информация о массиве изменится, например:

mdadm -D /dev/md0

...
Number   Major   Minor   RaidDevice State
0       8       16        0      active sync   /dev/sdb
2       8       48        1      active sync   /dev/sdc

3       8       32        -      spare   /dev/sdd

Проверить работоспособность резерва можно вручную, симулировав выход из строя одного из дисков:

mdadm /dev/md0 --fail /dev/sdb

И смотрим состояние:

mdadm -D /dev/md0

...
Rebuild Status : 37% complete
...
Number   Major   Minor   RaidDevice State
3       8       32        0      spare rebuilding   /dev/sdd
2       8       48        1      active sync   /dev/sdc

0       8       16        -      faulty   /dev/sdb
...

* как видим, начинается ребилд. На замену вышедшему из строя sdb встал hot-spare sdd.

Добавить диск к массиву

В данном примере рассмотрим вариант добавления активного диска к RAID, который будет использоваться для работы, а не в качестве запасного.

Добавляем диск к массиву:

mdadm /dev/md0 --add /dev/sde

Новый диск мы увидим в качестве spare:

4       8       16        -      spare   /dev/sde

Теперь расширяем RAID:

mdadm -G /dev/md0 --raid-devices=3

* в данном примере подразумевается, что у нас RAID 1 и мы добавили к нему 3-й диск.

Удаление массива

Если нам нужно полностью разобрать RAID, сначала размонтируем и остановим его:

umount /mnt

* где /mnt — каталог монтирования нашего RAID.

Если мы получим ошибку umount: /mnt: target is busy, то смотрим пользовательские процессы, которые мешают отмонтировать раздел:

fuser -vm /mnt

И останавливаем их.

mdadm -S /dev/md0

* где /dev/md0 — массив, который мы хотим разобрать.

Если мы получим ошибку mdadm: fail to stop array /dev/md0: Device or resource busy, с помощью команды

lsof -f -- /dev/md0

… смотрим процессы, которые используют раздел и останавливаем их.

Затем очищаем суперблоки на всех дисках, из которых он был собран:

mdadm --zero-superblock /dev/sdb

mdadm --zero-superblock /dev/sdc

mdadm --zero-superblock /dev/sdd

* где диски /dev/sdb, /dev/sdc, /dev/sdd были частью массива md0.

А также удаляем метаданные и подпись:

wipefs --all --force /dev/sd{b,c,d}

Как работать с LVM

В статье описаны основные моменты использования LVM для организации дисковой системы в Linux. Она поможет как чайникам разобраться с принципами ее работы, так и уже знающим LVM в качестве шпаргалки.

Используемые команды одинаково подойдут как для систем Red Hat / CentOS, так и Debian / Ubuntu.

Уровни абстракции

Работа с томами с помощью LVM происходит на 3-х уровнях абстракции:

1. Физический уровень (PV). Сначала диск инициализируется командой pvcreate — в начале диска создается дескриптор группы томов. При этом важно заметить, что диск не обязательно должен быть физическим — мы можно отметить на использование обычный раздел диска.
2. Группа томов (VG). С помощью команды vgcreate создается группа томов из инициализированных на предыдущем этапе дисков.
3. Логический том (LV). Группы томов нарезаются на логические тома командой lvcreate.

Схематично, уровни можно представить так:

Установка

Для работы с LVM необходима установка одноименной утилиты. В системе Linux  она может быть установлена по умолчанию. Но если ее нет, выполняем инструкцию ниже.

Если используем системы на безе deb (Ubuntu, Debian, Mint):

apt-get install lvm2

Если используем системы на безе RPM (Red Hat, CentOS, Fedora):

yum install lvm2

Создание разделов

Рассмотрим пример создания томов из дисков sdb и sdc с помощью LVM.

1. Инициализация

Помечаем диски, что они будут использоваться для LVM:

pvcreate /dev/sdb /dev/sdc

* напомним, что в качестве примера нами используются диски sdb и sdc.

Посмотреть, что диск может использоваться LMV можно командой:

pvdisplay

В нашем случае мы должны увидеть что-то на подобие:

"/dev/sdb" is a new physical volume of "1,00 GiB"
--- NEW Physical volume ---
PV Name               /dev/sdb
VG Name
PV Size               1,00 GiB
Allocatable           NO
PE Size               0
Total PE              0
Free PE               0
Allocated PE          0
PV UUID               rR8qya-eJes-7AC5-wuxv-CT7a-o30m-bnUrWa

"/dev/sdc" is a new physical volume of "1,00 GiB"
--- NEW Physical volume ---
PV Name               /dev/sdc
VG Name
PV Size               1,00 GiB
Allocatable           NO
PE Size               0
Total PE              0
Free PE               0
Allocated PE          0
PV UUID               2jIgFd-gQvH-cYkf-9K7N-M7cB-WWGE-9dzHIY

* где 

• PV Name — имя диска. 
• VG Name — группа томов, в которую входит данный диск (в нашем случае пусто, так как мы еще не добавили его в группу).
• PV Size — размер диска.
• Allocatable — распределение по группам. Если NO, то диск еще не задействован и его необходимо для использования включить в группу.
• PE Size — размер физического фрагмента (экстента). Пока диск не добавлен в группу, значение будет 0.
• Total PE — количество физических экстентов.
• Free PE — количество свободных физических экстентов.
• Allocated PE — распределенные экстенты.
• PV UUID — идентификатор физического раздела.

2. Создание групп томов

Инициализированные на первом этапе диски должны быть объединены в группы.

Группа может быть создана:

vgcreate vg01 /dev/sdb /dev/sdc

* где vg01 — произвольное имя создаваемой группы; /dev/sdb, /dev/sdc — наши диски.

Просмотреть информацию о созданных группах можно командой:

vgdisplay

На что мы получим, примерно, следующее:

--- Volume group ---
VG Name               vg01
System ID
Format                lvm2
Metadata Areas        2
Metadata Sequence No  1
VG Access             read/write
VG Status             resizable
MAX LV                0
Cur LV                0
Open LV               0
Max PV                0
Cur PV                2
Act PV                2
VG Size               1,99 GiB
PE Size               4,00 MiB
Total PE              510
Alloc PE / Size       0 / 0
Free  PE / Size       510 / 1,99 GiB
VG UUID               b0FAUz-wlXt-Hzqz-Sxs4-oEgZ-aquZ-jLzfKz

* где:

• VG Name — имя группы.
• Format — версия подсистемы, используемая для создания группы.
• Metadata Areas — область размещения метаданных. Увеличивается на единицу с созданием каждой группы.
• VG Access — уровень доступа к группе томов.
• VG Size — суммарный объем всех дисков, которые входят в группу.
• PE Size — размер физического фрагмента (экстента).
• Total PE — количество физических экстентов.
• Alloc PE / Size — распределенное пространство: колическтво экстентов / объем.
• Free  PE / Size — свободное пространство: колическтво экстентов / объем.
• VG UUID — идентификатор группы.

3. Создание логических томов

Последний этап — создание логического раздела из группы томов командой lvcreate. Ее синтаксис:

lvcreate [опции] <имя группы томов>

Примеры создания логических томов:

lvcreate -L 1G vg01

* создание тома на 1 Гб из группы vg01.

lvcreate -L50 -n lv01 vg01

* создание тома с именем lv01 на 50 Мб из группы vg01.

lvcreate -l 40%VG vg01

* при создании тома используется 40% от дискового пространства группы vg01.

lvcreate -l 100%FREE -n lv01 vg01

* использовать все свободное пространство группы vg01 при создании логического тома.
* также можно использовать %PVS — процент места от физического тома (PV); %ORIGIN — размер оригинального тома (применяется для снапшотов).

Посмотрим информацию о созданном томе:

lvdisplay

  --- Logical volume ---
LV Path                /dev/vg01/lv01
LV Name                lv01
VG Name                vg01
LV UUID                4nQ2rp-7AcZ-ePEQ-AdUr-qcR7-i4rq-vDISfD
LV Write Access        read/write
LV Creation host, time vln.dmosk.local, 2019-03-18 20:01:14 +0300
LV Status              available
# open                 0
LV Size                52,00 MiB
Current LE             13
Segments               1
Allocation             inherit
Read ahead sectors     auto
- currently set to     8192
Block device           253:2

* где:

• LV Path — путь к устройству логического тома.
• LV Name — имя логического тома.
• VG Name — имя группы томов.
• LV UUID — идентификатор.
• LV Write Access — уровень доступа.
• LV Creation host, time — имя компьютера и дата, когда был создан том.
• LV Size — объем дискового пространства, доступный для использования.
• Current LE — количество логических экстентов.

Создание файловой системы и монтирование тома

Чтобы начать использовать созданный том, необходимо его отформатировать, создав файловую систему и примонтировать раздел в каталог.

Файловая система

Процесс создания файловой системы на томах LVM ничем не отличается от работы с любыми другими разделами.

Например, для создания файловой системы ext4 вводим:

mkfs.ext4 /dev/vg01/lv01

* vg01 — наша группа томов; lv01 — логический том.

Для создания, например, файловой системы xfs вводим:

mkfs.xfs /dev/vg01/lv01

Монтирование

Как и в случае с файловой системой, процесс монтирования не сильно отличается от разделов, созданных другими методами.

Для разового монтирования пользуемся командой:

mount /dev/vg01/lv01 /mnt

* где /dev/vg01/lv01 — созданный нами логический том, /mnt — раздел, в который мы хотим примонтировать раздел.

Для постоянного монтирования раздела добавляем строку в fstab:

vi /etc/fstab
/dev/vg01/lv01  /mnt    ext4    defaults        1 2

* в данном примере мы монтируем при загрузке системы том /dev/vg01/lv01 в каталог /mnt; используется файловая система ext4.

Проверяем настройку fstab, смонтировав раздел:

mount -a

Проверяем, что диск примонтирован:

df -hT

Просмотр информации

Разберемся, как получить информацию о дисковых накопителях в системе.

1. Для общего представления дисков, разделов и томов вводим:

lsblk

Мы получим что-то на подобие:

NAME             MAJ:MIN RM  SIZE RO TYPE MOUNTPOINT
sda                8:0    0   30G  0 disk
sda1             8:1    0    1G  0 part /boot
sda2             8:2    0   29G  0 part
sys-root     253:0    0   27G  0 lvm  /
sys-swap     253:1    0    2G  0 lvm  [SWAP]
sdb                8:16   0    1G  0 disk
vg01-lv01-real 253:3    0    1G  0 lvm
vg01-lv01    253:2    0    1G  0 lvm  /mnt
vg01-sn01    253:5    0    1G  0 lvm
sdc                8:32   0    1G  0 disk
vg01-lv01-real 253:3    0    1G  0 lvm
vg01-lv01    253:2    0    1G  0 lvm  /mnt
vg01-sn01    253:5    0    1G  0 lvm
vg01-sn01-cow  253:4    0  500M  0 lvm
vg01-sn01    253:5    0    1G  0 lvm
sdd                8:48   0    1G  0 disk

* как видим, команда отображает корневое блочное устройство, какие разделы из него сделаны и в какие логические тома организованы из некоторых из разделов.

2. Получить информацию о проинициализированных для LVM дисков:

Кратко:

pvs

Подробно:

pvdisplay

pvdisplay /dev/sdb

3. Посмотреть информацию о группах LVM.

Кратко:

vgs

Подробно:

vgdisplay

vgdisplay vg01

4. Посмотреть информацию о логических томах можно также двумя способами — краткая информация:

lvs

* команда покажет все логические разделы.

Для более подробной информации о логических томах вводим:

lvdisplay

lvdisplay /dev/vg01/lv01

5. Для поиска всех устройств, имеющих отношение к LVM, вводим:

lvmdiskscan

Увеличение томов

Увеличение размера тома может выполняться с помощью добавления еще одного диска или при увеличении имеющихся дисков (например, увеличение диска виртуальной машины). Итак, процедура выполняется в 4 этапа:

1. Расширение физического тома

Расширение физического раздела можно сделать за счет добавление нового диска или увеличение дискового пространства имеющегося (например, если диск виртуальный).

а) Если добавляем еще один диск.

Инициализируем новый диск:

pvcreate /dev/sdd

* в данном примере мы инициализировали диск sdd.

Проверяем объем физического тома:

pvdisplay

б) Если увеличиваем дисковое пространство имеющегося диска.

Увеличиваем размер физического диска командой:

pvresize /dev/sda

* где /dev/sda — диск, который был увеличен.

Проверяем объем физического тома:

pvdisplay

2. Добавление нового диска к группе томов

Независимо от способа увеличения физического тома, расширяем группу томов командой:

vgextend vg01 /dev/sdd

* данная команда расширит группу vg01 за счет добавленого или расширенного диска sdd.

Результат можно увидеть командой:

vgdisplay

3. Увеличение логического раздела

Выполняется одной командой.

а) все свободное пространство:

lvextend -l +100%FREE /dev/vg01/lv01

* данной командой мы выделяем все свободное пространство группы томов vg01 разделу lv01.

Также можно использовать опцию -r, которая укажет программе сразу расширить файловую систему:

lvextend -r -l +100%FREE /dev/vg01/lv01

б) определенный объем:

lvextend -L+30G /dev/vg01/lv01

* данной командой мы добавляем 30 Гб от группы томов vg01 разделу lv01.

в) до нужного объема:

lvextend -L500G /dev/vg01/lv01

* данной командой мы доводим наш раздел до объема в 500 Гб.

Результат можно увидеть командой:

lvdisplay

Обратить внимание нужно на опцию LV Size:

...
LV Status              available
# open                 1
LV Size                <2,99 GiB
Current LE             765
...

4. Увеличение размера файловой системы

Чтобы сама система увидела больший объем дискового пространства, необходимо увеличить размер файловой системы.

Посмотреть используемую файловую систему:

df -T

Для каждой файловой системы существуют свои инструменты.

ext2/ext3/ext4:

resize2fs /dev/vg01/lv01

XFS:

xfs_growfs /dev/vg01/lv01

Reiserfs:

resize_reiserfs /dev/vg01/lv01

Уменьшение томов

LVM также позволяет уменьшить размер тома. Для этого необходимо выполнить его отмонтирование, поэтому для уменьшения системного раздела безопаснее всего загрузиться с Linux LiveCD. Далее выполняем инструкцию ниже.

Отмонтируем раздел, который нужно уменьшить:

umount /mnt

Выполняем проверку диска:

e2fsck -fy /dev/vg01/lv01

Уменьшаем размер файловой системы:

resize2fs /dev/vg01/lv01 500M

Уменьшаем размер тома:

lvreduce -L-500 /dev/vg01/lv01

На предупреждение системы отвечаем y:

  WARNING: Reducing active logical volume to 524,00 MiB.
THIS MAY DESTROY YOUR DATA (filesystem etc.)
Do you really want to reduce vg01/lv01? [y/n]: y

Готово.

Удаление томов

Если необходимо полностью разобрать LVM тома, выполняем следующие действия.

Отмонтируем разделы:

umount /mnt

* где /mnt — точка монтирования для раздела.

Удаляем соответствующую запись из fstab (в противном случае наша система может не загрузиться после перезагрузки):

vi /etc/fstab

#/dev/vg01/lv01  /mnt    ext4    defaults        1 2

* в данном примере мы не удалили, а закомментировали строку монтирования диска.

Смотрим информацию о логичеких томах:

lvdisplay

Теперь удаляем логический том:

lvremove /dev/vg01/lv01

На вопрос системы, действительно ли мы хотим удалить логических том, отвечаем да (y):

Do you really want to remove active logical volume vg01/lv01? [y/n]: y

* если система вернет ошибку Logical volume contains a filesystem in use, необходимо убедиться, что мы отмонтировали том.

Смотрим информацию о группах томов:

vgdisplay

Удаляем группу томов:

vgremove vg01

Убираем пометку с дисков на использование их для LVM:

pvremove /dev/sd{b,c,d}

* в данном примере мы деинициализируем диски /dev/sdb, /dev/sdc, /dev/sdd.

В итоге мы получим:

Labels on physical volume "/dev/sdb" successfully wiped.
Labels on physical volume "/dev/sdc" successfully wiped.
Labels on physical volume "/dev/sdd" successfully wiped.

Создание зеркала

С помощью LVM мы может создать зеркальный том — данные, которые мы будем на нем сохранять, будут отправляться на 2 диска. Таким образом, если один из дисков выходит из строя, мы не потеряем свои данные.

Зеркалирование томов выполняется из группы, где есть, минимум, 2 диска.

1. Сначала инициализируем диски:

pvcreate /dev/sd{d,e}

* в данном примере sdd и sde.

2. Создаем группу:

vgcreate vg02 /dev/sd{d,e}

3. Создаем зеркальный том:

lvcreate -L200 -m1 -n lv-mir vg02

* мы создали том lv-mir на 200 Мб из группы vg02.

В итоге:

lsblk

… мы увидим что-то на подобие:

sdd                       8:16   0    1G  0 disk
vg02-lv--mir_rmeta_0  253:2    0    4M  0 lvm
vg02-lv--mir        253:6    0  200M  0 lvm
vg02-lv--mir_rimage_0 253:3    0  200M  0 lvm
vg02-lv--mir        253:6    0  200M  0 lvm
sde                       8:32   0    1G  0 disk
vg02-lv--mir_rmeta_1  253:4    0    4M  0 lvm
vg02-lv--mir        253:6    0  200M  0 lvm
vg02-lv--mir_rimage_1 253:5    0  200M  0 lvm
vg02-lv--mir        253:6    0  200M  0 lvm

* как видим, на двух дисках у нас появились разделы по 200 Мб.

Работа со снапшотами

Снимки диска позволят нам откатить состояние на определенный момент. Это может послужить быстрым вариантом резервного копирования. Однако нужно понимать, что данные хранятся на одном и том же физическом носителе, а значит, данный способ не является полноценным резервным копированием.

Создание снапшотов для тома, где уже используется файловая система XFS, имеет некоторые нюансы, поэтому разберем разные примеры.

Создание для не XFS:

lvcreate -L500 -s -n sn01 /dev/vg01/lv01

* данная команда помечает, что 500 Мб дискового пространства устройства /dev/vg01/lv01 (тома lv01 группы vg01) будет использоваться для snapshot (опция -s).

Создание для XFS:

xfs_freeze -f /mnt; lvcreate -L500 -s -n sn01 /dev/vg01/lv01; xfs_freeze -u /mnt

* команда xfs_freeze замораживает операции в файловой системе XFS.

Посмотрим список логических томов:

lvs

Получим что-то на подобие:

LV   VG   Attr       LSize   Pool Origin Data%  Meta%  Move Log Cpy%Sync Convert
lv01 vg01 owi-aos---   1,00g
sn01 vg01 swi-a-s--- 500,00m      lv01   2,07

* поле Origin показывает, к какому оригинальному логическому тому относится LV, например, в данной ситуации наш раздел для снапшотов относится к lv01.

Также можно посмотреть изменения в томах командой:

lsblk

Мы должны увидеть что-то подобное:

sdc                8:32   0    1G  0 disk
vg01-lv01-real 253:3    0    1G  0 lvm
vg01-lv01    253:2    0    1G  0 lvm  /mnt
vg01-sn01    253:5    0    1G  0 lvm
vg01-sn01-cow  253:4    0  500M  0 lvm
vg01-sn01    253:5    0    1G  0 lvm

С этого момента все изменения пишутся в vg01-sn01-cow, а vg01-lv01-real фиксируется только для чтения и мы может откатиться к данному состоянию диска в любой момент.

Содержимое снапшота можно смонтировать и посмотреть, как обычный раздел:

mkdir /tmp/snp

Монтирование не XFS:

mount /dev/vg01/sn01 /tmp/snp

Монтирование XFS:

mount -o nouuid,ro /dev/vg01/sn01 /tmp/snp

Для выполнения отката до снапшота, выполняем команду:

lvconvert --merge /dev/vg01/sn01

Импорт диска из другой системы

Если мы перенесли LVM-диск с другого компьютера или виртуальной машины и хотим подключить его без потери данных, то нужно импортировать том.

Если есть возможность, сначала нужно на старом компьютере отмонтировать том и сделать его экспорт:

umount /mnt

* предположим, что диск примонтирован в /mnt.

Деактивируем группу томов:

vgchange -an vg_test

* в данном примере наша группа называется vg_test.

Делаем экспорт:

vgexport vg_test

После переносим диск на новый компьютер.

На новой системе сканируем группы LVM следующей командой:

pvscan

… система отобразит все LVM-тома (подключенные и нет), например:

  PV /dev/sdb    VG vg_test         lvm2 [1020,00 MiB / 0    free]
PV /dev/sda5   VG ubuntu-vg       lvm2 [11,52 GiB / 0    free]
Total: 2 [12,52 GiB] / in use: 2 [12,52 GiB] / in no VG: 0 [0   ]

* в данном примере найдено два диска с томами LVM — /dev/sdb (группа vg_test) и /dev/sda5 (группа ubuntu-vg).

В моем примере новый диск с группой vg_test — будум импортировать его. Вводим команду:

vgimport vg_test

Возможны два варианта ответа:

1) если мы экспортировали том:

Volume group "vg_test" successfully imported

2) если не экспортировали:

Volume group "vg_test" is not exported

Так или иначе, группа томов должна появиться в нашей системе — проверяем командой:

vgdisplay

… мы должны увидеть что-то на подобие:

--- Volume group ---
VG Name               vg_test
System ID
Format                lvm2
...

Активируем его:

vgchange -ay vg_test

Готово. Для монтирования раздела, смотрим его командой:

lvdisplay

… и монтируем в нужный каталог, например:

mount /dev/vg_test/lvol0 /mnt

* в данном примере мы примонтируем раздел lvol0 в группе томов vg_test к каталогу /mnt.

Работа с LVM из под Windows

По умолчанию, система Windows не умеет работать с томами LVM. Для реализации такой возможности, необходимо установить утилиту Virtual Volumes.

Возможные ошибки

Рассмотрим ошибки, с которыми можно столкнуться при работе с LVM.

Device /dev/sdX excluded by a filter

Данную ошибку можно встретить при попытке инициализировать диск командой pvcreate.

Причина: либо диск не полностью чист, либо раздел не имеет нужный тип.

Решение: в зависимости от типа проблемы, рассмотрим 2 варианта.

а) если добавляем целый диск.

Удаляем все метаданные с диска командой:

wipefs -a /dev/sdX

* где вместо X (или sdX) подсталвляем имя диска.

б) если добавляем раздел.

Открываем диск с помощью команды fdisk:

fdisk /dev/sdX

* где вместо X (или sdX) подсталвляем имя диска.

Смотрим список созданных на диске разделов:

: p

Задаем тип раздела:

: t

Выбираем номер раздела (например, раздел номер 3):

: 3

Командой L можно посмотреть список всех типов, но нас интересует конкретный — LVM (8e):

: 8e

Сохраняем настройки:

: w

Загрузка файлов на сервер PHP

    
    <form action="/upload.php" enctype="multipart/form-data" method="post">
        <input name="file" type="file" /> <input type="submit" value="Отправить" />
    </form>

Форма для загрузки сразу нескольких файлов

    
    <form action="/upload.php" enctype="multipart/form-data" method="post">
        <input type="file" name="file[]" multiple /> <input type="submit" value="Отправить" />
    </form>

Файл upload.php

• Поддерживает как одиночную загрузку файла так и множественную (multiple) без изменения кода.
• Проверка на все возможные ошибки которые могут возникнуть при загрузке файлов.
• Имена файлов переводятся в транслит и удаляются символы которые будут в дальнейшем мешать вывести их на сайте.
• Есть возможность указать разрешенные и запрещенные для загрузки расширения файлов.

// Название 
$input_name = 'file';
 
// Разрешенные расширения файлов.
$allow = array();
 
// Запрещенные расширения файлов.
$deny = array(
	'phtml', 'php', 'php3', 'php4', 'php5', 'php6', 'php7', 'phps', 'cgi', 'pl', 'asp', 
	'aspx', 'shtml', 'shtm', 'htaccess', 'htpasswd', 'ini', 'log', 'sh', 'js', 'html', 
	'htm', 'css', 'sql', 'spl', 'scgi', 'fcgi'
);
 
// Директория куда будут загружаться файлы.
$path = __DIR__ . '/uploads/';
 
if (isset($_FILES[$input_name])) {
	// Проверим директорию для загрузки.
	if (!is_dir($path)) {
		mkdir($path, 0777, true);
	}
 
	// Преобразуем массив $_FILES в удобный вид для перебора в foreach.
	$files = array();
	$diff = count($_FILES[$input_name]) - count($_FILES[$input_name], COUNT_RECURSIVE);
	if ($diff == 0) {
		$files = array($_FILES[$input_name]);
	} else {
		foreach($_FILES[$input_name] as $k => $l) {
			foreach($l as $i => $v) {
				$files[$i][$k] = $v;
			}
		}		
	}	
	
	foreach ($files as $file) {
		$error = $success = '';
 
		// Проверим на ошибки загрузки.
		if (!empty($file['error']) || empty($file['tmp_name'])) {
			switch (@$file['error']) {
				case 1:
				case 2: $error = 'Превышен размер загружаемого файла.'; break;
				case 3: $error = 'Файл был получен только частично.'; break;
				case 4: $error = 'Файл не был загружен.'; break;
				case 6: $error = 'Файл не загружен - отсутствует временная директория.'; break;
				case 7: $error = 'Не удалось записать файл на диск.'; break;
				case 8: $error = 'PHP-расширение остановило загрузку файла.'; break;
				case 9: $error = 'Файл не был загружен - директория не существует.'; break;
				case 10: $error = 'Превышен максимально допустимый размер файла.'; break;
				case 11: $error = 'Данный тип файла запрещен.'; break;
				case 12: $error = 'Ошибка при копировании файла.'; break;
				default: $error = 'Файл не был загружен - неизвестная ошибка.'; break;
			}
		} elseif ($file['tmp_name'] == 'none' || !is_uploaded_file($file['tmp_name'])) {
			$error = 'Не удалось загрузить файл.';
		} else {
			// Оставляем в имени файла только буквы, цифры и некоторые символы.
			$pattern = "[^a-zа-яё0-9,~!@#%^-_\$\?\(\)\{\}\[\]\.]";
			$name = mb_eregi_replace($pattern, '-', $file['name']);
			$name = mb_ereg_replace('[-]+', '-', $name);
			
			// Т.к. есть проблема с кириллицей в названиях файлов (файлы становятся недоступны).
			// Сделаем их транслит:
			$converter = array(
				'а' => 'a',   'б' => 'b',   'в' => 'v',    'г' => 'g',   'д' => 'd',   'е' => 'e',
				'ё' => 'e',   'ж' => 'zh',  'з' => 'z',    'и' => 'i',   'й' => 'y',   'к' => 'k',
				'л' => 'l',   'м' => 'm',   'н' => 'n',    'о' => 'o',   'п' => 'p',   'р' => 'r',
				'с' => 's',   'т' => 't',   'у' => 'u',    'ф' => 'f',   'х' => 'h',   'ц' => 'c',
				'ч' => 'ch',  'ш' => 'sh',  'щ' => 'sch',  'ь' => '',    'ы' => 'y',   'ъ' => '',
				'э' => 'e',   'ю' => 'yu',  'я' => 'ya', 
			
				'А' => 'A',   'Б' => 'B',   'В' => 'V',    'Г' => 'G',   'Д' => 'D',   'Е' => 'E',
				'Ё' => 'E',   'Ж' => 'Zh',  'З' => 'Z',    'И' => 'I',   'Й' => 'Y',   'К' => 'K',
				'Л' => 'L',   'М' => 'M',   'Н' => 'N',    'О' => 'O',   'П' => 'P',   'Р' => 'R',
				'С' => 'S',   'Т' => 'T',   'У' => 'U',    'Ф' => 'F',   'Х' => 'H',   'Ц' => 'C',
				'Ч' => 'Ch',  'Ш' => 'Sh',  'Щ' => 'Sch',  'Ь' => '',    'Ы' => 'Y',   'Ъ' => '',
				'Э' => 'E',   'Ю' => 'Yu',  'Я' => 'Ya',
			);
 
			$name = strtr($name, $converter);
			$parts = pathinfo($name);
 
			if (empty($name) || empty($parts['extension'])) {
				$error = 'Недопустимое тип файла';
			} elseif (!empty($allow) && !in_array(strtolower($parts['extension']), $allow)) {
				$error = 'Недопустимый тип файла';
			} elseif (!empty($deny) && in_array(strtolower($parts['extension']), $deny)) {
				$error = 'Недопустимый тип файла';
			} else {
				// Чтобы не затереть файл с таким же названием, добавим префикс.
				$i = 0;
				$prefix = '';
				while (is_file($path . $parts['filename'] . $prefix . '.' . $parts['extension'])) {
		  			$prefix = '(' . ++$i . ')';
				}
				$name = $parts['filename'] . $prefix . '.' . $parts['extension'];
 
				// Перемещаем файл в директорию.
				if (move_uploaded_file($file['tmp_name'], $path . $name)) {
					// Далее можно сохранить название файла в БД и т.п.
					$success = 'Файл «' . $name . '» успешно загружен.';
				} else {
					$error = 'Не удалось загрузить файл.';
				}
			}
		}
		
		// Выводим сообщение о результате загрузки.
		if (!empty($success)) {
			echo $success; 
                } else { echo $error; } } }

Возможные проблемы

• На unix хостингах php функция move_uploaded_file() не будут перемещать файлы в директорию если у нее права меньше 777.
• Загрузка файлов может быть отключена в настройках PHP директивой file_uploads.
• Не загружаются файлы большого размера, причина в ограничениях хостинга.
  Посмотрите в phpinfo() значения директив:
  • upload_max_filesize – максимальный размер закачиваемого файла.
  • max_file_uploads – максимальное количество одновременно закачиваемых файлов.
  • post_max_size – максимально допустимый размер данных, отправляемых методом POST, его значение должно быть больше upload_max_filesize.
  • memory_limit – значение должно быть больше чем post_max_size.

Qemu-guest-agent

Введение — что такое qemu-guest-agent

Qemu-guest-agent — это вспомогательный демон, который устанавливается в гостевой системе. Он используется для обмена информацией между хостом и гостевой системой, а также для выполнения команд в гостевой системе.

В Proxmox VE qemu-guest-agent используется в основном для трёх целей:

1. Чтобы правильно завершить работу гостевой системы, не полагаясь на команды ACPI или политики Windows
2. Чтобы заморозить гостевую файловую систему при создании резервной копии/снимка (в Windows используйте службу теневого копирования томов VSS). Если гостевой агент включен и работает, он вызывает guest-fsfreeze-freeze и guest-fsfreeze-thaw для повышения согласованности.
3. На этапе возобновления работы гостевой (виртуальной) машины после паузы (например, после создания снимка состояния) она немедленно синхронизирует своё время с гипервизором с помощью qemu-guest-agent (в качестве первого шага).

Установка

Ведущий

Вам нужно установить гостевой агент на каждую виртуальную машину, а затем включить его. Это можно сделать в веб-интерфейсе Proxmox VE (графический интерфейс)

или через CLI: qm set VMID --agent 1

Гость

Linux

В Linux вам нужно просто установить qemu-guest-agent, пожалуйста, обратитесь к документации по вашей системе.

Здесь мы приводим команды для систем на базе Debian/Ubuntu и Redhat:

в системах на базе Debian/Ubuntu (с apt-get) выполните:

apt-get установить qemu-guest-agent

а также в системах на базе Redhat (с yum):

yum установить qemu-guest-agent

В зависимости от дистрибутива гостевой агент может не запуститься автоматически после установки.

Начните его либо непосредственно с

systemctl запустить qemu-guest-agent

Затем включите автозапуск службы (на постоянной основе), если она не запускается автоматически.

включить системный сервис qemu-guest-agent

(должно работать в большинстве дистрибутивов) или перезагрузите гостевую систему.

Windows

Сначала вам нужно скачать образ драйвера virtio-win (см. Драйверы Windows VirtIO).

Затем установите драйвер virtio-serial:

1. Подключите ISO-образ к виртуальной машине Windows (virtio-*.iso)
2. Перейдите в Диспетчер устройств Windows
3. Найдите «простой коммуникационный контроллер PCI»
4. Щелкните правой кнопкой мыши -> «Обновить драйвер» и выберите подключенный ISO-образ в разделе «DRIVE:\vioserial\<OSVERSION>\», где <OSVERSION> — это ваша версия Windows (например, 2k12R2 для Windows 2012 R2)

После этого вам нужно будет установить qemu-guest-agent:

1. Перейдите в раздел «Подключённый ISO» в проводнике
2. Установщик гостевого агента находится в каталоге guest-agent
3. Запустите установщик двойным щелчком (либо qemu-ga-x86_64.msi (64-разрядная версия), либо qemu-ga-i386.msi (32-разрядная версия)

После этого qemu-guest-agent должен быть запущен. Вы можете проверить это в списке служб Windows или в PowerShell с помощью:

PS C:\Users\Administrator> Get-Service QEMU-GA

Состояние Имя Отображаемое имя
------ ---- -----------
Работает QEMU-GA Гостевой агент QEMU

Если он не запущен, вы можете использовать панель управления «Службы», чтобы запустить его и убедиться, что он запустится автоматически при следующей загрузке.

Проверка работоспособности связи с гостевым агентом

Связь с гостевым агентом осуществляется через сокет unix, расположенный в /var/run/qemu-server/<my_vmid>.qga Вы можете протестировать коммуникационный qm-агент:

запрос агента qm <vmid>

если qemu-guest-agent корректно работает на виртуальной машине, он вернет сообщение без ошибок.

Настройка кластера Proxmox VE

В данной инструкции мы сначала соберем кластер Proxmox для управления всеми хостами виртуализации из единой консоли, а затем — кластер высокой доступности (HA или отказоустойчивый). В нашем примере мы будем работать с 3 серверами — pve1, pve2 и pve3.

Мы не станем уделять внимание процессу установки Proxmox VE, а также настройки сети и других функций данного гипервизора — все это можно прочитать в пошаговой инструкции Установка и настройка Proxmox VE.

Подготовка нод кластера

Серверы должны иметь возможность обращения друг к другу по их серверным именам. В продуктивной среде лучше всего для этого создать соответствующие записи в DNS. В тестовой можно отредактировать файлы hosts. В Proxmox это можно сделать в консоли управления — устанавливаем курсор на сервере — переходим в Система — Hosts — добавляем все серверы, которые будут включены в состав кластера:

* в данном примере у нас в hosts занесены наши два сервера Proxmox, из которых мы будем собирать кластер.

Настройка кластера

Построение кластерной системы выполняется в 2 этапа — сначала мы создаем кластер на любой из нод, затем присоединяем к данному кластеру остальные узлы.

Создание кластера

Переходим в панель управления Proxmox на любой их нод кластера. Устанавливаем курсов на Датацентр — кликаем по Кластер — Создать кластер:

Для создания кластера нам нужно задать его имя и, желательно, выбрать IP-адрес интерфейса, на котором узел кластера будет работать:

… кликаем Создать — процесс не должен занять много времени. В итоге, мы должны увидеть «TASK OK»:

Присоединение ноды к кластеру

На первой ноде, где создали кластер, в том же окне станет активна кнопка Данные присоединения — кликаем по ней:

В открывшемся окне копируем данные присоединения:

Теперь переходим в панель управления нодой, которую хотим присоединить к кластеру. Переходим в Датацентр — Кластер — кликаем по Присоединить к кластеру:

В поле «Данные» вставляем данные присоединения, которые мы скопировали с первой ноды — поля «Адрес сервера» и «Отпечаток заполняться автоматически». Заполняем пароль пользователя root первой ноды и кликаем Присоединение:

Присоединение также не должно занять много времени. Ждем несколько минут для завершения репликации всех настроек. Кластер готов к работе — при подключении к любой из нод мы будем подключаться к кластеру:

Готово. Данный кластер можно использовать для централизованного управления хостами Proxmox.

Посмотреть статус работы кластера можно командой в SSH:

Отказоустойчивый кластер

Настроим автоматический перезапуск виртуальных машин на рабочих нодах, если выйдет из строя сервер.

Для настройки отказоустойчивости (High Availability или HA) нам нужно:

• Минимум 3 ноды в кластере. Сам кластер может состоять из двух нод и более, но для точного определения живых/не живых узлов нужно большинство голосов (кворумов), то есть на стороне рабочих нод должно быть больше одного голоса. Это необходимо для того, чтобы избежать ситуации 2-я активными узлами, когда связь между серверами прерывается и каждый из них считает себя единственным рабочим и начинает запускать у себя все виртуальные машины. Именно по этой причине HA требует 3 узла и выше.
• Общее хранилище для виртуальных машин. Все ноды кластера должны быть подключены к общей системе хранения данных — это может быть СХД, подключенная по FC или iSCSI, NFS или распределенное хранилище Ceph или GlusterFS.

1. Подготовка кластера

Процесс добавления 3-о узла аналогичен процессу, описанному выше — на одной из нод, уже работающей в кластере, мы копируем данные присоединения; в панели управления третьего сервера переходим к настройке кластера и присоединяем узел.

2. Добавление хранилища

Подробное описание процесса настройки самого хранилища выходит за рамки данной инструкции. В данном примере мы разберем пример и использованием СХД, подключенное по iSCSI.

Если наша СХД настроена на проверку инициаторов, на каждой ноде смотрим командой:

… IQN инициаторов. Пример ответа:

* где iqn.1993-08.org.debian:01:4640b8a1c6f — IQN, который нужно добавить в настройках СХД.

После настройки СХД, в панели управления Proxmox переходим в Датацентр — Хранилище. Кликаем Добавить и выбираем тип (в нашем случае, iSCSI):

В открывшемся окне указываем настройки для подключения к хранилке:

* где ID — произвольный идентификатор для удобства; Portal — адрес, по которому iSCSI отдает диски; Target — идентификатор таргета, по которому СХД отдает нужный нам LUN.

Нажимаем добавить, немного ждем — на всех хостах кластера должно появиться хранилище с указанным идентификатором. Чтобы использовать его для хранения виртуальных машин, еще раз добавляем хранилище, только выбираем LVM:

Задаем настройки для тома LVM:

* где было настроено:

• ID — произвольный идентификатор. Будет служить как имя хранилища.
• Основное хранилище — выбираем добавленное устройство iSCSI.
• Основное том — выбираем LUN, который анонсируется таргетом.
• Группа томов — указываем название для группы томов. В данном примере указано таким же, как ID.
• Общедоступно — ставим галочку, чтобы устройство было доступно для всех нод нашего кластера.

Нажимаем Добавить — мы должны увидеть новое устройство для хранения виртуальных машин.

Для продолжения настройки отказоустойчивого кластера создаем виртуальную машину на общем хранилище.

3. Настройка отказоустойчивости

Создание группы

Для начала, определяется с необходимостью групп. Они нужны в случае, если у нас в кластере много серверов, но мы хотим перемещать виртуальную машину между определенными нодами. Если нам нужны группы, переходим в Датацентр — HA — Группы. Кликаем по кнопке Создать:

Вносим настройки для группы и выбираем галочками участников группы:

* где:

• ID — название для группы.
• restricted — определяет жесткое требование перемещения виртуальной машины внутри группы. Если в составе группы не окажется рабочих серверов, то виртуальная машина будет выключена.
• nofailback — в случае восстановления ноды, виртуальная машина не будет на нее возвращена, если галочка установлена.

Также мы можем задать приоритеты для серверов, если отдаем каким-то из них предпочтение.

Нажимаем OK — группа должна появиться в общем списке.

Настраиваем отказоустойчивость для виртуальной машины

Переходим в Датацентр — HA. Кликаем по кнопке Добавить:

В открывшемся окне выбираем виртуальную машину и группу:

… и нажимаем Добавить.

4. Проверка отказоустойчивости

После выполнения всех действий, необходимо проверить, что наша отказоустойчивость работает. Для чистоты эксперимента, можно выключиться сервер, на котором создана виртуальная машина, добавленная в HA.

Для выключения ноды можно ввести команду:

Виртуальная машина должна переместиться в течение 1 — 2 минут.

Ручное перемещение виртуальной машины

Представим ситуацию, что у нас произошел сбой одного из узлов кластера, но при этом виртуальная машина не переехала на рабочую ноду. Например, если сервер был отправлен в перезагрузку, но не смог корректно загрузиться. В консоли управления нет возможности мигрировать виртуалку с неработающего сервера. Поэтому нам понадобиться командная строка.

И так, открываем SSH-консоль сервера, на любой работающем сервере Proxmox. Переходим в каталог qemu-server той ноды, которая не работает:

* мы предполагаем, что у нас вышел из строя сервер pve1.

Смотрим содержимое каталога:

Мы должны увидеть конфигурационные файлы запущенных виртуальных машин, например:

* в нашем примере у нас запущена только одна виртуальная машина с идентификатором 100.

Для удобства, создадим переменную с идентификатором:

Переносим конфигурацию машины в каталог qemu-server текущего сервера:

Командой:

… проверяем, что виртуальная машина появилась в системе.

В противном случае, перезапускаем службы:

systemctl restart pvestatd pvedaemon pve-cluster

Сбрасываем состояние для HA:

* в данном примере мы сбросили состояние для виртуальной машины с идентификатором 100. Если это не сделать, то при запуске виртуалки ничего не будет происходить.

После виртуальную машину можно запустить:

Если виртуальная машина не запустится, а мы получим сообщение:

Requesting HA start for VM 102

… значит HA не может восстановить свою работу. На момент восстановления нерабочей ноды, удаляем конфигурацию для HA:

ha-manager remove ${VM_ID}

И снова запускаем машину:

qm start ${VM_ID}

Репликация виртуальных машин

Если у нас нет общего дискового хранилища, мы можем настроить репликацию виртуальных машин между нодами. В таком случае мы получим, относительно, отказоустойчивую среду — в случае сбоя, у нас будет второй сервер, на котором есть аналогичный набор виртуальных машин.

Настройка ZFS

Репликация может выполняться только на тома ZFS. Подробная работа с данной файловой системой выходит за рамки данной инструкции, однако, мы разберем основные команды, с помощью которых можно создать необходимый том.

Работа с пулами ZFS выполняется из командной строки. Чтобы увидеть уже существующие пулы вводим:

Для создания нового используем команду zpool create:

* в данном примере мы создадим пул с названием zpool1 из диска /dev/sdc.

Для создания пула из нескольких дисков (как RAID 0) перечисляем диски через пробел:

zpool create -f zpool1 /dev/sdc /dev/sdd

* из дисков sdc и sdd.

Для создания отказоустойчивого тома (RAID 1) добавляем опцию mirror:

zpool create -f zpool1 mirror /dev/sdc /dev/sdd

Теперь открываем панель управления Proxmox. Переходим в Датацентр — Хранилище — ZFS:

Задаем настройки для создания хранилища из созданного ранее пула ZFS:

* в данном примере мы создаем хранилище из пула zpool1; название для хранилище задаем zfs-pool, также ставим галочку Дисковое резервирование. Остальные настройки оставляем по умолчанию.

После этого мы должны либо перенести виртуальную машину на хранилище ZFS, либо создать в нем новую машину.

Настройка репликации

Переходим к хосту, где находится виртуальная машина, для которой мы хотим настроить клонирование (она должна также находится на хранилище ZFS) — Репликация:

Задаем настройки для репликации виртуальной машины:

* в данном примере мы указываем системе проверять и реплицировать изменения каждые 15 минут для виртуальной машины с идентификатором 100. Репликация должна проводиться на сервер pve2.

Нажимаем Создать — теперь ждем репликации по расписанию или форсируем событие, кликнув по Запустить сейчас:

Удаление ноды из кластера

Удаление узла из рабочего кластера выполняется из командной строки. Список всех нод можно увидеть командой:

Мы увидим, примерно, следующее:

* где pve1, pve2, pve3 — узлы кластера; local указываем на ноду, с которой мы выполняем команду pvecm.

Для удаления узла, например, pve2 вводим:

Ждем немного времени, пока не пройдет репликация. В консоли управления Proxmox удаленный сервер должен пропасть. Однако, иногда, нода может продолжать висеть в Datacenter (списке серверов). Выполним команду:

* где pve2 — нода, которую мы должны удалить.

Удаление кластера

Рассмотрим процесс удаления нод из кластера и самого кластера. Данные действия не могут быть выполнены из веб-консоли — все операции делаем в командной строке.

Подключаемся по SSH к одной из нод кластера. Смотрим все узлы, которые присоединены к нему:

Мы получим список нод — удалим все, кроме локальной, например:

* в данном примере мы удалили ноды pve2 и pve3.

Необходимо подождать, минут 5, чтобы прошла репликация между нодами. После останавливаем следующие службы:

Подключаемся к базе sqlite для кластера PVE:

Удаляем из таблицы tree все записи, поле name в которых равно corosync.conf:

Отключаемся от базы:

Удаляем файл блокировки:

Удаляем файлы, имеющие отношение к настройке кластера:

Запускаем ранее погашенные службы:

Кластер удален.

Решение проблем при работе с кластером Proxmox

Рассмотрим в данном разделе ошибки, с которыми столкнулся я.

No quorum

Данная ошибка может появляться при попытке посмотреть некоторые разделы веб-интерфейса Proxmox или при попытке запустить виртуальную машину.

Причина: нода кластера не видит достаточное количество участников для создания кворума. Если у нас 3 сервера, то это значит, что данная нода не видит оставльные две. А если у нас кластер из двух серверов, то падение любого из компьютеров приведет к данной ошибке.

Решение: необходимо найти причину потери сетевой связи между всеми участниками кластера.

Если быстрого решения нет, мы можем временно поменять модель поведения, указал достоточное количество нод, чтобы кластер работал. Это делается командой:

* в данном примере мы указали, что кластер может полноценно работать, если у нас останется одна нода.

Источник: dmosk.ru

Как выпустить самоподписанный SSL сертификат и заставить ваш браузер доверять ему

Все крупные сайты давно перешли на протокол https. Тенденция продолжается, и многие наши клиенты хотят, чтобы их сайт работал по защищенному протоколу. А если разрабатывается backend для мобильного приложения, то https обязателен. Например, Apple требует, чтобы обмен данными сервера с приложением велся по безопасному протоколу. Это требование введено с конца 2016 года.

На production нет проблем с сертификатами. Обычно хостинг провайдер предоставляет удобный интерфейс для подключения сертификата. Выпуск сертификата тоже дело не сложное. Но во время работы над проектом каждый разработчик должен позаботиться о сертификате сам.
В этой статье я расскажу, как выпустить самоподписанный SSL сертификат и заставить браузер доверять ему.

Чтобы выпустить сертификат для вашего локального домена, понадобится корневой сертификат. На его основе будут выпускаться все остальные сертификаты. Да, для каждого нового top level домена нужно выпускать свой сертификат. Получить корневой сертификат достаточно просто.
Сначала сформируем закрытый ключ:

openssl genrsa -out rootCA.key 2048

Затем сам сертификат:

openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem

Нужно будет ввести страну, город, компанию и т.д. В результате получаем два файла: rootCA.key и rootCA.pem

Переходим к главному, выпуск самоподписанного сертификата. Так же как и в случае с корневым, это две команды. Но параметров у команд будет значительно больше. И нам понадобится вспомогательный конфигурационный файл. Поэтому оформим все это в виде bash скрипта create_certificate_for_domain.sh

Первый параметр обязателен, выведем небольшую инструкцию для пользователя.

if [ -z "$1" ]
then
  echo "Please supply a subdomain to create a certificate for";
  echo "e.g. mysite.localhost"
  exit;
fi

Создадим новый приватный ключ, если он не существует или будем использовать существующий:

if [ -f device.key ]; then
  KEY_OPT="-key"
else
  KEY_OPT="-keyout"
fi

Запросим у пользователя название домена. Добавим возможность задания “общего имени” (оно используется при формировании сертификата):

DOMAIN=$1
COMMON_NAME=${2:-$1}

Чтобы не отвечать на вопросы в интерактивном режиме, сформируем строку с ответами. И зададим время действия сертификата:

SUBJECT="/C=CA/ST=None/L=NB/O=None/CN=$COMMON_NAME"
NUM_OF_DAYS=999

В переменной SUBJECT перечислены все те же вопросы, который задавались при создании корневого сертификата (страна, город, компания и т.д). Все значение, кроме CN можно поменять на свое усмотрение.

Сформируем csr файл (Certificate Signing Request) на основе ключа. Подробнее о файле запроса сертификата можно почитать в этой статье.

openssl req -new -newkey rsa:2048 -sha256 -nodes $KEY_OPT device.key -subj "$SUBJECT" -out device.csr

Формируем файл сертификата. Для этого нам понадобится вспомогательный файл с настройками. В этот файл мы запишем домены, для которых будет валиден сертификат и некоторые другие настройки. Назовем его v3.ext. Обращаю ваше внимание, что это отдельный файл, а не часть bash скрипта.

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = %%DOMAIN%%
DNS.2 = *.%%DOMAIN%%

Да, верно, наш сертификат будет валидным для основного домена, а также для всех поддоменов. Сохраняем указанные выше строки в файл v3.ext

Возвращаемся в наш bash скрипт. На основе вспомогательного файла v3.ext создаем временный файл с указанием нашего домена:

cat v3.ext | sed s/%%DOMAIN%%/$COMMON_NAME/g > /tmp/__v3.ext

Выпускаем сертификат:

openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days $NUM_OF_DAYS -sha256 -extfile /tmp/__v3.ext

Переименовываем сертификат и удаляем временный файл:

mv device.csr $DOMAIN.csr
cp device.crt $DOMAIN.crt

# remove temp file
rm -f device.crt;

Скрипт готов. Запускаем его:

./create_certificate_for_domain.sh mysite.localhost

Получаем два файла: mysite.localhost.crt и device.key

Теперь нужно указать web серверу пути к этим файлам. На примере nginx это будет выглядеть так:

Запускаем браузер, открываем https://mysite.localhost и видим:

Браузер не доверяет этому сертификату. Как быть?

Нужно отметить выпущенный нами сертификат как Trusted. На Linux (Ubuntu и, наверное, остальных Debian-based дистрибутивах) это можно сделать через сам браузер. В Mac OS X это можно сделать через приложение Keychain Access. Запускаем приложение и перетаскиваем в окно файл mysite.localhost.crt. Затем открываем добавленный файл и выбираем Always Trust:

Обновляем страницу в браузере и:

Успех! Браузер доверяет нашему сертификату.

Сертификатом можно поделиться с другими разработчиками, чтобы они добавили его к себе. А если вы используете Docker, то сертификат можно сохранить там. Именно так это реализовано на всех наших проектах.

Источник: https://habr.com/ru/articles/352722/

авторизация по SSH

SSH-ключи используются для идентификации клиента при подключении к серверу по SSH-протоколу. Используйте этот способ вместо аутентификации по паролю.

SSH-ключи представляют собой пару — закрытый и открытый ключ. Закрытый должен храниться, соответственно, в закрытом доступе у клиента, а открытый отправляется на сервер и размещается в файле authorized_keys.

Создание SSH-ключей в Linux

На клиентской стороне должен быть установлен пакет ssh (openssh). На серверах FirstVDS с шаблонами по умолчанию необходимое ПО уже установлено.

Для ОС CentOS, AlmaLinux или RockyLinux выполните команду:

# yum -y install openssh-server openssh-clients

Для ОС Debian или Ubuntu выполните команду:

# apt -y install openssh-server

Дальнейшая инструкция будет одинаковая для всех ОС.

На клиентском компьютере в командной строке выполните команду генерации ключей:

# ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):

Введите путь файла, в который будут помещены ключи. Каталог по умолчанию указан в скобках, в примере /домашний_каталог/.ssh/id_rsa. Если хотите оставить расположение по умолчанию, нажмите Enter.

Пароль (passphrase) используется для ограничения доступа к закрытому ключу. Пароль усложнит использование ключа третьими лицами в случае утраты. Если не хотите использовать секретную фразу, нажмите Enter без заполнения строки.

Успешно сгенерировав пару ключей, вы увидите уведомление:

Your identification has been saved in /root/.ssh/id_rsa
Your public key has been saved in /root/.ssh/id_rsa.pub
The key fingerprint is:
SHA256:JPDzeSan06C9+osd+sKXWP0RmPk4UbSESaTvYn0aXVk root@test-server1.com
The key's randomart image is:
+---[RSA 3072]----+
|.    oo+o        |
|     o   .o...   |
|     + o  =.   E |
|      = o= .  o  |
|   S.=+ .o       |
|   o.@+.o.       |
| ..oB.=oo.       |
|  +=o= +.        |
|  +**..          |
+----[SHA256]-----+

В актуальных ОС генерация ключей происходит с такими настройками: тип аутентификации — RSA, число бит в ключе — 2048 или 3072.

Рекомендуем позаботится о безопасности ключей. В первую очередь обязательно необходимо задавать парольную фразу (passphrase), которая не должна быть простым.

Укажем также параметр -o, что позволяет использовать формат OpenSSH, который более безопасен, чем старый PEM.

С помощью параметра -a можно увеличить время проверки парольной фразы ключа, чтобы усложнить взлом методом грубого перебора (в случае, если ключ будет утерян, у вас будет больше времени на смену ключа на сервере).

Будьте внимательны, слишком большое значение приведет к тому, что вам придется ждать каждый раз при входе на сервер по ключу. Значение по умолчанию — 3 секунды, можно задать 100 секунд. С помощью параметра -b можно задать число бит в ключе — 4096. Получаем такую команду:

# ssh-keygen -t rsa -b 4096 -o -a 100 -C “ваш_email@example.com”

Copy

Параметр -C «ваш_email@example.com»  — комментарий, который помогает идентифицировать ключ. Можно указать любую информацию, чтобы пометить ключ. Это важно, когда ключей на сервере много, для единичного ключа комментарий можно не добавлять вовсе.

В последних ОС к 2024 году (Debian 12, Ubuntu 24) RSA больше не является оптимальным выбором для безопасности SSH, хотя он по-прежнему поддерживается. Более надёжными и устойчивыми к взлому считаются Ed25519 и ECDSA.

Ed25519: Этот алгоритм считается более безопасным, быстрым и устойчивым к атакам, чем RSA. Он также генерирует ключи меньшего размера, что улучшает производительность. Если ваш сервер поддерживает Ed25519, рекомендуется использовать его.

 ssh-keygen -t ed25519 -C "ваш_email@example.com"

Copy

• Команда сгенерирует ключ длиной 256 бит, который при этом обеспечивает высокую степень безопасности.

ECDSA: Вторая альтернатива, к сожалению, уязвимая к квантовым атакам, но в основном используется в случаях, где Ed25519 не поддерживается, а RSA не подходит.

ssh-keygen -t ecdsa -b 521 -C "ваш_email@example.com"

Copy

• Ключ на 521 бит обеспечивает отличное соотношение безопасности и производительности.

Выбираем директорию, вводим пароль и видим ключ RSA или выбранную вами альтернативу (Ed25519/ECDSA) .

Открытый ключ хранится в файле /домашний_каталог/.ssh/id_rsa.pub, закрытый — /домашний_каталог/.ssh/id_rsa.

Никогда и никому не передавайте, не показывайте свой закрытый ключ и не выкладывайте его на публично доступные сервисы (в т.ч. GitLab, GitHub и пр.).

Скопируйте открытый ключ на сервер в файл  /домашний_каталог/.ssh/authorized_keys. Одной строкой:

cat ~/.ssh/id_rsa.pub | ssh root@ip-адрес-сервера 'cat >> ~/.ssh/authorized_keys'

Или откройте этот файл на сервере редактором vi и вставьте строку с открытым ключом после ssh-rsa.

Ещё один способ скопировать ключ в authorized_keys — команда echo, которая помещает строку в конец файла.

echo ssh-rsa строка-публичного-ключа >> /root/.ssh/authorized_keys

Теперь можно отключить на сервере аутентификацию по паролю и использовать только SSH-ключи.

Создание SSH-ключей на Windows

Если вы используете ОС Windows, то подключиться по SSH к вашему (Linux) серверу можно через PuTTYили OpenSSH. Генерация ключей в этом случае выполняется также при помощи этих программ.

OpenSSH

Рассмотрим создание ключа через утилиту OpenSSH (доступно для Windows 10/Windows Server 2019 и новее).

Шаги для создания ключей:

1. Откройте PowerShell от имени администратора.

Если у вас не установлен OpenSSH, выполните команду:

Add-WindowsCapability -Online -Name OpenSSH.Client

Copy

Проверить, установлен ли OpenSSH, можно командой:

Get-WindowsCapability -Online | ? Name -like 'OpenSSH.Client*'

Copy

Если статус installed, данное ПО доступно к работе на вашей Windows.

2. Выполним все в том же PowerShell команду генерации ключа, которая аналогична команде в Linux и выполняет те же функции:

ssh-keygen -t rsa -b 4096 -o -a 100 -C “ваш_email@example.com”

Copy

3. Выберите путь для сохранения. Нажмите Enter, чтобы сохранить ключи в предложенном по умолчанию месте (обычно С:\Users\Ваше имя\.ssh\id_rsa), или укажите другой путь.
4. Установите пароль для ключа (рекомендуется для большей безопасности).

Теперь у вас есть пара ключей в каталоге .ssh, которую можно использовать для авторизации на сервере.

PuTTY

Рассмотрим вариант генерации ключей через клиент PuTTY.

Запустите приложение PuTTYgen, которое устанавливается вместе с PuTTY.

Выберите тип ключа SSH2-RSA и нажмите Generate.

В процессе генерации ключей несколько раз произвольно проведите мышкой по экрану приложения для создания случайных величин, используемых для ключей.

После завершения создания ключей открытый ключ выводится на экран, закрытый хранится в памяти приложения. Чтобы сохранить эти ключи, нажмите Save public key и Save private key. Укажите расположение файлов с ключами.

При сохранении закрытого ключа, если не заполнено поле Key passphrase, появится запрос «Хотите ли вы сохранить ключ без секретной фразы?»

Теперь открытый ключ необходимо скопировать на сервер в файл authorized_keys. Используйте WinSCP или другой клиент для работы с файлами на удалённом Linux-сервере. Вы можете скопировать файл с открытым ключом целиком на сервер, чтоб его копия хранилась в папке .ssh

Откройте файл authorized_keys через WinSCP и файл, в который вы сохранили открытый ключ (public), на локальном компьютере текстовым редактором. Скопируйте значение ключа, сохраните и закройте файл в WinSCP.

При запуске PuTTY укажите путь к закрытому ключу на локальном компьютере. Для этого во вкладке Connections → Auth выберите необходимый путь.

Теперь можно отключить на сервере аутентификацию по паролю и использовать только SSH-ключи.

Отключение аутентификации по паролю

Подключитесь к серверу по SSH, используя пароль, и откройте файл sshd_config для редактирования (например, с помощью текстового редактора Vi).

# vi /etc/ssh/sshd_config

Убедитесь, что указан правильный путь к открытым ключам SSH, поставьте значение параметра PasswordAuthentication no.

Перезапустите службу sshd:

# systemctl restart sshd

Подключитесь к серверу по SSH без использования пароля. Например, запустите PuTTY, проверьте, что во вкладке Connections -> Auth содержится путь к закрытому ключу и откройте подключение.

Login as: root
Authenticating with public key “rsa-key-20230205”
Last login: Sun Feb  5 13:11:24 2023 from 1.1.1.1

В случае успешной аутентификации по SSH-ключу вы получите доступ к командной строке сервера и сообщение вида Authenticating with public key «rsa-key-20230205», где rsa-key-20230205 — имя применённого закрытого ключа, указанное вами в файле authorized_keys.

SSH-туннели

Туннели SSH — это зашифрованные TCP-соединения между клиентами и серверами SSH. Трафик входит с одной стороны туннеля и прозрачно выходит с другой. Изначально этот термин относился к туннелям на виртуальных сетевых интерфейсах TUN/TAP, однако сейчас так обычно называют проброс портов SSH.

Например, вот так будет выглядеть схема обратного туннеля, в котором обращение к порту 80 SSH-клиента выполняется через SSH-сервер с определенного IP-адреса (1.2.3.4):

Сценарии использования туннелей*:

• Предоставление зашифрованных каналов для протоколов, передающих данные «открытым текстом».
• Открытие бэкдоров в частные сети.
• Обход межсетевых экранов.

*. Примечание

Проброс портов

Перенаправляет порт из одной системы (локальной или удаленной) в другую.

Проброс локального порта

Проброс локальных портов позволяет перенаправить трафик с SSH-клиента на целевой хост через SSH-сервер. Другими словами, можно получить доступ к удаленным сервисам по зашифрованному соединению так, как будто они локальные. Примеры использования:

• доступ к удаленному сервису (Redis, Memcached и т. д.) по внутреннему IP-адресу;
• локальный доступ к ресурсам, размещенным в частной сети;
• прозрачное проксирование запроса к удаленному сервису.

Проброс удаленного порта

Проброс удаленного порта позволяет направить трафик с SSH-сервера в пункт назначения либо через SSH-клиент, либо через другой удаленный хост. Открывает пользователям в публичных сетях доступ к ресурсам в частных сетях. Примеры использования:

• открытие доступа к локальному серверу разработки через публичную сеть;
• предоставление доступа с ограничением по IP-адресу к удаленному ресурсу в частной сети.

Динамический проброс портов

При динамической переадресации портов на SSH-клиенте поднимается SOCKS-прокси для перенаправления TCP-трафика через SSH-сервер на удаленный хост.

Пересылка с системных (privileged) портов

Для пересылки трафика с системных портов (1–1023) необходимо запустить SSH с правами суперпользователя в системе, на которой открывается порт.

sudo ssh -L 80:example.com:80 ssh-server

Флаги командной строки SSH

Ниже приведены несколько полезных флагов при создании туннелей:

-f # переводит процесс ssh в фоновый режим;
-n # предотвращает чтение из STDIN;
-N # не выполнять удаленные команды. Полезно, если нужно только перенаправить порты;
-T # отменяет переназначение терминала.

Вот пример команды для создания SSH-туннеля в фоновом режиме и проброса локального порта через SSH-сервер:

ssh -fnNT -L 127.0.0.1:8080:example.org:80 ssh-server

Для краткости примеры ниже приводятся без флагов командной строки.

Проброс локального порта

Перенаправление соединений с порта локальной системы на порт удаленного хоста:

ssh -L 127.0.0.1:8080:example.org:80 ssh-server

Перенаправляет локальные подключения к 127.0.0.1:8080 на 80-й порт example.org через SSH-сервер. Трафик между локальной системой и SSH-сервером идет по SSH-туннелю. Трафик между SSH-сервером и example.org — нет. С точки зрения example.org трафик идет от SSH-сервера.

ssh -L 8080:example.org:80 ssh-server

ssh -L *:8080:example.org:80 ssh-server

Команды выше открывают доступ к example.org:80 через SSH-туннель для подключений на порт 8080 на всех интерфейсах локальной системы.

ssh -L 192.168.0.1:5432:127.0.0.1:5432 ssh-server

Переадресует соединения с 192.168.0.1:5432 в локальной системе на 127.0.0.1:5432 на SSH-сервере. Обратите внимание, что здесь 127.0.0.1 — localhost с точки зрения SSH-сервера.

Конфигурации SSH

Убедитесь, что на SSH-сервере включена переадресация TCP (по умолчанию так и должно быть). Проверьте запись в файле /etc/ssh/sshd_config:

AllowTcpForwarding yes

При переадресации портов на интерфейсы, отличные от 127.0.0.1, в локальной системе необходимо включить GatewayPorts (в /etc/ssh/ssh_config или в командной строке):

GatewayPorts yes

Сценарии использования

Подходит для случаев, когда требуется защищенное соединение для доступа к удаленному сервису, который работает с незашифрованными данными. Например, Redis и Memcached используют протоколы на основе plaintext-данных.

В случае если защищенный доступ к одному из таких сервисов на удаленном сервере организован по общедоступным сетям, можно настроить туннель от локальной системы до этого сервера.

Проброс удаленного порта

Пробрасывает порт на удаленной системе в другую систему.

ssh -R 8080:localhost:80 ssh-server

Перенаправляет трафик с порта 8080 SSH-сервера для всех интерфейсов на порт localhost:80 на локальном компьютере. Если один из интерфейсов смотрит в Интернет, трафик, адресуемый на порт 8080, будет перенаправляться на локальную систему.

ssh -R 1.2.3.4:8080:localhost:80 ssh-server

Переадресует трафик с порта 8080 SSH-сервера на localhost:80 в локальной системе, при этом доступ ко входу в SSH-туннель со стороны сервера разрешен только с IP-адреса 1.2.3.4 (обратите внимание: директиву GatewayPorts необходимо установить в clientspecified).

Прим. переводчика: здесь, возможно, ошибка. Флаг -R — это binding_address, выбор IP адреса на машине, на котором SSH-сервер будет слушать порт. Соответственно вместо одного человечка с IP должны быть человечки, а вместо ssh_server:8080 должно быть 1.2.3.4:8080.

ssh -R 8080:example.org:80 ssh-server

Переадресует трафик с порта 8080 SSH-сервера для всех интерфейсов на localhost:80 в локальной системе. Далее трафик из локальной системы направляется на example.org:80. С точки зрения example.org источником трафика выступает локальная система.

Конфигурация SSH-сервера

SSH-сервер конфигурируется в файле /etc/ssh/sshd_config.

По умолчанию переадресуемые порты недоступны для доступа из Интернета. Для переадресации публичного интернет-трафика на локальный компьютер добавьте в sshd_config на удаленном сервере такую строку:

GatewayPorts yes

Также в sshd_config можно указать, каким клиентам разрешен доступ:

GatewayPorts clientspecified

Динамический проброс портов

Перенаправление трафика с нескольких портов на удаленный сервер.

ssh -D 3000 ssh-server

Команда выше поднимает SOCKS-прокси на порту 3000 для всех интерфейсов в локальной системе. Теперь трафик, отправленный через прокси-сервер на SSH-сервер, можно адресовать на любой порт или конечный хост. По умолчанию используется протокол SOCKS5, поддерживающий TCP и UDP.

ssh -D 127.0.0.1:3000 ssh-server

Поднимает SOCKS-прокси на 127.0.0.1:3000 в локальной системе.

При работающем SOCKS-прокси можно настроить браузер на его использование для доступа к ресурсам так, как будто соединения исходят от SSH-сервера. Например, если у SSH-сервера есть доступ к другим серверам в частной сети, с помощью SOCKS-прокси можно заходить на эти серверы локально (словно вы находитесь в той же сети), и не нужно настраивать VPN.

Работу SOCKS-прокси можно проверить командой:

curl -x socks5://127.0.0.1:12345 https://example.org

Конфигурация SSH-клиента

SSH-клиент настраивается в файле /etc/ssh/ssh_config.

Включите GatewayPorts в системе, чтобы открыть доступ другим интерфейсам к SOCKS-прокси:

GatewayPorts yes

Поскольку GatewayPorts конфигурируется на SSH-клиенте, вместо ssh_config для настройки можно использовать параметры командной строки:

ssh -o GatewayPorts=yes -D 3000 ssh-server

Jump-хосты и команды прокси-сервера

Прозрачное подключение к удаленному хосту через промежуточные.

ssh -J user1@jump-host user2@remote-host

ssh -o "ProxyJump user1@jump-host" user2@remote-host

Устанавливает SSH-соединение с jump-хостом и переадресуют трафик на удаленный хост.

Подключается к удаленному хосту через промежуточный jump-хост. Приведенная выше команда должна сработать сразу, если у jump-хоста уже есть SSH-доступ к удаленному хосту. Если нет, можно использовать agent forwarding для проброса SSH-ключа с локального компьютера на удаленный хост.

ssh -J jump-host1,jump-host2 ssh-server

Можно указать несколько jump-хостов через запятую.

ssh -o ProxyCommand="nc -X 5 -x localhost:3000 %h %p" user@remote-host

Подключение к удаленному серверу через SOCKS5 с использованием netcat. С точки зрения сервера, IP-адрес отправителя принадлежит прокси-хосту. При этом для SSH-соединения используется сквозное шифрование, так что прокси-хост видит только зашифрованный трафик между локальной системой и удаленным хостом.

Конфигурация SSH-клиента

SSH-клиент конфигурируется в файле /etc/ssh/ssh_config.

Для подключения agent forwarding можно добавить локальный SSH-ключ к локальному SSH-агенту с помощью ssh-add:

ssh-add

Надежные SSH-туннели

Перечисленные выше команды работают на разовой основе: вы сразу получаете конкретный результат, и на этом их работа заканчивается. Поэтому, чтобы обеспечить защиту SSH-туннелей от сбоев в сети или ненадежных соединений, придется выполнить дополнительную настройку.

По умолчанию TCP-соединение, используемое для создания SSH-туннеля, может разрываться после некоторого периода бездействия. Чтобы это предотвратить, нужно настроить сервер (/etc/ssh/sshd_config) на отправку heartbeat-сообщений:

ClientAliveInterval 15
ClientAliveCountMax 4

На отсылку таких сообщений также можно настроить клиент (/etc/ssh/ssh_config):

ServerAliveInterval 15
ServerAliveCountMax 4

Использование AutoSSH

Указанные выше настройки могут предотвратить разрывы из-за неактивности, но они не в состоянии восстановить прерванные соединения. Для автоматического перезапуска SSH-туннеля можно воспользоваться утилитой autossh — она создает SSH-туннель и отслеживает его работоспособность.

AutoSSH принимает те же аргументы для настройки переадресации портов, что и SSH:

autossh -R 2222:localhost:22 ssh-server

Эта команда создает туннель, способный восстанавливаться после сетевых сбоев. По умолчанию AutoSSH открывает дополнительные порты на SSH-клиенте/сервере для проверки работоспособности (healthcheck). Если трафик не проходит между healthcheck-портами, AutoSSH перезапускает туннель.

autossh -R 2222:localhost:22 \
  -M 0 \
  -o "ServerAliveInterval 10" -o "ServerAliveCountMax 3" \
  remote-host

Флаг -M 0 отключает healthcheck-порты (за проверку работоспособности в этом случае отвечает SSH-клиент). В примере выше сервер должен посылать сигналы каждые 10 секунд. Если не проходят три подряд сигнала, SSH-клиент завершает работу, а AutoSSH поднимает новый туннель.

Дополнительные примеры и сценарии использования

Прозрачный доступ к удаленному ресурсу в частной сети.

Предположим, в частной сети есть Git-репозиторий, доступ к которому возможен только через выделенный сервер в этой сети. Сервер не подключен к Интернету. Есть прямой доступ к серверу, но нет VPN-доступа к частной сети.

Требуется открыть доступ к Git-репозиторию, как если бы подключение к нему шло напрямую из локальной системы. Если есть SSH-доступ к другому серверу, который доступен как с локального компьютера, так и с выделенного сервера, можно создать SSH-туннель и воспользоваться директивами ProxyCommand.

ssh -L 127.0.0.1:22:127.0.0.1:2222 intermediate-host

Команда выше пробрасывает порт 2222 на промежуточном хосте на порт 22 выделенного сервера. Теперь можно подключиться к SSH-серверу на выделенном сервере, несмотря на то, что он недоступен из Интернета.

Прим. переводчика: возможно, что здесь тоже ошибка: перепутаны местами 22 и 2222 порты в команде.

ssh -p 2222 user@localhost

Для большего удобства можно добавить несколько директив в локальный ~/.ssh/config:

Host git.private.network
  HostName git.private.network
  ForwardAgent yes
  ProxyCommand ssh private nc %h %p

Host private
  HostName localhost
  Port 2222
  User private-user
  ForwardAgent yes
  ProxyCommand ssh tunnel@intermediate-host nc %h %p

В результате пользователь получает доступ к локальному Git-репозиторию, как если бы находился в частной сети.

Блог компании ФлантНастройка Linux*Системное администрирование**nix*

Перевод

Автор оригинала: Linmiao Xu

Прим. переводчика: автор статьи рассматривает практические сценарии и примеры организации SSH-туннелей. А для более наглядного объяснения того, как это работает, графически показывает потоки трафика.

Windows Server 2019 — терминальный сервер без домена

Установим роли терминального сервера на Windows Server 2019 и лицензируем. Маленькая тонкость — сервер не в домене.

Подготовка Windows Server 2019

Для начала установим сам сервер. Всё необходимое вынесено в отдельную статью:

Установка Windows Server 2019 на виртуальную машину VMware

Итак, операционная система установлена и настроена. Сервер в рабочей группе WORKGROUP.

Установка роли терминального сервера

Нам понадобится установить две роли, можно выполнить установку одновременно, я предлагаю инструкцию с минимальным количеством перезагрузок.

Роль Remote Desktop Licensing

Входим в Server Manager. Справа вверху выбираем Manage > Add Roles and Features.

Попадаем в раздел Before You Begin.

Это начальная страница, пропускаем. Next.

Попадаем в раздел Installation Type. Для установки сервиса удаленных рабочих столов предусмотрен специальный мастер Remote Desktop Services installation, но нам не удастся его использовать, поскольку сервер не в домене. Выбираем Role-based or feature-based installation. Next.

Попадаем в раздел Server Selection. Выбираем текущий сервер. Next.

Попадаем в раздел Server Roles. Выделяем галкой роль Remote Desktop Services. Next.

Попадаем в раздел Features. Здесь ничего дополнительно не выбираем. Next.

Попадаем в раздел Remote Desktop Services. Ненужное нам окошко. Next.

Попадаем в раздел Role Services. Первая роль, которую нам нужно установить, это Remote Desktop Licensing. Выделяем галкой.

Нам предлагают установить дополнительные фичи, которые требуются для данной роли. Соглашаемся, Add Features.

Remote Desktop Licensing выделено галкой, Next.

Попадаем в раздел Confirmation. Install.

Начинается установка роли.

Роль Remote Desktop Licensing успешно установлена. Примечательно, что перезагрузка не требуется.

Открываем Windows Administrative Tools.

Переходим в папку Remote Desktop Services.

Запускаем оснастку Remote Desktop Licensing Manager.

Выбираем наш сервер, правой кнопкой — активировать.

Открывается окно активации. Next.

Выбираем метод соединения Web Browser. Next.

Получаем код продукта который нам понадобится для активации (Product ID). Копируем.

В браузере открываем сайт https://activate.microsoft.com/

Выбираем «Activate a license server». Next.

Вводим Product ID полученный ранее, организацию и любую страну или регион. Next. Next.

Если все сделано правильно, то мы получим необходимый код сервера лицензирования. Копируем его. На вопрос «Do you wish to install client access licenses now on the license server with this product ID?» отвечаем «Yes» и пока возвращаемся к терминальному серверу, к текущему окну ещё вернёмся.

Вводим код в открытом мастере, жмём Next.

Устанавливаем галку «Start Install Licenses Wizard now». Next.

Открывается мастер установки лицензий. Next.

Нас просят ввести license key pack ID. Возвращаемся к браузеру.

Вставляем License Server ID, в качестве программы лицензирования, по идее он уже должен сюда переместиться из предыдущего окна. License Program выбираем Enterprise agreement. Указываем компанию и страну. Next.

Выбираем тип продукта: Windows Server 2019 Remote Desktop Services Per Device client access license. Указываем количество лицензий. Обязательно соглашение Enterprise agreement, или ищем в интернете который подойдет…

Настройка и лицензирование терминального сервера Windows Server 2016

Не стоит выбирать лицензии Per User, иначе потом вы получите такую ошибку:

Next.

Ну вот мы и получили нужные нам клиентские лицензии. Копируем.

Вводим ключ в мастер. Next.

Finish.

Возвращаемся к Remote Desktop Licensing Manager. Сервер активирован. Лицензии получены. Кстати, они начнут тратиться после окончания триального периода.

Роль Remote Desktop Session Host

Входим в Server Manager. Справа вверху выбираем Manage > Add Roles and Features.

Попадаем в раздел Before You Begin.

Это начальная страница, пропускаем. Next.

Попадаем в раздел Installation Type. Выбираем Role-based or feature-based installation. Next.

Попадаем в раздел Server Selection. Выбираем текущий сервер. Next.

Попадаем в раздел Server Roles. Выделяем галкой роль Remote Desktop Session Host.

Нам предлагают установить дополнительные фичи, соглашаемся. Add Features.

Роль Remote Desktop Session Host выделена. Next.

Попадаем в раздел Features, ничего не выделяем. Next.

Попадаем в раздел Confirmation. Ставим галку Restart the destination server automatically if required. Отображается предупреждение, что сервер может быть перезагружен. Yes.

Install.

Начинается процесс установки роли.

Сервер перезагружается.

В процессе устанавливаются компоненты.

После перезагрузки автоматически продолжается установка роли. Триальный период работы терминального сервера — 119 дней.

Роль Remote Desktop Session Host успешно установлена. Close.

Открываем Windows Administrative Tools.

Переходим в папку Remote Desktop Services.

Запускаем оснастку Remote Desktop Licensing Diagnoser.

Видим ошибку.

The licensing mode for Remote Desktop Session Host server is not configured.

Выполняем gpedit.msc.

gpedit.msc

Откроется Local Group Policy Editor.

Раскрываем Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Licensing.

Редактируем Use the specified Remote Desktop license servers.

Включаем — Enabled. В поле «License server to use» прописываем сервер, с которого получать лицензии, в моём случае «localhost». OK.

Редактируем Set the Remote Desktop licensing mode.

Включаем — Enabled. В поле «Specify the licensing mode for the RD Session Host server» устанавливаем значение Per Device. OK.

Снова запускаем оснастку Remote Desktop Licensing Diagnoser. Теперь всё зелёное, ошибок нет.

Практические испытания

Поскольку мы с вами системные администраторы 99 уровня, то нам нужно провести практические испытания терминального сервера.

На терминальном сервере создаём трёх локальных пользователей: user1, user2, user3.

Включаем их в группу Remote Desktop Users.

Коннектимся под этими пользователями к терминальному серверу по RDP.

Есть три активных сеанса.

Заключение

Мы с вами успешно создали терминальный сервер Windows Server 2019 в рабочей группе WORKGROUP без домена. 120 дней терминальный сервер будет работать в триальном режиме, затем начнёт использовать лицензии Per Device. Для подключения к терминальному серверу требуется создать локальную учётную запись и включить её в группу Remote Desktop Users.

Установка Nextcloud

Шаг 1: Скачиваем Nextcloud

Зайдите на сервер и загрузите на него архив Nextcloud. Последняя стабильная версия 29.0.4 на момент публикации. Скачать её можно на https://nextcloud.com/install, раздел «Download server» пункт COMMUNITY PROJECTS и выбрать кнопку «Download for server».

Можно wget’ом скачать его на сервер сразу же. Так и сделаем. Скачаем последнюю версию.

wget https://download.nextcloud.com/server/releases/latest.tar.bz2

Распакуем

sudo tar -xjf latest.tar.bz2 -C /usr/share/nginx/

Опция -C указывает путь, куда распакуется Nextcloud.

Если в процессе распаковки появилась ошибка «tar (child): bzip2: Cannot exec: No such file or directory«, то установите пакет bzip2.

sudo apt install bzip2

Изменим владельца файлов для корректной работы сервера

sudo chown www-data: /usr/share/nginx/nextcloud/ -R

Шаг 2. Создаём базу данных для Nextcloud

Логинимся на сервер MariaDB нижеследующей командой. С тех пор как MariaDB стала использовать плагин unix_socket для аутентификации, необходимость вводить root пароль отпала. Просто запустим оболочку под sudo.

sudo mariadb

Запуститься оболочка MySQL сервера MariaDB. Начнём процесс установки.

Создадим базу данных для Nextcloud

create database nextcloud;

Создадим пользователя, у которого будут права на эту базу и который будет ей управлять. Имя можно выбрать любое, главное запомнить его. Вместо your-password подставьте свой придуманный пароль.

create user nextclouduser@localhost identified by 'your-password';

Выдайте новому пользователю права на новую базу данных

grant all privileges on nextcloud.* to nextclouduser@localhost identified by 'your-password';

Примените изменения

flush privileges;

exit;

Шаг 3. Создаём конфигурационный файл nginx для Nextcloud.

Создайте файл nextcloud.conf в директории /etc/nginx/conf.d/

sudo nano /etc/nginx/conf.d/nextcloud.conf

Файл описан в инструкции на сайте разработчиков

Вставьте нижеследующий текст в новый файл. Жирным начертанием выделены строки на замену

upstream php-handler {
    server unix:/run/php/php8.3-fpm.sock;
}

# Set the `immutable` cache control options only for assets with a cache busting `v` argument
map $arg_v $asset_immutable {
    "" "";
    default ", immutable";
}

server {
    listen 80;
    listen [::]:80;
    server_name cloud.example.com;

    # Prevent nginx HTTP Server Detection
    server_tokens off;

    # Enforce HTTPS
    return 301 https://$server_name$request_uri;
}

server {
    listen 443      ssl http2;
    listen [::]:443 ssl http2;
    server_name cloud.example.com;

    # Path to the root of your installation
    root /usr/share/nginx/nextcloud;

    # Use Mozilla's guidelines for SSL/TLS settings
    # https://mozilla.github.io/server-side-tls/ssl-config-generator/
    ssl_certificate     /etc/nginx/cert/server.crt;
    ssl_certificate_key /etc/nginx/cert/server.key;

    # Prevent nginx HTTP Server Detection
    server_tokens off;

    # HSTS settings
    # WARNING: Only add the preload option once you read about
    # the consequences in https://hstspreload.org/. This option
    # will add the domain to a hardcoded list that is shipped
    # in all major browsers and getting removed from this list
    # could take several months.
    #add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload" always;

    # set max upload size and increase upload timeout:
    client_max_body_size 512M;
    client_body_timeout 300s;
    fastcgi_buffers 64 4K;

    # Enable gzip but do not remove ETag headers
    gzip on;
    gzip_vary on;
    gzip_comp_level 4;
    gzip_min_length 256;
    gzip_proxied expired no-cache no-store private no_last_modified no_etag auth;
    gzip_types application/atom+xml text/javascript application/javascript application/json application/ld+json application/manifest+json application/rss+xml application/vnd.geo+json application/vnd.ms-fontobject application/wasm application/x-font-ttf application/x-web-app-manifest+json application/xhtml+xml application/xml font/opentype image/bmp image/svg+xml image/x-icon text/cache-manifest text/css text/plain text/vcard text/vnd.rim.location.xloc text/vtt text/x-component text/x-cross-domain-policy;

    # Pagespeed is not supported by Nextcloud, so if your server is built
    # with the `ngx_pagespeed` module, uncomment this line to disable it.
    #pagespeed off;

    # The settings allows you to optimize the HTTP2 bandwidth.
    # See https://blog.cloudflare.com/delivering-http-2-upload-speed-improvements/
    # for tuning hints
    client_body_buffer_size 512k;

    # HTTP response headers borrowed from Nextcloud `.htaccess`
    add_header Referrer-Policy                   "no-referrer"       always;
    add_header X-Content-Type-Options            "nosniff"           always;
    add_header X-Frame-Options                   "SAMEORIGIN"        always;
    add_header X-Permitted-Cross-Domain-Policies "none"              always;
    add_header X-Robots-Tag                      "noindex, nofollow" always;
    add_header X-XSS-Protection                  "1; mode=block"     always;

    # Remove X-Powered-By, which is an information leak
    fastcgi_hide_header X-Powered-By;

    # Set .mjs and .wasm MIME types
    # Either include it in the default mime.types list
    # and include that list explicitly or add the file extension
    # only for Nextcloud like below:
    include mime.types;
    types {
        text/javascript mjs;
	application/wasm wasm;
    }

    # Specify how to handle directories -- specifying `/index.php$request_uri`
    # here as the fallback means that Nginx always exhibits the desired behaviour
    # when a client requests a path that corresponds to a directory that exists
    # on the server. In particular, if that directory contains an index.php file,
    # that file is correctly served; if it doesn't, then the request is passed to
    # the front-end controller. This consistent behaviour means that we don't need
    # to specify custom rules for certain paths (e.g. images and other assets,
    # `/updater`, `/ocs-provider`), and thus
    # `try_files $uri $uri/ /index.php$request_uri`
    # always provides the desired behaviour.
    index index.php index.html /index.php$request_uri;

    # Rule borrowed from `.htaccess` to handle Microsoft DAV clients
    location = / {
        if ( $http_user_agent ~ ^DavClnt ) {
            return 302 /remote.php/webdav/$is_args$args;
        }
    }

    location = /robots.txt {
        allow all;
        log_not_found off;
        access_log off;
    }

    # Make a regex exception for `/.well-known` so that clients can still
    # access it despite the existence of the regex rule
    # `location ~ /(\.|autotest|...)` which would otherwise handle requests
    # for `/.well-known`.
    location ^~ /.well-known {
        # The rules in this block are an adaptation of the rules
        # in `.htaccess` that concern `/.well-known`.

        location = /.well-known/carddav { return 301 /remote.php/dav/; }
        location = /.well-known/caldav  { return 301 /remote.php/dav/; }

        location /.well-known/acme-challenge    { try_files $uri $uri/ =404; }
        location /.well-known/pki-validation    { try_files $uri $uri/ =404; }

        # Let Nextcloud's API for `/.well-known` URIs handle all other
        # requests by passing them to the front-end controller.
        return 301 /index.php$request_uri;
    }

    # Rules borrowed from `.htaccess` to hide certain paths from clients
    location ~ ^/(?:build|tests|config|lib|3rdparty|templates|data)(?:$|/)  { return 404; }
    location ~ ^/(?:\.|autotest|occ|issue|indie|db_|console)                { return 404; }

    # Ensure this block, which passes PHP files to the PHP process, is above the blocks
    # which handle static assets (as seen below). If this block is not declared first,
    # then Nginx will encounter an infinite rewriting loop when it prepends `/index.php`
    # to the URI, resulting in a HTTP 500 error response.
    location ~ \.php(?:$|/) {
        # Required for legacy support
        rewrite ^/(?!index|remote|public|cron|core\/ajax\/update|status|ocs\/v[12]|updater\/.+|ocs-provider\/.+|.+\/richdocumentscode(_arm64)?\/proxy) /index.php$request_uri;

        fastcgi_split_path_info ^(.+?\.php)(/.*)$;
        set $path_info $fastcgi_path_info;

        try_files $fastcgi_script_name =404;

        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        fastcgi_param PATH_INFO $path_info;
        fastcgi_param HTTPS on;

        fastcgi_param modHeadersAvailable true;         # Avoid sending the security headers twice
        fastcgi_param front_controller_active true;     # Enable pretty urls
        fastcgi_pass php-handler;

        fastcgi_intercept_errors on;
        fastcgi_request_buffering off;

        fastcgi_max_temp_file_size 0;
    }

    # Serve static files
    location ~ \.(?:css|js|mjs|svg|gif|ico|jpg|png|webp|wasm|tflite|map|ogg|flac)$ {
        try_files $uri /index.php$request_uri;
        # HTTP response headers borrowed from Nextcloud `.htaccess`
        add_header Cache-Control                     "public, max-age=15778463$asset_immutable";
        add_header Referrer-Policy                   "no-referrer"       always;
        add_header X-Content-Type-Options            "nosniff"           always;
        add_header X-Frame-Options                   "SAMEORIGIN"        always;
        add_header X-Permitted-Cross-Domain-Policies "none"              always;
        add_header X-Robots-Tag                      "noindex, nofollow" always;
        add_header X-XSS-Protection                  "1; mode=block"     always;
        access_log off;     # Optional: Don't log access to assets
    }

    location ~ \.woff2?$ {
        try_files $uri /index.php$request_uri;
        expires 7d;         # Cache-Control policy borrowed from `.htaccess`
        access_log off;     # Optional: Don't log access to assets
    }

    # Rule borrowed from `.htaccess`
    location /remote {
        return 301 /remote.php$request_uri;
    }

    location / {
        try_files $uri $uri/ /index.php$request_uri;
    }
}

Включение HTTPS

[…]Здесь в оригинале были шаги по включению https, но я считаю это темой отдельной статьи, так как там используется получение сертификатов через LetsEncrypt. Можете глянуть в оригинале. […]

Но если кратко, то рекомендую создать в папке nginx самоподписные сертификаты

sudo mkdir /etc/nginx/cert
cd /etc/nginx/cert

sudo openssl req -x509 -newkey rsa:4096 -keyout server.key -out server.crt -nodes -days 3650 -subj '/CN=localhost'

Не забудьте перезапустить nginx

sudo systemctl reload nginx

После всего на обратном прокси (если он у вас есть конечно) можете указать путь до этого сервера по https протоколу.

Шаг 4. Установка php-модулей.

Выполните нижеприведённую команду, чтобы установить требуемые или рекомендованные модули php для Nextcloud.

sudo apt install php-imagick php8.3-zip php8.3-bz2 php8.3-intl

Финиш. Заключительные штрихи

Для большей безопасности поменяем папку с данными и не будем хранить их в корне веб-сервера. Расположим их, например, в
/usr/share/nginx/nextcloud-data, используя следующую команду

sudo mkdir /usr/share/nginx/nextcloud-data

Сделаем владельцем этого каталога пользователя www-data

sudo chown www-data: /usr/share/nginx/nextcloud-data -R

P.S. Если вы следовали советам по установке LEMP, то удалите файл default.conf. Если его не удалить, то будет показываться окно приветственной страницы nginx.

sudo rm /etc/nginx/conf.d/default.conf

Можно ещё удалить файл default в /etc/nginx/sites-enabled/, если вы хотите заходить на nextcloud по http и сделали необходимые изменения в файле конфига.

sudo rm /etc/nginx/sites-enabled/default.conf

Теперь заходим на https://nextcloud_IP/ и видим окно установки. (Или заходим на http://nextcloud_ip/, если отключили в конфиге nginx https)

 

Вводим имя администратора, придумываем пароль. Ниже указываем путь до каталога данных Nextcloud, вписываем учётную запись базы данных («nextclouduser»), пароль пользователя к базе данных (в данном случае это «your-password»), имя базы данных («nextcloud»). Жмём кнопку «Установить» и переходим к следующему шагу.

На этом шаге можете поставить рекомендуемые приложения, а можете пропустить установку.

Установка завершена. Вас будет приветствовать стартовый экран Nextcloud с кратким описанием возможностей. Как видно, заметных отличий от установки в Ubuntu 20 нет. Но для быстрой установки, чтобы не путаться в версиях php-fpm я написал данную статью.

Впереди немного настроек и настройка резервного копирования. Ну и если хочется посмотреть видео установки, то оно ниже — основано на статье про установку Nextcloud на Ubuntu 18.

Тюнинг Nextcloud

После установки Nextcloud им можно сразу же пользоваться. (А если вы здесь по вопросу отключения техобслуживания Nextcloud, то вот команда — sudo -u www-data php /path/to/nextcloud/occ maintenance:mode —off (перед off ставьте два дефиса) )

Но, если вам хочется большей производительности, а также не хочется видеть предупреждение о текущей конфигурации, которое будет видно каждый раз при заходе в административную панель, то следующие советы для вас.

Как и ранее я писал, Nextcloud стоит на Ubuntu 18.04 и работает под связкой nginx + php-fpm (версии 7.4) + mysql. Язык интерфейса — русский. Nextcloud установлен в /usr/share/nginx/nextcloud/

После внесения изменений не забываем перезапускать php-fpm. Или можете после применения всех изменений перезапустить его один раз.

Содержание:

1. PHP не настроен правильно для получения переменных системного окружения.
2. PHP OPcache не настроен правильно
3. Некоторые индексы базы данных не были преобразованы в тип big int
4. Разрешённое максимальное значение использования памяти PHP ниже рекомендуемого значения в 512 МБ
5. Не настроена система кеширования
6. В базе данных отсутствуют некоторые индексы
7. MySQL используется в качестве базы данных, но не поддерживает 4-байтовые символы
8. Задействован устаревший режим шифрования файлов на стороне сервера
9. Настройка обратного прокси для доступа
10. Заголовок HTTP «X-Frame-Options» не настроен на значение «SAMEORIGIN»
11. Новый dashboard
12. Модуль php-imagick и SVG
13. Регион размещения сервера
14. Файлы .mjs
15. Время обслуживания

Убираем первое предупреждение:

«PHP не настроен правильно для получения переменных системного окружения.

Запрос getenv(«PATH») возвращает пустые результаты.
Обратитесь к разделу о конфигурации PHP и примечаниям к конфигурации
PHP из руководства по установке. Обратите внимание на настройку
параметров PHP, особенно при использовании механизма php-fpm.»

Как сказано в документации

Когда вы используете php-fpm, системные переменные среды, такие как PATH, TMP или другие, не заполняются автоматически так же, как при использовании php-cli. Вызов функции PHP, такой как getenv(‘PATH’); может возвращать пустой результат. Поэтому вам может потребоваться вручную настроить переменные среды в файле конфигурации php-fpm.

Редактируем файл /etc/php/7.4/fpm/pool.d/www.conf

Ищем такие строки:

;env[HOSTNAME] = $HOSTNAME
;env[PATH] = /usr/local/bin:/usr/bin:/bin 
;env[TMP] = /tmp 
;env[TMPDIR] = /tmp 
;env[TEMP] = /tmp

И раскомментируем их.

Или, если побыстрее

sed -i -e "s/\;env\[/env\[/g" \
/etc/php/7.4/fpm/pool.d/www.conf

Не забываем перезапустить php-fpm

systemctl restart php7.4-fpm

Готово. Идём дальше.

К оглавлению

Убираем второе предупреждение

«PHP OPcache не настроен правильно»

 Для обеспечения лучшей производительности рекомендуется задать в файле php.ini следующие параметры настроек:

opcache.enable=1
opcache.enable_cli=1
opcache.interned_strings_buffer=8
opcache.max_accelerated_files=10000
opcache.memory_consumption=128
opcache.save_comments=1
opcache.revalidate_freq=1

Заменим вручную вышеуказанные параметры в файле /etc/php/7.4/fpm/php.ini или сразу заменим значения sed’ом

sed -i -e "s/\;opcache.enable=1/opcache.enable=1/g" \
/etc/php/7.4/fpm/php.ini
sed -i -e "s/\;opcache.enable_cli=0/opcache.enable_cli=1/g" \
/etc/php/7.4/fpm/php.ini
sed -i -e "s/\;opcache.interned_strings_buffer=8/opcache.interned_strings_buffer=8/g" \
/etc/php/7.4/fpm/php.ini
 sed -i -e "s/\;opcache.max_accelerated_files=10000/opcache.max_accelerated_files=10000/g" \
/etc/php/7.4/fpm/php.ini
sed -i -e "s/\;opcache.memory_consumption=128/opcache.memory_consumption=128/g" \
/etc/php/7.4/fpm/php.ini
sed -i -e "s/\;opcache.save_comments=1/opcache.save_comments=1/g" \
/etc/php/7.4/fpm/php.ini
sed -i -e "s/\;opcache.revalidate_freq=2/opcache.revalidate_freq=1/g" \
/etc/php/7.4/fpm/php.ini

К оглавлению

Убираем третье предупреждение

Некоторые индексы базы данных не были преобразованы в тип big int

Так как преобразование таких индексов может занять продолжительное время, оно должно быть запущенно вручную. Чтобы выполнить преобразование, необходимо включить режим обслуживания и запустить в терминале команду «occ db:convert-filecache-bigint». Дополнительные сведения приведены на соответствующей странице документации.filecache.mtime
filecache.storage_mtime

Для того, чтобы не потерять данные, или чтобы не было ошибок на клиентах, или просто для спокойствия нервной системы введите Nextcloud в режим обслуживания.

sudo -u www-data php /usr/share/nginx/nextcloud/occ maintenance:mode --on

В браузере вы можете увидеть, что система находится в режиме обслуживания. Теперь в консоли выполните следующее:

sudo -u www-data php /usr/share/nginx/nextcloud/occ db:convert-filecache-bigint --no-interaction

Затем выключите режим обслуживания.

sudo -u www-data php /usr/share/nginx/nextcloud/occ maintenance:mode --off

К оглавлению

Убираем предупреждение о php

Разрешённое максимальное значение использования памяти PHP ниже рекомендуемого значения в 512 МБ.

sudo nano /etc/php/7.4/fpm/php.ini

Ищем memory_limit и вводим, например, 512M вместо 128M. И перезапускаем php-fpm

или если хотим побыстрее

sed -i -e "s/memory_limit = 128M/memory_limit = 512M/g" /etc/php/7.4/fpm/php.ini

sudo systemctl restart php7.4-fpm

К оглавлению

Убираем предупреждение о кешировании.

Не настроена система кеширования

Для увеличения производительности сервера, по возможности, настройте memcache. Более подробная информация доступна в документации

Поэтому прикручиваем систему кэширования, состоящую из локальной системы кэширования на основе APCu и системы распределённого кеширования Redis.

Ставим APCu

 sudo apt install php-apcu -y

В файле php.ini включаем apcu

sudo nano /etc/php/7.4/cli/php.ini

вставив в начало

apc.enable_cli=1

Сохраняем файл и перезапускаем php-fpm.

sudo systemctl restart php7.4-fpm

Редактируем файл config/config.php в директории установки Nextсloud

sudo nano /usr/share/nginx/nextcloud/config/config.php

и вставляем следующую строку перед закрывающем скобкой «);»

'memcache.local' => '\OC\Memcache\APCu',

Ставим Redis.

sudo apt install redis-server php-redis -y

Проверяем, что он запустился

ps ax | grep redis
 15758 ?        Ssl    0:00 /usr/bin/redis-server 127.0.0.1:6379

В тот же файл config/config.php

sudo nano /usr/share/nginx/nextcloud/config/config.php

вставьте следующее опять перед закрывающей скобкой «);»

  'memcache.distributed' => '\OC\Memcache\Redis',
  'redis' =>
  array (
        'host' => '127.0.0.1',
        'port' => 6379,
  ),
  'memcache.locking' => '\OC\Memcache\Redis',

Сохраняем файл. Перезапускаем php-fpm, если вы это ещё не сделали и наслаждаемся ускоренной работе Nextcloud.

P.S. Если при консольном выполнении команд вы получаете такое сообщение:

OC\HintException: [0]: Memcache \OC\Memcache\APCu not available for local cache (Is the matching PHP module installed and enabled?)

то тогда пропишите в файл php.ini, который находится по пути /etc/php/7.4/cli следующий текст

apc.enable_cli=1

Ошибка должна исчезнуть

К оглавлению

Убираем ошибку отсутствия индексов

В базе данных отсутствуют некоторые индексы.

Так как создание таких индексов может занять достаточно продолжительное время, оно должно быть запущено вручную. Для создания индексов необходимо запустить команду «occ db:add-missing-indices» во время работы сервера Nextcloud. При созданных индексах, как правило, запросы к базе данных выполняются значительно быстрее.

Выполняем

sudo -u www-data php /usr/share/nginx/nextcloud/occ db:add-missing-indices

При успешном индексировании будет следующий текст:

Check indices of the share table.
Check indices of the filecache table.
Check indices of the twofactor_providers table.
Check indices of the login_flow_v2 table.
Check indices of the whats_new table.
Check indices of the cards table.
Check indices of the cards_properties table.
Check indices of the calendarobjects_props table.
Adding calendarobject_calid_index index to the calendarobjects_props table, this can take some time…
calendarobjects_props table updated successfully.
Check indices of the schedulingobjects table.
Adding schedulobj_principuri_index index to the schedulingobjects table, this can take some time…
schedulingobjects table updated successfully.

Некоторые индексы базы данных не были преобразованы в тип big int.

Так как преобразование таких индексов может занять продолжительное время, оно должно быть запущенно вручную. Чтобы выполнить преобразование, необходимо включить режим обслуживания и запустить в терминале команду «occ db:convert-filecache-bigint». Дополнительные сведения приведены на соответствующей странице документации.

Вводим сервер в режим обслуживания и выполняем преобразование

sudo -u www-data php /usr/share/nginx/nextcloud/occ maintenance:mode --on

sudo -u www-data php /usr/share/nginx/nextcloud/occ db:convert-filecache-bigint

Появится сообщение

Nextcloud is in maintenance mode - no apps have been loaded
Following columns will be updated:
mounts.storage_id
mounts.root_id
mounts.mount_id
This can take up to hours, depending on the number of files in your instance!
Continue with the conversion (y/n)? [n]

Вводим «y»

И выводим из режима обслуживания

sudo -u www-data php /usr/share/nginx/nextcloud/occ maintenance:mode --off

К оглавлению

Убираем предупреждение о 4-х байтовых символах

MySQL используется в качестве базы данных, но не поддерживает 4-байтовые символы.

Чтобы иметь возможность обрабатывать 4-байтовые символы (например, смайлики) без проблем в именах файлов или комментариях, рекомендуется включить 4-байтовую поддержку в MySQL. Для получения более подробной информации обратитесь к документации.

Так как первоначально Nextcloud я ставил на базе MariaDB, то по ссылке выше для возможности обработки ошибки я не заметил продолжение про MariaDB, а сразу стал применять шаги для MySQL. Не надо так. Поэтому распишу по шагам, что и как надо делать.

P.S. Убедитесь, что MariaDB версии выше 10.2. У меня была версия 15.1

Убедитесь, что на вашем сервере MySQL установлены следующие параметры InnoDB в файле:

sudo nano /etc/mysql/mariadb.cnf

[mysqld]
innodb_large_prefix=true
innodb_file_format=barracuda
innodb_file_per_table=1

и если их нет, то вставьте в конец файла.

Перезапустите сервер MariaDB

sudo systemctl restart mariadb

Выясните был ли изменён формат файла на Barracuda

sudo mariadb

SELECT NAME, SPACE, FILE_FORMAT FROM INFORMATION_SCHEMA.INNODB_SYS_TABLES WHERE NAME like "nextcloud%";

Если формат файла — «barracuda» для каждой отдельной таблицы, то ничего особенного не остается делать. Продолжайте с инструкциями для MySQL. Во время тестирования формат файла всех таблиц был “Antelope”.

Таблицы должны быть перенесены в “barracuda” вручную, одна за другой. Однако команды SQL можно легко создавать:

USE INFORMATION_SCHEMA;
SELECT CONCAT("ALTER TABLE `", TABLE_SCHEMA,"`.`", TABLE_NAME, "` ROW_FORMAT=DYNAMIC;") AS MySQLCMD FROM TABLES WHERE TABLE_SCHEMA = "nextcloud";

Скопируйте появившийся ответ и уберите в нем символ «|». После этого вставляйте текст в консоль mariadb

После всего проделанного формат файла должен поменяться на Barracuda. Проверим.

SELECT NAME, SPACE, FILE_FORMAT FROM INFORMATION_SCHEMA.INNODB_SYS_TABLES WHERE NAME like "nextcloud%";
exit;

Инструкции для MySQL

Вводим в режим обслуживания.

sudo -u www-data php /usr/share/nginx/nextcloud/occ maintenance:mode --on

sudo mariadb

ALTER DATABASE nextcloud CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci;
exit;

sudo -u www-data php /usr/share/nginx/nextcloud/occ config:system:set mysql.utf8mb4 --type boolean --value="true"

Должен быть такой результат

Nextcloud is in maintenance mode - no apps have been loaded

System config value mysql.utf8mb4 set to boolean true

Запускаем конвертацию

sudo -u www-data php /usr/share/nginx/nextcloud/occ maintenance:repair

Отключаем режим обслуживания.

sudo -u www-data php /usr/share/nginx/nextcloud/occ maintenance:mode --off

К оглавлению

Режим шифрования

Задействован устаревший режим шифрования файлов на стороне сервера.

Рекомендуется отключить такое шифрование. Более подробные сведения содержатся в документации.

Как я понял, устаревший режим шифрования был введён в ранних версиях Nextcloud и впоследствии заменён на новый. Однако в хранилище могли остаться файлы со старым (legacy) типом шифрования.

В документации сказано, что найти эти файлы можно командой

occ encryption:scan:legacy-format

или более полный вариант

sudo -u www-data php /usr/share/nginx/nextcloud/occ encryption:scan:legacy-format

В процессе сканирования occ начнёт искать файлы со старым типом шифрования или если в базе такие файлы отсутствуют, выдаст предупреждение, «does not have a proper header«.

Такие файлы я просто заменил копиями тех, у кого есть нужные заголовки. Так как таких файлов у меня просто не было.

После этого в файле config.php можно отключить поддержку устаревшего формата шифрования, удалив строку

'encryption.legacy_format_support' => true,

или, выставив значение false вместо true

С самими файлами в хранилище ничего не произойдёт, они так же будут зашифрованы как и раньше. В данном случае, мы просто отключили поддержку старого режима шифрования.

К оглавлению

Настройка обратного прокси для доступа

Для доступа к файлам, используя обратный прокси, особых настроек делать не надо, достаточно в директиве proxy_pass указать IP сервера с Nextcloud. Однако, если вы используете клиент Nextcloud, то он при авторизации запустит окно браузера с IP сервера Nextcloud, а не его доменным именем. Чтобы это исправить, делаем следующее:

Для примера IP обратного прокси — 192.168.0.1, IP Nextcloud-сервера — 192.168.0.2

В файле nextcloud/config/config.php

'trusted_domains' =>
array (
0 => '192.168.0.2',
1 => '192.168.0.1',
),

'overwritehost' => 'domain.name.example.org',
'overwriteprotocol' => 'https',
'overwritewebroot' => '',
'overwritecondaddr' => '^192\.168\.0\.1$',
'overwrite.cli.url' => 'https://domain.name.example.org',

'trusted_proxies' =>
array (
    0 => '192.168.0.1',
),

Таким образом, опция trusted_proxies исправляет проблему «Заголовки обратного прокси настроены неправильно, либо вы подключены к серверу Nextcloud через доверенный прокси«

К оглавлению

Уведомление о HTTP «X-Frame-Options»

Заголовок HTTP «X-Frame-Options» не настроен на значение «SAMEORIGIN».

Это потенциальная проблема безопасности для устранения которой рекомендуется задать этот параметр.

Для этого добавьте в файл конфигурации nginx на стороне nextcloud следующее содержимое в секцию server

add_header X-Frame-Options "SAMEORIGIN";

Веб-сервер не настроен должным образом для разрешения «/.well-known/caldav». .

Дополнительная информация может быть найдена в нашей документации

В конфиге nextcloud в статье есть строки с настройкой доступа к этому пути. Для удобства повторю тут

 location = /.well-known/carddav {
         return 301 $scheme://$host/remote.php/dav;
     }

     location = /.well-known/caldav {
        return 301 $scheme://$host/remote.php/dav;
     }

К оглавлению

Новый dashboard

Следующая опция для тех, кто обновился до 20 версии и при заходе на главную облака видит новый dashboard вместо знакомого списка файлов.

Исправляется просто добавлением в файл config.php следующей строки

'defaultapp' => 'files',

К оглавлению

Модуль php-imagick и SVG

Модуль php-imagick в этом случае не поддерживает SVG.

Для лучшей совместимости рекомендуется установить его

После установки или обновления Nextcloud до 21 версии появится сообщение об ошибке в модуле php-imagick. И хотя само расширение для php установлено, может статься, что в системе не установлен пакет приложения imagemagick. Поэтому ставим его через apt

apt install imagemagick

В русском переводе на 2021.03.25 фраза переведена немного неправильно. В оригинале это выглядит как «Module php-imagick in this instance has no SVG support. For better compatibility it is recommended to install it.» — «У модуля php-imagick на этом сервере отсутствует поддержка формата SVG. Для лучшей совместимости рекомендуется установить его»

К оглавлению

Регион размещения сервера

Не указан регион размещения этого сервера Nextcloud, что требуется для возможности проверки номеров телефонов без указания кода страны.

Чтобы разрешить пользователям сервера указывать номера телефонов без указания кода страны, добавьте параметр «default_phone_region» с соответствующим кодом страны в соответствии с ISO 3166-1↗.

Опять же после обновления до 21 версии Nextcloud появляется такое предупреждение. Точную причину почему в Nextcloud понадобилось указывать номер телефона я не знаю, но как устранить это предупреждение — знаю.

Открывает файл config.php, расположенный в директории Nextcloud по пути config/config.php и внизу вставляем строку

  'default_phone_region' => 'RU',

К оглавлению

Файлы .mjs

Your webserver does not serve `.mjs` files using the JavaScript MIME type. This will break some apps by preventing browsers from executing the JavaScript files. You should configure your webserver to serve `.mjs` files with either the `text/javascript` or `application/javascript` MIME type.

С версии 28 в Nextcloud появился функционал использования файлов mjs

Файл с расширением .mjs — это файл исходного кода JavaScript, который используется в качестве модуля ECMA (модуль ECMAScript) в приложениях Node.js.

Из-за этого в панели администрирования можно увидеть предупреждение о том, что веб-сервер не поддерживает mjs файлы, необходимые для работы некоторых приложений или дополнений. Чтобы это исправить просто добавьте в конфигурационный файл mime-типов вашего веб-сервера следующую строку (для начала покажу на примере nginx)

nano /etc/nginx/mime.types

image/jpeg                            jpeg jpg;
application/javascript                js;
application/javascript                mjs;
application/atom+xml                  atom;

Затем перезапустите nginx

К оглавлению

Время обслуживания

Server has no maintenance window start time configured. This means resource intensive daily background jobs will also be executed during your main usage time. We recommend to set it to a time of low usage, so users are less impacted by the load caused from these heavy tasks

С 28 версии появилось предупреждение о том, что не настроено окно для проведения работ по обслуживанию системы. Опция была и раньше, просто предупреждение не выводилось в админ-панель.

Этот параметр учитывается только в режиме cron.

Чтобы исправить предупреждение добавьте в config/config.php строку

'maintenance_window_start' => 5,

Документация гласит, что указанное число используется как время старта задач по обслуживанию системы. Время старта задаётся числом с началом отсчёта по времени UTC. Тяжёлые задачи будут отложены, чтобы не нагружать сервер в рабочие часы. Они будут выполнены в течение 4 часов после наступления этого времени. То есть, указав 5 в параметре, тяжёлые задачи выполнятся с 2 ночи до 6 утра по Москве (UTC+3 — московское время, плюс 2 часа — в итоге получаем 2 часа ночи как точка старта)

Если ваша система не сильно нагружена, то можно указать в параметре 100.

К оглавлению

На этом тюнинг закончен, но не завершён.

PHP часто используемые модули

В PHP есть очень много разных модулей. И описание к ним разбросано по всему интернету. Поэтому решил собрать самые используемые в одной статье с описанием. И так приступим:

IonCube — это набор утилит для командной строки, которые позволяют производить кодирование, обфускацию и лицензирование исходного кода, написанного на языке php.
Функционал IonCube очень обширен что бы о нем можно было написать в одной статье. Под катом я опишу основной функционал IonCube, который необходим для защиты кода от не лицензионного использования.

Fileinfo — расширение для PHP, которое позволяет получить тип контента и кодировку файла. С его помощью можно получить MIME-информацию о файле, например, определить тип изображения (PNG), текста (HTML) и т. д..

Zend Opcache – это расширение PHP, предназначенное для повышения производительности PHP, сокращения времени загрузки веб-страниц и уменьшения нагрузки на сервере.

Memcached — программное обеспечение, реализующее сервис кэширования данных в оперативной памяти на основе хеш-таблицы. Проще говоря, когда страница сгенерирована, она через memcached помещается в оперативную память, и при последующем обращении к странице незачем её генерировать снова, затрачивая время и ресурсы сервера — она попросту берётся из memcached.

Redis (Remote Dictionary Server)— это высокопроизводительное хранилище данных в оперативной памяти с открытым исходным кодом, используемое как база данных, кэш и брокер сообщений. Он поддерживает различные структуры данных, такие как строки, хэши, списки, множества и сортированные множества. Redis известен своей скоростью, производительностью и простотой использования.

APCu — это расширение для PHP, которое добавляет функции кэширования объектов.  Оно сохраняет данные в оперативной памяти сервера, уменьшая необходимость в дорогих запросах к базе данных и операциях с файловой системой.

IMagick — это расширение PHP для создания и модификации изображений с использованием библиотеки ImageMagick. Оно используется для чтения, записи и преобразования изображений в любых форматах, включая EXR, GIF, JPEG, PDF, PNG, PhotoCD, TIFF и т.д..

Xdebug — средство профилирования и отладки PHP-скриптов. Поставляется как расширение для PHP и работает по протоколу DBGp.

IMAP в PHP предоставляет функциональность для работы с почтовыми ящиками по протоколу IMAP. Базовая библиотека C, от которой зависит расширение, не получала обновлений с 2018 года.

PHP Exif — это расширение, которое позволяет работать с метаданными, хранящимися в файлах изображений, таких как JPEG и TIFF.

PHP intl — Модуль интернационализации (далее Intl) — это обёртка для библиотеки » ICU, позволяющая программистам на PHP производить различные операции, которые зависят от локали, например, форматирование, транслитерация, преобразование кодировок, операции с календарём, совместимое с » UCA сравнение, определение границ текста и работать с идентификаторами локалей, часовыми поясами и графемами.

PHP XSL расширение позволяет использовать библиотеку PHP XSLT для преобразования XML-документов в другие форматы, такие как HTML, XML или простой текст.

Swoole ― высокопроизводительный асинхронный фреймворк для PHP. Используется такими интернет-гигантами как Alibaba и Baidu. С версии 4.1.0 появился волшебный метод Swoole\Runtime::enableCoroutine(), позволяющий «одной строкой кода преобразовать синхронные сетевые библиотеки PHP в асинхронные».

PHP OCI8 — это расширение, которое позволяет взаимодействовать с базами данных Oracle. Оно предоставляет функции для подключения к базе данных, выполнения SQL-заявлений, получения результатов и управления транзакциями.

php-swow — расширение для PHP, которое предоставляет асинхронные возможности на базе libuv. В частности, с его помощью можно использовать асинхронный стрим, а также функции PDO, file_get_contents() и другие (когда они обёрнуты в корутину).

Расширение PHP SQLSRV предоставляет функции для доступа к базам данных Microsoft SQL Server.

PHP-rdkafka — это стабильный и быстрый клиент Kafka для PHP на основе librdkafka.

Расширение PHP для MongoDB обеспечивает API для доступа к коллекциям MongoDB и позволяет выполнять большинство задач, относящихся к доступу и использованию базы данных MongoDB из приложений, написанных на языке PHP.

Сетевые настройки на сервере Debian

Сейчас мы подробно разберем все наиболее значимые нюансы сетевых настроек, которые могут пригодиться в повседневной работе. Первоначальная настройка сети начинается во время установки сервера. Если у вас есть сетевой интерфейс и dhcp сервер в сети, то сеть сконфигурируется автоматически на основе полученных настроек и будет готова к работе. Впоследствии вы можете выполнить настройку сети в Debian через консоль с помощью программ ip или ifconfig. Наиболее популярным и современным средством на текущий момент является ip, поэтому в дальнейшем рассмотрим вопрос конфигурации сетевых интерфейсов с её помощью. Про ifconfig тоже не забудем. Рассмотрим её в конце. Отдельно стоит такой инструмент управления сетевыми подключениями как Network Manager. В базовой версии сервера Debian минимальной конфигурации он не установлен. Его удобно использовать в сочетании с графическими оболочками, которых на сервере обычно нет, поэтому вопрос его настройки я не буду рассматривать.

Есть 2 различные возможности изменить сеть в Debian:

1. Настройка сети из консоли с помощью указанных ранее консольных программ.
2. С помощью редактирования конфигурационного файла сетевых интерфейсов /etc/network/interfaces.

Мы рассмотрим оба этих варианта. Вводная теоретическая часть окончена, приступаем к практике.

Настройка статического IP

Вы установили сервер и во время установки указали какие-то сетевые параметры, или не указали, не важно. Но сейчас вы решили, что вам нужно назначить статический ip (static ip) адрес. Воспользуемся для этого утилитой ip. Сначала посмотрим список всех сетевых интерфейсов:

# ip a

У меня в системе 1 сетевой интерфейс ens18 и он каким-то образом уже сконфигурирован. Назначим ему еще один статический адрес:

# ip addr add 192.168.1.35/24 dev ens18

Этот адрес будет добавлен к уже существующему адресу. Проверим это:

# ip a

Теперь сервер будет доступен по обоим адресам. Текущая настройка сохранится только до перезагрузки сервера. Чтобы она применялась во время загрузки, нужно либо каким-то образом добавить команду на изменение настроек в автозагрузку, например в /etc/rc.local или в /etc/crontab, но это будет костыль. Так сделать можно, но не нужно. Правильнее отредактировать файл, который отвечает за сетевые настройки в Debian — /etc/network/interfaces. Для того, чтобы назначить постоянный статический ip адрес, его нужно привести к следующему виду:

# mcedit /etc/network/interfaces

source /etc/network/interfaces.d/*

auto lo
iface lo inet loopback

auto ens18
iface ens18 inet static
address 10.20.1.36
gateway 10.20.1.1
netmask 255.255.255.0

Отдельно задержусь на моменте с активацией интерфейса. Оно может выполняться двумя разными настройками:

• auto — интерфейс активируется при загрузке системы. Это подходящая настройка для статичного сетевого адаптера.
• allow-hotplug — интерфейс поднимается, когда подсистема udev обнаружит его. Это произойдёт и при загрузке системы, как в случае с auto, если сетевая карта будет подключена, и в случае подключения, отключения устройства. Например, если это usb сетевая карта или VPN туннель. Настройка больше подходит для динамических сетевых интерфейсов.

Для проверки перезагружаем сервер и смотрим, всё ли в порядке с настройкой статического ip адреса. Если вам нужно сменить ip адрес в Debian, то вы можете временно изменить его с помощью команды ip, либо постоянно, отредактировав параметр address в файле сетевых настроек interfaces.

Получение сетевых настроек по DHCP

Теперь рассмотрим вариант, когда вам необходимо получить динамический ip адрес в Debian. Здесь по аналогии с предыдущими настройками можно пойди двумя путями:

1. Получить ip адрес по dhcp в консоли с помощью программы dhclient, который будет работать до перезагрузки.
2. Отредактировать файл конфигурации сетевых интерфейсов.

Смотрим снова на текущую конфигурацию сети:

# ip a

Выполним команду на получение ip адреса по dhcp и проверим сеть:

# dhclient
# ip a

В качестве второго ip мы получили адрес от dhcp сервера. Если у вас несколько сетевых интерфейсов, то необходимо добавлять название после команды, например вот так:

# dhclient eth0

Для того, чтобы сбросить адрес, нужно воспользоваться следующим ключом:

# dhclient -r

Обращаю внимание, что эта команда сбросит все ip адреса интерфейса, в том числе и статические. Выполнять её можно только будучи подключенным к консоли сервера напрямую, а не по сети. Чтобы снова запросить адрес, нужно выполнить предыдущую команду на получение ip. А чтобы вернуть статические настройки, надо перезапустить службу сети:

# systemctl restart networking

Все изменения, сделанные в консоли сервера после перезагрузки, исчезнут. Чтобы их сохранить, приведем файл /etc/network/interfaces к следующему виду:

# mcedit /etc/network/interfaces

source /etc/network/interfaces.d/*

auto lo
iface lo inet loopback

auto ens18
iface ens18 inet dhcp

Установка шлюза по умолчанию (default gateway)

Теперь разберемся со шлюзом по умолчанию. В предыдущих примерах со статическим ip адресом и настройками по dhcp у нас не было необходимости указывать отдельно default gateway. Мы его устанавливали вместе с остальными настройками. Чтобы посмотреть установленный по умолчанию шлюз в Debian, можно воспользоваться следующей командой в консоли:

# ip route

или ещё короче:

ip r

default via 10.20.1.1 dev ens18 onlink
10.20.1.0/24 dev ens18 proto kernel scope link src 10.20.1.66

Выделен шлюз по умолчанию (default gateway). Можно воспользоваться другими программами, которые на текущий момент признаны устаревшими, но от этого не переставшими выполнять свои функции:

# route
# netstat -nr

Если получите ошибки:

-bash: route: command not found
-bash: netstat: command not found

Значит у вас не установлен пакет net-tools. Установить его можно следующей командой.

# apt install net-tools

Сетевые инструменты из пакета net-tools объявлены устаревшими и не включены в состав базовой системы. Я иногда продолжаю пользоваться, потому что мне нравится их вывод больше, чем у команды ip. Netstat мне видится более информативным, хотя по сути, они все показывают одно и то же. Отказ в пользу утилиты ip идет по той причине, что она объединяет в себе все основные сетевые инструменты. Удобнее пользоваться только ей одной для настройки сети, нежели разными утилитами для разных целей. Если вы только изучаете Linux, то пользуйтесь сразу командой ip.

Если нам нужно сменить default gateway, то сначала надо удалить текущий шлюз, а потом назначить новый.

# ip route del default
# ip route add default via 10.20.1.100

То же самое, только с помощью route:

# route del default gw 10.20.1.1
# route add default gw 10.20.1.100

Проверяем, что получилось:

# ip r

default via 10.20.1.100 dev ens18
10.20.1.0/24 dev ens18 proto kernel scope link src 10.20.1.66

Всё получилось. Эта настройка будет действовать до перезагрузки. Чтобы ее сохранить, либо меняйте конфигурационный файл /etc/network/interfaces, либо, при необходимости, придумывайте что-то ещё. 

Как указать DNS сервер

Остался последний из основных сетевых параметров — dns сервер. С ним в Debian и Ubuntu есть определенная путаница. Традиционно в ОС на базе ядра Linux для установки dns серверов используется файл /etc/resolv.conf. Но в какой-то момент в этих дистрибутивах появилась программа resolvconf, которая стала управлять настройками dns в системе. В итоге, файл resolv.conf постоянно перезаписывается этой программой. Нужна она в первую очередь для систем, где dns сервера постоянно меняются. Она следит за их изменением и корректно передает информацию об изменении программам, для которых это важно. Я лично не знаю таких программ и мне не приходилось сталкиваться с ситуацией, когда это было необходимо. Если я не ошибаюсь, то в минимальной конфигурации Debian программа resolvconf не устанавливается, а вот в Ubuntu она стоит. Проверить наличие программы очень просто:

# dpkg -l | grep resolvconf

Если в выводе пусто, значит ее нет. Тогда все очень просто. Для того, чтобы указать dns сервер, достаточно его записать в файл /etc/resolv.conf в следующем виде:

# mcedit /etc/resolv.conf

nameserver 10.20.1.1
nameserver 77.88.8.1
nameserver 8.8.8.8
nameserver 1.1.1.1

Я на всякий случай указал локальный сервер и 3 внешних. Если у вас стоит resolvconf, то в случае ненадобности, удалите его командой:

# apt-get remove resolvconf

После этого сервер надо перезагрузить и удалить сломавшуюся символьную ссылку /etc/resolv.conf, а вместо нее создать файл с нужным содержанием, которое я привел выше. Если же вам по какой-то причине необходима указанная выше программа, она у вас стоит и вы не хотите ее удалять, то адрес dns сервера необходимо указать в файле /etc/network/interfaces, добавив к параметрам интерфейса еще один:

dns-nameservers 10.20.1.1 77.88.8.1 8.8.8.8 1.1.1.1

Этот параметр нужно установить сразу после указания шлюза gateway. Несколько адресов разделяются пробелом.

Изменить hostname (имя хоста)

Во время установки Debian вы указывали имя хоста. Посмотреть его текущее значение можно в консоли:

# hostname
debian

Это значение записано в файле /etc/hostname. Есть 2 способа изменить hostname в debian:

1. Простой и быстрый с помощью консольной команды. Результат работает только до перезагрузки компьютера. Потом вернется старое имя.
2. С помощью изменения конфигурационного файла результат сохраняется и после перезагрузки. Чтобы сразу применить изменение, потребуется выполнить системный скрипт.

Для первого способа достаточно в консоли ввести команду:

# hostname debian12

Теперь проверим, что получилось:

# hostname
debian12

Имя хоста изменилось, но в файле /etc/hostname по-прежнему указано прошлое значение. После перезагрузки hostname снова примет старое значение. Чтобы сделать постоянное изменение, необходимо ввести новое значение в файл вручную:

# mcedit /etc/hostname
debian12

Изменение вступит в силу после перезагрузки. Если воспользоваться командой:

# hostnamectl set-hostname debian12

то изменения применятся сразу же. Этот способ более правильный, рекомендую использовать именно его. Теперь проверьте текущее значение имени хоста. Оно изменится на то, что вы указали в команде.

2 и более IP на одном интерфейсе

Иногда возникают ситуации, когда необходимо назначить несколько ip на одном интерфейсе. Сделать это очень просто. В самом начале я показал, как быстро через консоль в Debian можно назначить несколько ip c помощью dhclient, когда уже указан статический адрес. Теперь сделаем так, чтобы эти настройки сохранялись после перезагрузки. Для этого редактируем наш любимый и ненаглядный /etc/network/interfaces:

# mcedit /etc/network/interfaces

source /etc/network/interfaces.d/*

auto lo
iface lo inet loopback

auto ens18
iface ens18 inet dhcp

auto ens18:1
iface ens18:1 inet static
address 10.20.1.66
netmask 255.255.255.0

С такими настройками я получу 2 ip адреса на сетевом интерфейсе:

1. Первый от dhcp сервера.
2. Второй адрес на этой же сетевой карте будет указан статически.

Вы таким образом можете добавить сколько вам необходимо адресов, используя различные параметры.

Как быстро узнать ip адрес сервера в Debian

Часто возникает вопрос, как в Debian быстро узнать или проверить ip адреса, назначенные серверу. Выше я уже приводил пример простой команды, которая показывает все сетевые параметры интерфейса. Сейчас рассмотрим несколько вариантов, которые наглядно покажут только ip адреса, без лишней информации. Для начала воспользуемся уже известной командой ip, немного подрезав ее вывод:

# ip a | grep inet | awk '{print $2}'

Вы узнаете все ip адреса сервера, в том числе и ipv6. То же самое, только без ipv6 можно увидеть другой командой:

# ifconfig | grep 'inet '

Если получите ошибку:

-bash: ifconfig: command not found

Значит у вас не установлен пакет net-tools. Установить его можно следующей командой:

# apt install net-tools

Если совсем заморочиться и обрезать все лишнее в выводе команды ifconfig, то можно вывести только список ip адресов:

# ifconfig | grep 'inet ' | awk '{ print $2}'

Можно убрать локальный интерфейс, чтобы глаза не мозолил, тогда вообще все наглядно:

# ifconfig | grep 'inet ' | awk '{ print $2}' | grep -v 127.0.0.1

То же самое для ip:

# ip a | grep 'inet ' | awk '{ print $2}' | grep -v 127.0.0.1

Думаю, этих вариантов достаточно, чтобы проверить все ip адреса, отрезав лишнее.

Static routes (статические маршруты)

Следующим важным элементом настройки сети является управление статическими маршрутами (static routes): добавление (route add) и удаление (route del). Это часто бывает нужно, когда на шлюзе настроены VPN соединения. К примеру, запросы в одну подсеть отправляем через один VPN интерфейс, в другую подсесть — через другой. Какие-то VPN сервисы умеют сами управлять своими статическими маршрутами, какие-то нет. Тогда это нужно сделать вручную.

Вновь воспользуемся консольной командой ip. Для того, чтобы добавить маршрут в Debian, достаточно ввести в консоли:

# ip route add 192.168.13.0/24 via 10.20.1.100

Проверяем таблицу маршрутов:

# ip r

Чтобы удалить маршрут, выполняем команду:

# ip route delete 192.168.13.0/24

После перезагрузки все маршруты, добавленные таким способом, исчезнут. Чтобы статический маршрут в Debian сохранялся после перезагрузки, опять редактируем interfaces, добавляя в описание того интерфейса, к которому будут относиться маршруты, следующие строки:

post-up route add -net 192.168.13.0 netmask 255.255.255.0 gw 10.20.1.100
post-up route add -net 192.168.15.0 netmask 255.255.255.0 gw 10.20.1.100
pre-down route del -net 192.168.13.0 netmask 255.255.255.0 gw 10.20.1.100
pre-down route del -net 192.168.15.0 netmask 255.255.255.0 gw 10.20.1.100

Мы добавили 2 статических маршрута. Перезагружаемся и проверяем.

Мой конфиг целиком стал выглядеть вот так:

source /etc/network/interfaces.d/*

auto lo
iface lo inet loopback

auto ens18
iface ens18 inet dhcp
post-up route add -net 192.168.13.0 netmask 255.255.255.0 gw 10.20.1.100
post-up route add -net 192.168.15.0 netmask 255.255.255.0 gw 10.20.1.100
pre-down route del -net 192.168.13.0 netmask 255.255.255.0 gw 10.20.1.100
pre-down route del -net 192.168.15.0 netmask 255.255.255.0 gw 10.20.1.100

auto ens18:1
iface ens18:1 inet static
address 10.20.1.66
netmask 255.255.255.0

С постоянными статическими маршрутами в Debian разобрались, ничего сложного. Идём дальше.

Как выполнить перезапуск сети

Если есть возможность перезагрузить сервер, чтобы проверить новые сетевые настройки, лучше это сделать. Это избавит вас от сюрпризов, которые могут возникнуть, если вы отложите перезагрузку и где-то ошибётесь. Не всегда это обязательно делать. Иногда достаточно просто перечитать сетевую конфигурацию. Для перезапуска сети в Debian можно воспользоваться командой:

# systemctl restart networking

или

# service networking restart

Они выполняются не мгновенно, обычно несколько секунд.

Несмотря на то, что в большинстве современных дистрибутивов на базе Linux внедрена система инициализации systemd, в директории /etc/init.d/ для совместимости остались рудименты от старой системы SysVinit. Выполнить перезагрузку сети можно с их помощью:

# /etc/init.d/networking restart
[ ok ] Restarting networking (via systemctl): networking.service.

Команда делает то же самое, но есть некая обратная связь о том, как всё прошло. Если у вас всё в порядке на сервере и нет сетевых ошибок, то рестарт сети можно спокойно делать удаленно по ssh. Вас даже не отключит от текущей сессии. Но на всякий случай я не рекомендую это делать, если у вас нет доступа к консоли сервера. Всякое может случиться, я бы не рисковал лишний раз. Настройку сети, как и файрвола, лучше не делать, не имея прямого доступа к консоли сервера.

Настройка vlan в Debian

Для настройки vlan в Debian первым делом необходимо установить пакет vlan:

# apt install vlan

Теперь нужно разобраться с необходимым модулем ядра для vlan — 8021q. Проверим, загружен ли он в системе:

# lsmod | grep 8021q

Если в выводе пусто, а по умолчанию там будет пусто, модуль не загружен. Загрузим его и проверим:

# modprobe 8021q
# lsmod | grep 8021q
8021q                  40960  0
garp                   16384  1 8021q
mrp                    20480  1 8021q

Всё в порядке, vlan модуль загрузился. Добавим его в автозагрузку:

# echo 8021q >> /etc/modules

Теперь этот модуль будет загружаться при старте сервера. Создадим виртуальный интерфейс с vlan с id 1500:

# ip link add link ens18 name ens18.1500 type vlan id 1500

Назначим адрес новому интерфейсу и запустим его:

# ip addr add 10.20.1.150/24 dev ens18.1500
# ip link set ens18.1500 up

Можно в одну команду, с помощью ifconfig:

# ifconfig ens18.1500 10.20.1.150 netmask 255.255.255.0 up

Смотрим, что получилось:

Мы выполнили настройку vlan интерфейса в Debian. Теперь сделаем так, чтобы после перезагрузки настройки сохранились. Для этого добавляем свойства vlan интерфейса в файл конфигурации сети, оставляя и не трогая то, что там уже есть:

# mcedit /etc/network/interfaces

auto ens18.1500
iface ens18.1500 inet static
address 10.20.1.150
netmask 255.255.255.0
vlan_raw_device ens18

Перезагрузите сервер и проверьте, что получилось. Можно выполнить перезапуск сети, но если вы до этого все вручную через консоль сделали, то не поймете, сработали настройки из файла или нет. Таким образом очень просто и быстро настроить vlan на сервере с Debian.

Как отключить ipv6 в Debian

Пока еще эта версия протокола ip не получила широкого распространения в России. Если он вам специально не нужен, ipv6 можно отключить. Прежде чем отключать, необходимо узнать, какие сервисы в настоящее время его используют и перенастроить их, отключив у них ipv6. Если этого не сделать, то в работе этих программ могут возникнуть ошибки. Скорее всего некритичные, но всё равно, сделаем аккуратно и правильно. Сначала проверим, что у нас работает на ipv6:

# ss -tulnp | grep ::

На целевом сервере с Debian программы ssh, postfix и rpcbind используют ipv6. Отключим это. Начнем с ssh. Открываем файл /etc/ssh/sshd_config и раскомментируем параметр ListenAddress:

# mcedit /etc/ssh/sshd_config

ListenAddress 0.0.0.0

Перезапускаем ssh:

# systemctl restart sshd

Сделаем то же самое с postfix. Открываем файл конфигурации /etc/postfix/main.cf и меняем параметр:

# mcedit /etc/postfix/main.cf

inet_protocols = ipv4

Перезапускаем postfix:

# systemctl restart postfix

Отключаем ipv6 в rpcbind. Для этого нужно внести изменения в системный systemd unit:

# systemctl edit rpcbind.socket

Добавляем между сегментами с комментариями:

[Socket]
ListenStream=
ListenDatagram=
ListenStream=0.0.0.0:111
ListenDatagram=0.0.0.0:111

Перечитываем настройки юнита и перезапускаем службу rpcbind:

# systemctl daemon-reload
# systemctl restart rpcbind.socket

Проверяем, что у нас получилось:

# ss -tulnp | grep ::

В выводе пусто. Мы изменили настройки всех служб, которые использовали ipv6, отключив его.

Теперь полностью отключаем ipv6 в Debian на уровне системы:

# mcedit /etc/sysctl.conf

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1

Добавьте эти строки в любое место конфига, например, в самый конец. Отключим ipv6 на уровне GRUB. Открываем конфиг /etc/default/grub и в параметр GRUB_CMDLINE_LINUX нужно добавить значение ipv6.disable=1. Если там уже указаны другие значения, то перечислены они должны быть через пробел. Примерно так:

GRUB_CMDLINE_LINUX="crashkernel=auto rhgb quiet ipv6.disable=1"

После этого нужно обновить загрузчик:

# dpkg-reconfigure grub-pc

После запуска команды все параметры, которые предложит оболочка, можно оставить по умолчанию, ничего не меняя. Когда обновление загрузчика закончится, надо перезагрузить систему.

Проверяем свойства сетевых интерфейсов командами ip или ifconfig. Адресов ipv6 в их настройках быть не должно, мы полностью отключили этот протокол. Более подробно об отключении ipv6 в различных приложениях читайте в отдельной статье — как отключить ipv6.

Работа с файлом hosts

В папке /etc любого linux дистрибутива, в том числе Debian, есть файл hosts. Разберемся немного, что это за файл и для чего нужен. По умолчанию он выглядит следующим образом:

# cat /etc/hosts

Представим, что у нас в локальной сети есть некий сервер с именем server и ip 10.20.1.2. Мы хотим к нему обращаться по имени. Тогда добавляем запись в файл hosts в самый конец новой строкой:

10.20.1.2 server

Теперь мы можем обращаться к серверу просто по имени server.

Локальный сервер будет в первую очередь смотреть информацию в файле hosts, только потом в настроенном dns сервере. Например, если вы добавите в файл строку:

127.0.0.1 ya.ru

То обращаясь к адресу ya.ru будете попадать на localhost:

Эта функциональность может быть полезна для публикации в локальной сети каких-то внутренних сервисов, к которым доступ будет только в рамках ваших серверов. Если их будет немного, вам нет необходимости использовать dns сервер, с файлом hosts настройка делается гораздо быстрее. Например, с его помощью можно связать именами 3 сервера небольшого локального кластера. Так же правка файла hosts актуальна, если вы используете локальную копию сервиса webpagetest для тестирования скорости работы сайта на разных хостингах. Вы просто меняете ip адреса для домена и делаете тесты. Так можно наглядно и однозначно сравнивать быстродействие разных хостингов. Подробно об этом можно почитать в статье — ускорение сайта и аудит.

Настройка сетевой карты

Иногда возникают ситуации, когда необходимо настроить или изменить настройки сетевой карты. Сразу отмечу, что настраивать сетевую карту можно только на реальном железе. На виртуальном, скорее всего, ни одна из предложенных дальше команд не приведет к какому-нибудь результату. У виртуальных сетевых адаптеров просто нет настроек. Для начала посмотрим, какие сетевые карты есть на сервере:

# lspci | grep Eth
05:00.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller (rev 06)

В моем случае это единственная сетевая карта фирмы Realtek. Теперь установим утилиту ethtool для настройки сетевой карты:

# apt install ethtool

Посмотрим информацию о сетевой карте:

# ethtool enp5s0

Указана текущая скорость, на которой работает карточка. Ее можно сменить в случае необходимости:

# ethtool -s enp5s0 speed 100 duplex full

Этой командой можно изменить скорость сетевой карточки до 100Mb/s в случае, если там стояла другая скорость. Смотрим, что получилось:

# ethtool enp5s0 | grep Speed
Speed: 100Mb/s

Показал просто для примера, вряд ли кому-то понадобится уменьшать скорость. Чаще нужно выполнить обратное преобразование. У меня была ситуация, когда сетевая карта упорно не хотела работать на скорость 1Gb/s, хотя поддерживала такую работу, и свитч был гигабитный. Долго бился и пробовал различные утилиты для изменения скорости. Оказалось, что патч корд был 4-х жильный из комплекта какого-то роутера. Им воспользовались для подключения и даже не обратили внимание на то, что он не поддерживает работу по гигабиту. У утилиты ethtool много параметров, с помощью которых можно настроить сетевую карту. Пример этих параметров можно посмотреть на сайте redhat.

Работа с утилитой ifconfig

В завершении сетевых настроек хотел немного поговорить об ifconfig. Ранее я упомянул, что более современным средством для настройки сети является утилита ip. В современных релизах Debian и CentOS ifconfig вообще исключили из базовой установки, ее приходится устанавливать отдельно. IP объединяет в себе две функциональности — настройка сетевых интерфейсов и маршрутизации. То есть по сути она заменяет ifconfig + route. В ней реализована функциональность обоих программ. Сам я начинал с ifconfig, так как она есть не только в Linux, но и в Freebsd и других системах Unix. Удобно использовать одно и то же средство во всех дистрибутивах. Но в последние несколько лет переучился на ip, так как надо идти в ногу со временем. Тенденция такова, что ip заменила ifconfig во всех современных дистрибутивах на базе Linux. Что касается удобства, лично я ничего не могу сказать, мне совершенно всё равно, какую команду использовать:

ip addr add 192.168.1.35/24 dev eth0

или

ifconfig eth0 192.168.1.35 netmask 255.255.255.0

Делают они одно и то же. Остальные команды по конфигурированию сетевых интерфейсов тоже не сильно отличаются, просто пишутся немного по-разному. Вот пример работы с маршрутами:

ip route add 192.168.100.0/24 dev eth2

или

route add -net 192.168.100.0/24 dev eth2

В случае с ip мы работаем с одной командой, а не двумя. Чем пользоваться вам, выбирайте сами. Если не привыкли к чему-то конкретному, рекомендую использовать ip. Мне было бы любопытно узнать, кто, что использует. Оставьте свой комментарий на эту тему. На этом я завершаю свой материал по теме настройки сети в Debian. Я рассмотрел все наиболее значимые и необходимые параметры, с которыми приходится сталкиваться во время конфигурирования сервера.

Взято с сайта serveradmin.ru

Авторизация по ключу SSH

SSH или Secure Shell — это зашифрованный протокол, который часто используется для взаимодействия и удаленного управления серверами. Если вы захотите что-либо сделать на удаленном сервере, скорее всего, вам придется воспользоваться SSH и работать через терминал.

В SSH существует несколько способов авторизации. Вы можете каждый раз вводить пароль пользователя или использовать более безопасный и надежный способ — ключи SSH. Что самое интересное, он более удобен для применения, вам даже не нужно будет вводить пароль. В этой статье мы рассмотрим как настраивается авторизация по ключу SSH.

Как работают ключи SSH?

SSH сервер может выполнять аутентификацию пользователей с помощью различных алгоритмов. Самый популярный — это аутентификация по паролю. Он достаточно прост, но не очень безопасный. Пароли передаются по безопасному каналу, но они недостаточно сложны для противостояния попыткам перебора. Вычислительная мощность современных систем в сочетании со специальными скриптами делают перебор очень простым. Конечно, существуют другие способы дополнительной безопасности, например, fail2ban, но аутентификация по ключу SSH более надежна.

Каждая пара ключей состоит из открытого и закрытого ключа. Секретный ключ сохраняется на стороне клиента и не должен быть доступен кому-либо еще. Утечка ключа позволит злоумышленнику войти на сервер, если не была настроена дополнительная аутентификация по паролю.

Открытый ключ используется для шифрования сообщений, которые можно расшифровать только закрытым ключом. Это свойство и используется для аутентификации с помощью пары ключей. Открытый ключ загружается на удаленный сервер, к которому необходимо получить доступ. Его нужно добавить в специальный файл ~/.ssh/authorized_keys.

Когда клиент попытается выполнить проверку подлинности через этот ключ, сервер отправит случайное сообщение для проверки, клиент шифрует его с помощью закрытого ключа и отправляет обратно. Дальше сервер проверяет получится ли его расшифровать с помощью открытого ключа и если да — аутентификация пройдена.

Как создать ключи SSH?

Сначала необходимо создать ключи ssh для аутентификации на локальном сервере. Для этого существует специальная утилита ssh-keygen, которая входит в набор утилит OpenSSH. По умолчанию она создает пару 2048 битных RSA ключей, которая подойдет не только для SSH, но и для большинства других ситуаций.

Итак, генерация ключей ssh выполняется командой:

 ssh-keygen

Утилита предложит вам выбрать расположение ключей. По умолчанию ключи располагаются в папке ~/.ssh/. Лучше ничего не менять, чтобы все работало по умолчанию и ключи автоматически подхватывались. Секретный ключ будет называться id_rsa, а публичный id_rsa.pub.

Затем утилита предложит ввести пароль для дополнительного шифрования ключа на диске. Его можно не указывать, если не хотите. Использование дополнительного шифрования имеет только один минус — необходимость вводить пароль, и несколько преимуществ:

• Пароль никогда не попадет в сеть, он используется только на локальной машине для расшифровки ключа. Это значит что перебор по паролю больше невозможен.
• Секретный ключ хранится в закрытом каталоге и у клиента ssh нет к нему доступа пока вы не введете пароль;
• Если злоумышленник хочет взломать аутентификацию по ключу SSH, ему понадобится доступ к вашей системе. И даже тогда ключевая фраза может стать серьезной помехой на его пути.

Но все же, это необязательное дополнение и если не хотите, то вы можете просто нажать Enter. Тогда доступ по ключу ssh будет выполняться автоматически и вам не нужно будет что-либо вводить.

Теперь у вас есть открытый и закрытый ключи SSH и вы можете использовать их для проверки подлинности. Дальше нам осталось разместить открытый ключ на удаленном сервере.

Загрузка ключа на сервер

Когда генерация ключей завершена, нам осталось только загрузить ключ на сервер. Для загрузки ключа можно использовать несколько способов. В некоторых случаях вы можете указать ключ в панели управления сервером, например, сPanel или любой другой. Но мы такой способ рассматривать не будем. Мы рассмотрим ручные способы.

Самый простой способ скопировать ключ на удаленный сервер — это использовать утилиту ssh-copy-id. Она тоже входит в пакет программ OpenSSH. Но для работы этого метода вам нужно иметь пароль доступа к серверу по SSH. Синтаксис команды:

 ssh-copy-id username@remote_host

При первом подключении к серверу система может его не распознать, поэтому вам нужно ввести yes. Затем введите ваш пароль пользователя на удаленном сервере. Утилита подключится к удаленному серверу, а затем использует содержимое ключа id.rsa.pub для загрузки его на сервер в файл ~/.ssh/authorized_keys. Дальше вы можете выполнять аутентификацию с помощью этого ключа.

Если такой способ по какой-либо причине для вас не работает, вы можете скопировать ключ по ssh вручную. Мы создадим каталог ~/.ssh, а затем поместим наш ключ в файл authorized_keys с помощью символа >>, это позволит не перезаписывать существующие ключи:

 cat ~/.ssh/id_rsa.pub | ssh username@remote_host "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"

Здесь вам тоже нужно набрать yes, если вы подключаетесь к новому серверу, а затем ввести пароль. Теперь вы можете использовать созданный ключ для аутентификации на сервере:

 ssh username@remote_host

Если вы не захотели создать ssh ключ с доступом по паролю, то вы сразу же будете авторизованы, что очень удобно. Иначе, сначала вам придется ввести фразу-пароль для расшифровки ключа.

Отключение проверки пароля

Если пароль больше не будет использоваться, то для увеличения безопасности системы лучше его вовсе отключить. Но убедитесь, что ключ надежно сохранен и вы его не потеряете, потому что по паролю вы больше не войдете. Авторизуйтесь на сервере, затем откройте конфигурационный файл /etc/ssh/sshd_config и найдите там директиву PasswordAuthenticatin. Нужно установить ее значение в No:

 sudo vi /etc/ssh/sshd_config

PasswordAuthentication no

Теперь сохраните файл и перезапустите службу ssh:

 sudo service ssh restart

Дальше будет возможно только подключение по ключу ssh, пароль не будет приниматься.

Выводы

В этой статье мы рассмотрели как выполняется авторизация по ключу ssh, настройка ключей ssh и добавить ssh ключ. Теперь вы можете войти на сервер без ввода пароля. Если у вас остались вопросы, спрашивайте в комментариях!

материал взят с сайта losst.pro

Активация всех версий Windows Server без ключа продукта

Как вы знаете, Windows Server — это специализированная операционная система, предназначенная только для сервера. В сегодняшнем посте я покажу вам, как бесплатно активировать Windows на вашем VPS или выделенном сервере с помощью ключей клиентского продукта KMS. Хотя лицензия KMS действительна только в течение 180 дней, но количество активаций не ограничено. Таким образом, вы можете обновить его, когда захотите. На самом деле, лицензия будет обновляться автоматически каждые 7 дней по умолчанию (почти аналогично Let’s Encrypt certificate). Таким образом, просто сделайте это один раз и полностью забудьте об этом.

Запись:

• Если вы студент, офисный работник или любой стандартный пользователь, использующий настольную версию Windows, просто пропустите этот пост и, пожалуйста, не следуйте инструкциям. Я не буду нести ответственность за любой ущерб, причиненный вами.
• Все выпуски Windows Server на домашней странице Microsoft являются оценочными и не поддерживаются KMS. Так что, если вы используете ознакомительную версию, просто конвертировать его в розничную прежде чем следовать инструкциям ниже.

Поддерживаемые продукты:

• Windows Server 2022/2019/2016.
• Windows Server, версия 1809, 1803, 1709.
• Windows Server 2008/2012 (R2).

Как вы можете видеть на изображении выше, я использую копию стандарта Windows Server 2016, и она не активирована.

содержание

Метод 1: Ручная установка клиентского ключа KMS и его активация.

Метод 2: Использование предварительно написанного пакетного файла.

Метод 1: Ручная установка клиентского ключа KMS и его активация.

Шаг 1.1: Получите правильный ключ продукта от официальная статья Microsoft.
Ключ настройки клиента KMS стандарта Win Server 2016: “ WC2BQ-8NRM3-FDDYY-2BFGV-KHKQY ”. Я буду использовать это на следующем шаге.

Шаг 1.2: Установите ключ на вашем сервере.
Чтобы открыть командную строку, нажмите кнопку Windows, найдите “ cmd ” и запустите командную строку в качестве администратора. Затем введите “ slmgr /ipk CLIENTKEY ” в командном окне.
Примечание: за каждой командой следует нажатие Enter.

Шаг 1.3: Установите сервер KMS.
Введите “ slmgr /skms km8.msguides.com ” в окне.

Шаг 1.4: Активируйте клиентский ключ KMS.
Наконец, используйте команду “slmgr /ato ”, чтобы активировать Windows.

Если вы видите ошибку 0xC004F074, это означает, что ваше интернет-соединение нестабильно или сервер занят. Пожалуйста, убедитесь, что ваше устройство подключено к сети, и повторите команду “ ato ”, пока не добьетесь успеха.

Метод 2: Использование предварительно написанного пакетного файла.

Этот больше не рекомендуется из-за новое обновление Microsoft.

Шаг 2.1: Скопируйте весь текст ниже в текстовый файл.

@echo off
title Activate Windows Server (ALL versions) for FREE - MSGuides.com&cls&echo =====================================================================================&echo #Project: Activating Microsoft software products for FREE without additional software&echo =====================================================================================&echo.&echo #Supported products:&echo http://bit.ly/kmsclientkeys&echo.&echo.&echo ============================================================================&echo Activating your Windows...&set i=1
cscript //nologo slmgr.vbs /ipk 4DWFP-JF3DJ-B7DTH-78FJB-PDRHK >nul||cscript //nologo slmgr.vbs /ipk 22XQ2-VRXRG-P8D42-K34TD-G3QQC >nul||cscript //nologo slmgr.vbs /ipk 7M67G-PC374-GR742-YH8V4-TCBY3 >nul||cscript //nologo slmgr.vbs /ipk RCTX3-KWVHP-BR6TB-RB6DM-6X7HP >nul||cscript //nologo slmgr.vbs /ipk 39BXF-X8Q23-P2WWT-38T2F-G3FPG >nul||cscript //nologo slmgr.vbs /ipk YQGMW-MPWTJ-34KDK-48M3W-X4Q6V >nul||cscript //nologo slmgr.vbs /ipk W7VD6-7JFBR-RX26B-YKQ3Y-6FFFJ >nul||cscript //nologo slmgr.vbs /ipk TM24T-X9RMF-VWXK6-X8JC9-BFGM2 >nul||cscript //nologo slmgr.vbs /ipk WYR28-R7TFJ-3X2YQ-YCY4H-M249D >nul||cscript //nologo slmgr.vbs /ipk GT63C-RJFQ3-4GMB6-BRFB9-CB83V >nul||cscript //nologo slmgr.vbs /ipk 74YFP-3QFB3-KQT8W-PMXWJ-7M648 >nul||cscript //nologo slmgr.vbs /ipk 489J6-VHDMP-X63PK-3K798-CPX3Y >nul||cscript //nologo slmgr.vbs /ipk YC6KT-GKW9T-YTKYR-T4X34-R7VHC >nul||cscript //nologo slmgr.vbs /ipk TT8MH-CG224-D3D7Q-498W2-9QCTX >nul||cscript //nologo slmgr.vbs /ipk 6TPJF-RBVHG-WBW2R-86QPH-6RTM4 >nul||cscript //nologo slmgr.vbs /ipk 48HP8-DN98B-MYWDG-T2DCC-8W83P >nul||cscript //nologo slmgr.vbs /ipk XNH6W-2V9GX-RGJ4K-Y8X6F-QGJ2G >nul||cscript //nologo slmgr.vbs /ipk HM7DN-YVMH3-46JC3-XYTG7-CYQJJ >nul||cscript //nologo slmgr.vbs /ipk XC9B7-NBPP2-83J2H-RHMBY-92BT4 >nul||cscript //nologo slmgr.vbs /ipk 4K36P-JN4VD-GDC6V-KDT89-DYFKP >nul||cscript //nologo slmgr.vbs /ipk 2WN2H-YGCQR-KFX6K-CD6TF-84YXQ >nul||cscript //nologo slmgr.vbs /ipk 8N2M2-HWPGY-7PGT9-HGDD8-GVGGY >nul||cscript //nologo slmgr.vbs /ipk BN3D2-R7TKB-3YPBD-8DRP2-27GG4 >nul||cscript //nologo slmgr.vbs /ipk KNC87-3J2TX-XB4WP-VCPJV-M4FWM >nul||cscript //nologo slmgr.vbs /ipk W3GGN-FT8W3-Y4M27-J84CP-Q3VJ9 >nul||cscript //nologo slmgr.vbs /ipk D2N9P-3P6X9-2R39C-7RTCD-MDVJX >nul||cscript //nologo slmgr.vbs /ipk JCKRF-N37P4-C2D82-9YXRT-4M63B >nul||cscript //nologo slmgr.vbs /ipk WC2BQ-8NRM3-FDDYY-2BFGV-KHKQY >nul||cscript //nologo slmgr.vbs /ipk CB7KF-BWN84-R7R2Y-793K2-8XDDG >nul||cscript //nologo slmgr.vbs /ipk WVDHN-86M7X-466P6-VHXV7-YY726 >nul||cscript //nologo slmgr.vbs /ipk N69G4-B89J2-4G8F4-WWYCC-J464C >nul||cscript //nologo slmgr.vbs /ipk WMDGN-G9PQG-XVVXX-R3X43-63DFG >nul||cscript //nologo slmgr.vbs /ipk DPCNP-XQFKJ-BJF7R-FRC8D-GF6G4 >nul||cscript //nologo slmgr.vbs /ipk 6Y6KB-N82V8-D8CQV-23MJW-BWTG6 >nul||cscript //nologo slmgr.vbs /ipk PTXN8-JFHJM-4WC78-MPCBR-9W4KR >nul||cscript //nologo slmgr.vbs /ipk 2HXDN-KRXHB-GPYC7-YCKFJ-7FVDG >nul||cscript //nologo slmgr.vbs /ipk N2KJX-J94YW-TQVFB-DG9YT-724CC >nul||cscript //nologo slmgr.vbs /ipk 6NMRW-2C8FM-D24W7-TQWMY-CWH2D >nul||cscript //nologo slmgr.vbs /ipk WX4NM-KYWYW-QJJR4-XV3QB-6VM33 >nul||cscript //nologo slmgr.vbs /ipk VDYBN-27WPP-V4HQT-9VMD4-VMK7H >nul||goto notsupported
:skms
if %i% GTR 10 goto busy
if %i% EQU 1 set KMS=kms7.MSGuides.com
if %i% EQU 2 set KMS=kms8.MSGuides.com
if %i% EQU 3 set KMS=kms9.MSGuides.com
if %i% GTR 3 goto ato
cscript //nologo slmgr.vbs /skms %KMS%:1688 >nul
:ato
echo ============================================================================&echo.&echo.&cscript //nologo slmgr.vbs /ato | find /i "successfully" && (echo.&echo ============================================================================&echo.&echo #My official blog: MSGuides.com&echo.&echo #How it works: bit.ly/kms-server&echo.&echo #Please feel free to contact me at msguides.com@gmail.com if you have any questions or concerns.&echo.&echo #Please consider supporting this project: donate.msguides.com&echo #Your support is helping me keep my servers running 24/7!&echo.&echo ============================================================================&choice /n /c YN /m "Would you like to visit my blog [Y,N]?" & if errorlevel 2 exit) || (echo The connection to my KMS server failed! Trying to connect to another one... & echo Please wait... & echo. & echo. & set /a i+=1 & goto skms)
explorer "http://MSGuides.com"&goto halt
:notsupported
echo ============================================================================&echo.&echo Sorry, your version is not supported.&echo.&goto halt
:busy
echo ============================================================================&echo.&echo Sorry, the server is busy and can't respond to your request. Please try again.&echo.
:halt
pause >nul

Шаг 2.2: Сохраните текстовый файл в виде пакетного файла с расширением .cmd. (Eg run.cmd)

Шаг 2.3: Запустите пакетный файл с правами администратора.

Наконец, проверьте статус активации вашего сервера еще раз.

На этом активация завершена. Спасибо за прочтение.

Как увидеть список выданных адресов в DHCP на Debian или CentOS.

Восстановление пароля от root в Linux

Иногда так случается что теряешь, забываешь или передают машину без root-пароля. Тогда задаешься вопросом: Как восстановить (изменить, сбросить, нужное подставить) пароль рута для установки программ и управления системой. И я отвечаю на этот вопрос на примере CentOS 7:

Итак, добежав до серверной комнаты и подключив монитор с мышкой или подключившись к KVM виртуальной машины приступаем сбросу пароля. Перегружаем сервер и в меню загрузки нажимаем «e», как показано ниже:

Листаем вниз стрелками на клавиатуре и находим обозначение ro, как указано на скриншоте ниже:

В ro заменяем o → w и добавляем init=/sysroot/bin/sh после rw. То есть вот так:

rw init=/sysroot/bin/sh

Теперь нажимаем Ctrl + X и входим в аварийный (emergency) режим. Запускаем следующую команду:

chroot /sysroot

Меняем пароль от root. Для этого, даем в консоль команду passwd root. После этого вводим дважды новый пароль:

После этого, обновляем параметры SELinux командой touch /.autorelabel:

Готово! Дайте в консоль команду reboot и загрузитесь в штатном режиме. Пароль от root будем изменен.

Отрисовка по условию

В React вы можете создавать отдельные компоненты, которые инкапсулируют нужное вам поведение. Затем вы можете отрисовать только некоторые из них, в зависимости от состояния вашего приложения.

Условная отрисовка в React работает так же, как условия работы в JavaScript. Используйте JavaScript-операторы, например if или тернарный оператор, чтобы создать элементы, представляющие текущее состояние, и пусть React обновит пользовательский интерфейс для соответствия им.

Рассмотрим эти два компонента:

function UserGreeting(props) {
  return <h1>С возвращением!</h1>;
}

function GuestGreeting(props) {
  return <h1>Пожалуйста, зарегистрируйтесь.</h1>;
}

Мы создадим компонент Greeting, который отрисовывает любой из этих компонентов в зависимости от того, вошел ли пользователь в систему:

function Greeting(props) {
const isLoggedIn = props.isLoggedIn;
if (isLoggedIn) {
return ;
}
return ;
}

ReactDOM.render(
// Попробуйте изменить на isLoggedIn={true}:
,
document.getElementById('root')
);

Этот пример отрисовывает другое приветствие в зависимости от значения свойства isLoggedIn.

Переменные элементы

Вы можете использовать переменные для хранения элементов. Это может помочь вам по условию отрисовать часть компонента, в то время как остальная часть вывода не изменится.

Рассмотрим эти два новых компонента, представляющих кнопки для выхода и авторизации:

function LoginButton(props) {
  return (
    < onClick={props.onClick}>
      Авторизация
    </button>
  );
}

function LogoutButton(props) {
  return (
    < onClick={props.onClick}>
      Выход
    </button>
  );
}

В приведённом ниже примере мы создадим компонент с состоянием с именем LoginControl.

Он будет отрисовывать либо или в зависимости от текущего состояния. Он также отрисует из предыдущего примера:

class LoginControl extends React.Component {
  constructor(props) {
    super(props);
    this.handleLoginClick = this.handleLoginClick.bind(this);
    this.handleLogoutClick = this.handleLogoutClick.bind(this);
    this.state = {isLoggedIn: false};
  }

  handleLoginClick() {
    this.setState({isLoggedIn: true});
  }

  handleLogoutClick() {
    this.setState({isLoggedIn: false});
  }

  render() {
    const isLoggedIn = this.state.isLoggedIn;
    let button;

    if (isLoggedIn) {
      button = <LogoutButton onClick={this.handleLogoutClick} />;
    } else {
      button = <LoginButton onClick={this.handleLoginClick} />;
    }

    return (
      <div>
        < isLoggedIn={isLoggedIn} />
        {button}
      </div>
    );
  }
}

ReactDOM.render(
  <LoginControl />,
  document.getElementById('root')
);

Хотя объявление переменной и использование оператора if — прекрасный способ по условию отрисовать компонент, иногда возможно вы захотите использовать более короткий синтаксис. В JSX существует несколько способов встроенных условий, описанных ниже.

Встроенный оператор if с логическим оператором &&

Вы можете вставлять любые выражения в JSX, обертывая их фигурными фигурными скобками. Это включает в себя логический JavaScript-оператор &&. Это может быть удобно для условного включения элемента:

Вы можете вставлять любые выражения в JSX, обёртывания их фигурными скобками. Это включает логический JavaScript-оператор &&. Это может быть удобно для условной отрисовки элемента:

function Mailbox(props) {
  const unreadMessages = props.unreadMessages;
  return (
    <div>
      <h1>Привет!</h1>
      {unreadMessages.length > 0 &&
        <h2>
          У вас {unreadMessages.length} непрочитанных сообщений.
        </h2>
      }
    </div>
  );
}

const messages = ['React', 'Re: React', 'Re:Re: React'];
ReactDOM.render(
  <Mailbox unreadMessages={messages} />,
  document.getElementById('root')
);

Это работает, потому что в JavaScript true && expression всегда вычисляется в expression, а false && expression всегда вычисляется в false.

Поэтому, если условие равно true, элемент справа после && появится в выводе. Если оно false, React игнорирует и пропускает его.

Встроенный оператор if-else с тернарным оператором
Другой метод встроенной условной отрисовки элементов — использование условного оператора в JavaScript условие ? true : false.

В приведённом ниже примере мы используем его для условной отрисовки небольшого блока текста.

render() {
  const isLoggedIn = this.state.isLoggedIn;
  return (
    <div>
      Пользователь <b>{isLoggedIn ? 'в данный момент' : 'не'}</> авторизован.
    </div>
  );
}/pre>
Он также может использоваться для больших выражений, хотя из-за этого менее очевидно, что происходит:

render() {
  const isLoggedIn = this.state.isLoggedIn;
  return (
    <div>
      {isLoggedIn ? (
        <LogoutButton onClick={this.handleLogoutClick} />
      ) : (
        <LoginButton onClick={this.handleLoginClick} />
      )}
    </div>
  );
}

Как и в JavaScript, вы можете выбрать подходящий стиль, основанный на том, что вы и ваша команда считаете более читабельным. Также помните, что всякий раз, когда условия становятся слишком сложными, возможно, самое время извлечь компонент.

Предотвращение отрисовки компонента

В редких случаях, возможно, вам потребуется скрыть компонент, даже если он был отрисован другим компонентом. Для этого возвращаем null вместо вывода отрисовки.

В приведённом ниже примере отрисовывается в зависимости от значения свойства с названием warn. Если значение этого свойства равно false, то компонент не отрисовывается:

function WarningBanner(props) {
  if (!props.warn) {
    return null;
  }

  return (
    <div className="warning">
      Предупреждение!
    </div>
  );
}

class Page extends React.Component {
  constructor(props) {
    super(props);
    this.= {showWarning: true};
    this.handleToggleClick = this.handleToggleClick.bind(this);
  }

  handleToggleClick(){
    this.setState(state => ({
      showWarning: !state.showWarning
    }));
  }

  render(){
    return(
      <div>
        <WarningBanner warn={this.state.showWarning} />
        <button onClick={this.handleToggleClick}>
          {this.state.showWarning ? 'Скрыть' : 'Показать'}
        </button>
      </div>
    );
  }
}

ReactDOM.render(
  <Page />,
  document.getElementById('root')
);

Возврат null из метода компонента render не влияет на запуск методов жизненного цикла компонента. Например, componentDidUpdate по-прежнему будет вызываться.

Файл подкачки Linux. Как добавить ОЗУ за счет диска

В операционной системе Linux, как и в других ОС, файл подкачки нужен для страховки оперативной памяти. Когда установленный объем ОЗУ заканчивается, используется именно выделенная область из файла подкачки. Это может понадобиться в двух случаях:

• Для того чтобы при полной занятости и, как следствие, отсутствия свободной оперативной памяти, компьютер не зависал.
• Для распределения приоритетов (важным процессам отдается физическая оперативная память, а второстепенным файл подкачки Linux).

Сам по себе swap — это отдельный логический раздел вашего диска либо просто файл на системном разделе. Чаще всего он создается именно при установке операционной системы. Но создать swap linux можно и после завершения инсталляции ОС.

В последних версиях операционной системы Ubuntu Linux файл подкачки создается автоматически вне зависимости от того, хотите вы этого или нет. При этом его размер составляет около 1 Гб.

Как посмотреть swap в Linux

Прежде чем приступить к процессу добавления, настройки или удаление файла подкачки, необходимо проверить его наличие. Для этого проще всего использовать приведенную ниже команду. В нашем случае она выглядит так:

free -h

Используемая команда отображает размер файла подкачки вашей операционной системы. Однако, по ее результатам мы не можем определить – это файл подкачки или раздел подкачки. Поэтому будем использовать дополнительный другую команду, чтобы посмотреть swap linux. Вводим в терминал следующее:

swapon --show

Как видите, в нашем случае под swap выделено 1.4 Гб и это файл. То есть, он находится не на отдельном разделе, а на том же диске, на котором установлена операционная система.

Если это будет отдельный логический том, то под надписью «TYPE» мы увидим слово «partition».

Если бы файл подкачки в вашей операционной системе отсутствовал, результат работы команды free —h выглядел бы примерно так:

То есть, вместо каких-либо данных о файле подкачки вы увидите нули.

Создание файла подкачки Linux

Если вы удостоверились в том, что файл подкачки отсутствует, можно переходить к его созданию. Пример, приведенный ниже, будет показан с использованием операционной системы Ubuntu 18.04, но работать это должно и на других дистрибутивах Linux.

Шаг 1: Создаем swap файл

Давайте создадим файл подкачки для нашей Ubuntu. Для примера его размер составит 1 Гб. Запустите терминал и введите команду, приведенную ниже:

sudo fallocate -l 1G /swapfile

Для обеспечения безопасности файла обязательно устанавливаем на него нужные права.

sudo chmod 600 /swapfile

При этом вместо «swapfile» мы можем указать любое другое название.

Шаг 2: Создание файловой системы

Создание swap linux ещё не завершено. Теперь необходимо указать нашей операционной системе, что созданный объект должен использоваться как файл подкачки. Для этого мы будем использовать команду, приведенную ниже:

sudo mkswap /swapfile

Если все сделано верно, результат будет выглядеть так:

Шаг 3: Активируем файл подкачки

Хорошо, теперь наш Linux понимает, что это файл подкачки, но этого недостаточно. Нам также необходимо включить SWAP:

sudo swapon /swapfile

Давайте проверим, все ли мы сделали правильно:

swapon --show

Отлично, операционная система распознала наш файл подкачки и начала его использовать. Мы видим тип в поле TYPE и размер в поле SIZE.

Шаг 4. Сохранение изменений после перезагрузки

Все операции, которые мы предприняли выше, временны. Как только компьютер будет перезагружен, они отменятся. Для того чтобы сделать изменения постоянными, нам необходимо дописать кое-какую информацию в /etc/fstab. Для этого поступаем так:

Прежде чем начать работать с файлом, о котором мы говорим, необходимо обязательно создать его резервную копию:

sudo cp /etc/fstab /etc/fstab.back

После этого можно переходить непосредственно к добавлению нужных нам данных. Нам надо добавить в файл такую строчку:

/swapfile none swap sw 0 0

Это реализуется через текстовый редактор, запущенный с правами суперпользователя, либо при помощи введенной в терминал команды:

echo '/swapfile none swap sw 0 0' | sudo tee -a /etc/fstab

Готово. Изменения сохранены и файл подкачки не сбросится после перезагрузки операционной системы.

Настройка swappiness

Дальше будет рассмотрена настройка swap linux. У файла подкачки существуют параметры, которые сообщают ОС, как часто его нужно использовать. Это явление называется «свопингом» и может иметь значение в пределах 0 — 100. Если это значение ближе к 100, ядро будет перемещать в раздел подкачки больше информации чтобы освободить память. При значениях ближе к нулю, система будет использовать подкачку только при крайней необходимости.

К примеру, в версии Ubuntu Linux для рабочего стола устанавливается параметр 60, а в серверных редакциях операционной системы — 1. Для того чтобы проверить, какой параметр используется в нашей ОС, вводим в терминал такую команду:

cat /proc/sys/vm/swappiness

Как видите, в нашем случае «свопинг» установлен как 60. Если же вы хотите поменять swappiness, можете воспользоваться оператором, цифра в конце которого и будет новым значением:

sudo sysctl vm.swappiness=25

Как и в случае с конфигурацией файла подкачки, данный параметр изначально будет временным и обнулится при следующей перезагрузке. Для того чтобы сделать его постоянным, в самом конце файла /etc/sysctl.conf записываем значение vm.swappiness=25.

nano/etc/sysctl.conf
vm.swappiness=25

Для этого можно воспользоваться, например, текстовым редактором, запущенным с администраторскими полномочиями.

Размер swap файла в Linux

Существует сразу несколько вариантов, позволяющих увеличить файл подкачки linux или уменьшить его. Однако, прежде чем их рассмотреть, необходимо напомнить об одном очень важном моменте:

Когда вы полностью отключаете файл подкачки, ваша операционная система использует только ОЗУ и в случае ее нехватки это может привести к полной остановке работы компьютера. Система просто зависнет.

Для того чтобы этого не произошло, в тот момент, когда мы удаляем или изменяем основной файл подкачки, необходимо создать второй, временный swap. Если вы это сделали или уверены в том, что имеющейся оперативной памяти хватит, можно переходить непосредственно к процессу изменения размера файла подкачки. Для этого давайте сначала отключим его:

sudo swapoff /swapfile

Вторым этапом меняем размер файла подкачки, воспользовавшись командой, приведенной ниже. При этом размер вашего swap файла нужно указать вместо параметра 2G (2 гигабайта):

sudo fallocate -l 2G /swapfile

Теперь форматируем полученный файл в файловую систему swap:

sudo mkswap /swapfile

А затем включаем его обратно:

sudo swapon /swapfile

При этом операционная система Linux позволяет использовать сразу несколько swap.

Как удалить файл подкачки в Linux

Если по каким-то причинам файл подкачки вам не нужен, можете удалить его. Для этого сначала надо отключить swap linux:

sudo swapoff /swapfile

А потом удаляем:

sudo rm /swapfile

Не забудьте установить права на вновь созданный файл подкачки так, как мы описывали это выше.

В заключение

Надеемся теперь концепция файла подкачки в Linux ясна вам на 100%. Можете переходить к практике и проверять наличие swap на вашем компьютере или ноутбуке, его настройке, созданию или даже удалению. Если в результате у вас останутся какие-то вопросы, предложения или замечания, можете задать их нам, воспользовавшись формой комментирования ниже.

Источник lost.pro очень хороший сайт, советую добавить его в закладки.

Разработка Progressive Web App c React

Progressive Web Apps это разрекламированное будущее интернета. Давайте разработаем такое приложение!

Google продвигает PWA как решение многих проблем современного веба — в частности вопросов связанных с мобильными пользователями: https://developers.google.com/web/progressive-web-apps/.

Progressive Web App — это по сути быстрые, ориентированные на производительность веб-приложения, которые специальным образом подготовлены для мобильных устройств. Также их можно сохранить на домашнем экране вашего смартфона, а оттуда они будут выглядеть и чувствовать себя как нативные приложения (включая оффлайн особенности и Push уведомления).

Крупные игроки, такие как Х(Twitter) или Flipboard недавно запустили свои PWA, которые можно попробовать посетив с мобильного устройства страницы http://flipboard.com или https://lite.twitter.com/.

В этой статье, мы будем разрабатывать простое PWA с помощью React, которое даст нам шаблон для разработки более сложных приложений.

Настройка

Для начала, давайте создадим базовое React приложение с помощью create-react-app.

Перейдите в каталог в котором вы будете хранить ваше приложение и запустите следующие команды:

npm install -g create-react-app
create-react-app pwa-experiment --template cra-template-pwa

Теперь давайте установим React Router:

pwa-experiment
npm install --save react-router@3.0.5

Наконец, скопируйте этот код в файл App.js. Он даст нам простой макет страницы с навигацией:

import React, { Component } from 'react';
import { Router, browserHistory, Route, Link } from 'react-router';
import logo from './logo.svg';
import './App.css';

const Page = ({ title }) => (
  <div className="App">
    <div className="App-header">
      <img src={logo} className="App-logo" alt="logo" />
      <h2>{title}</h2>
    </div>
    <p className="App-intro">
      This is the {title} page.
    </p>
    <p>
      <Link to="/">Home</Link>
    </p>
   <p>
      <Link to="/about">About</Link>
    </p>
    <p>
      <Link to="/settings">Settings</Link>
    </p>
  </div>
);

const Home = (props) => (
  <Page title="Home"/>
);

const About = (props) => (
  <Page title="About"/>
);

const Settings = (props) => (
  <Page title="Settings"/>
);

class App extends Component {
  render() {
    return (
      <Router history={browserHistory}>
        <Route path="/" component={Home}/>
        <Route path="/about" component={About}/>
        <Route path="/settings" component={Settings}/>
      </Router>
    );
  }
}

export default App;

Запустите npm start чтобы протестировать ваше приложение. Смотреть ещё нечего, но для наших целей это хорошее начало. Давайте начнём конвертировать всё это в Progressive Web App.

1. Установка Lighthouse

Lighthouse — это бесплатный инструмент от Google, который оценивает ваше приложение на основе чек листа PWA. https://developers.google.com/web/tools/lighthouse/.

Давайте установим его в Chrome, а после этого оценим нашем приложение. Вы можете запустить аудит Lighthouse кликнув по иконке в правом верхнем углу браузера, а затем нажав на кнопку «Generate Report».

Упс.

Пока что наше приложение быстрое (так как у нас очень мало контента), но оно проваливается в большинстве ключевых областей.

Вы можете увидеть чек лист, который используется в Lighthouse здесь: https://developers.google.com/web/progressive-web-apps/checklist.

Давайте работать с проблемами по порядку.

2. Настройка Service Worker

Service worker — это JavaScript код, который находится между нашим приложением и сетью. Мы будем использовать его для перехвата сетевых запросов и обслуживания закэшированных файлов — это позволит нашему приложению работать оффлайн.

Чтобы начать работу с Service Worker’ом, нам необходимо сделать 3 вещи:

• Создать файл service-worker.js в папке public;
• Зарегистрировать worker через наш index.js;
• Настроить кэширование;

Давайте сделаем это.

Первый шаг довольно понятен. В папке pwa-experiment/public, создаём пустой JavaScript файл названный service-worker.js.

Второй шаг немного запутаннее. Мы хотим проверить если браузер поддерживает service worker’ы, и тогда регистрировать его с помощью service-worker.js.

Чтобы сделать это, давайте добавим тег script в файл public/index.html.

<!doctype html>
<html lang="en">
  <head>
    <meta charset="utf-8">
    <meta name="viewport" content="width=device-width, initial-scale=1">
    <link rel="shortcut icon" href="%PUBLIC_URL%/favicon.ico">
    <title>React App</title>
  </head>
  <body>
    <div id="root"></div>
    <script>
      if ('serviceWorker' in navigator) {
        window.addEventListener('load', function() {
          navigator.serviceWorker.register('service-worker.js').then(function(registration) {
            // Registration was successful
            console.log('ServiceWorker registration successful with scope: ', registration.scope);
          }, function(err) {
            // registration failed :(
            console.log('ServiceWorker registration failed: ', err);
          }).catch(function(err) {
            console.log(err)
          });
        });
      } else {
        console.log('service worker is not supported');
      }
    </script>
  </body>
</html>

Этот код очень простой — если браузер поддерживает его, то мы ждём пока страница загрузится, а после этого регистрируем наш Service Worker загружая файл service-worker.js.

Завершающий шаг: Настройка кэширования!

Мы собираемся скопировать настройки Service Worker’а отсюда написанные Addy Osmani, а также отключим кэширование в целях разработки (и предпримем меры удаления всего кэша, когда Service Worker инициализируется).

В public/service-worker.js:

// Set this to true for production
var doCache = false;

// Name our cache
var CACHE_NAME = 'my-pwa-cache-v1';

// Delete old caches that are not our current one!
self.addEventListener("activate", event => {
  const cacheWhitelist = [CACHE_NAME];
  event.waitUntil(
    caches.keys()
      .then(keyList =>
        Promise.all(keyList.map(key => {
          if (!cacheWhitelist.includes(key)) {
            console.log('Deleting cache: ' + key)
            return caches.delete(key);
          }
        }))
      )
  );
});

// The first time the user starts up the PWA, 'install' is triggered.
self.addEventListener('install', function(event) {
  if (doCache) {
    event.waitUntil(
      caches.open(CACHE_NAME)
        .then(function(cache) {
          // Get the assets manifest so we can see what our js file is named
          // This is because webpack hashes it
          fetch("asset-manifest.json")
            .then(response => {
              response.json()
            })
            .then(assets => {
              // Open a cache and cache our files
              // We want to cache the page and the main.js generated by webpack
              // We could also cache any static assets like CSS or images
              const urlsToCache = [
                "/",
                assets["main.js"]
              ]
              cache.addAll(urlsToCache)
              console.log('cached');
            })
        })
    );
  }
});

// When the webpage goes to fetch files, we intercept that request and serve up the matching files
// if we have them
self.addEventListener('fetch', function(event) {
    if (doCache) {
      event.respondWith(
          caches.match(event.request).then(function(response) {
              return response || fetch(event.request);
          })
      );
    }
});

Перезапустите ваш приложение с помощью npm run start и вы должны увидеть следующее в консоле:

Для более подробной дискуссии на тему Service Worker’ов, посмотрите это https://medium.com/@addyosmani/progressive-web-apps-with-react-js-part-3-offline-support-and-network-resilience-c84db889162c.

Давайте закроем консоль и запустим аудит Lighthouse снова:

Мы делаем успехи! Теперь у нас есть зарегистрированный Service Worker. Так как у нас отключено кэширование, вторая галочка ещё не отмечена, но как только мы включим кэширование она будет работать!

3. Добавление прогрессивных улучшений

Прогрессивные улучшения в основном означают, что сайт будет работать без загрузки любого JavaScript кода.

Прямо сейчас, файл index.html отображает пустой div (#root), который подхватывает наше React приложение.

Вместо этого, мы хотим отображать какой-то базовый HTML и CSS, ещё до того как React приложение будет инициализировано.

Самый простой способ сделать это — переместить некоторые из наших основных HTML структур в этот самый div#root. Этот HTML будет перезаписан как только ReactDOM отобразит компонент App, но покажет пользователю что-то вместо пустой страницы на которую пришлось бы глазеть пока загружается bundle.js.

Вот наш новый index.html. Обратите внимание, что стили находятся в head, а HTML в div#root.

<!doctype html>
<html lang="en">
  <head>
    <meta charset="utf-8">
    <meta name="viewport" content="width=device-width, initial-scale=1">
    <link rel="shortcut icon" href="%PUBLIC_URL%/favicon.ico">
    <title>React App</title>
    <!-- Add in some basic styles for our HTML -->
    <style type="text/css">
      body {
        margin: 0;
        padding: 0;
        font-family: sans-serif;
      }
      .App {
        text-align: center;
      }
      .App-header {
        background-color: #222;
        height: 150px;
        padding: 20px;
        color: white;
      }
      .App-intro {
        font-size: large;
      }
    </style>
  </head>
  <body>
    <!-- Filler HTML as our app starts up -->
    <div id="root">
      <div class="App">
      <div class="App-header">
        <h2>Home</h2>
      </div>
      <p class="App-intro">
        Loading site...
      </p>
    </div>
    <script>
      if ('serviceWorker' in navigator) {
        window.addEventListener('load', function() {
          navigator.serviceWorker.register('service-worker.js').then(function(registration) {
            // Registration was successful
            console.log('ServiceWorker registration successful with scope: ', registration.scope);
          }, function(err) {
            // registration failed :(
            console.log('ServiceWorker registration failed: ', err);
          }).catch(function(err) {
            console.log(err)
          });
        });
      } else {
        console.log('service worker is not supported');
      }
    </script>
  </body>
</html>

(Кстати, теперь мы можем удалить дубликаты стилей в App.css и index.css — просто чтобы сделать код чище.)

Одобрит ли это Lighthouse?
Ага!

4. Возможность добавления на домашний экран

Мы можем пропустить требования касающиеся HTTPS — которые будут учтены после деплоя.

Ну а сейчас о том, что делает Progressive Web App действительно особенными: возможность пользователя сохранить его на свой домашний экран и открывать его как приложение.

Чтобы это сделать, нам нужно добавить файл manifest.json в папку public.

{
  "hort_name": "My First PWA",
  "name": "My First Progressive Web App",
  "icons: [
    {
      "src":"icon.png",
      "sizes": "192x192",
      "type": "image/png"
    }
  ],
  "start_url": "/?utm_source=homescreen",
  "background_color": "#222",
  "theme_color": "#222",
  "display": "standalone"
}

Если у вас нету значка, то можете использовать этот (любезность моей компании MuseFind), или создайте свой собственный (должен быть 192 на 192 пикселя):

Добавьте icon.png и manifest.json в папку public, а также добавьте следующие строки в ваш index.html файл:

<head>
    <meta charset="utf-8">
    <meta name="viewport" content="width=device-width, initial-scale=1">
    <link rel="shortcut icon" href="%PUBLIC_URL%/favicon.ico">
    <!-- Add manifest -->
    <link rel="manifest" href="%PUBLIC_URL%/manifest.json">
    <!-- Tell the browser it's a PWA -->
    <meta name="mobile-web-app-capable" content="yes">
    <!-- Tell iOS it's a PWA -->
    <meta name="apple-mobile-web-app-capable" content="yes">
    <!-- Make sure theme-color is defined -->
    <meta name="theme-color" content="#536878">
    <title>React App</title>
  </head>

Хорошо, что теперь мы делаем?

Всё что нам не хватает, это кэширование и HTTPS.

5. Деплой через Firebase

Во-первых, включите кэширование. Измените doCache на true в файле service-worker.js.

После этого, в консоле Firebase создайте новый проект и назовите его pwa-experiment.

Вернитесь в папку с проектом и запустите следующее:

npm install -g firebase-tools
firebase login
firebase init

После того как вы пройдёте авторизацию и начнётся инициализация: ответьте на следующие вопросы:

Когда он спросит What Firebase CLI features do you want to setup for this directory?, с помощью пробела снимете галочки везде кроме «Hosting».

Нажмите Enter, а после этого выберите pwa-experiment в качестве проекта.

Когда он спросит What do you want to use as your public directory?, наберите на клавитуре «build» и нажмите Enter.

На вопрос про одностраничное приложение, выберите «No».

После этого процесс должен завершиться. Теперь можно запустить команду:

npm run build && firebase deploy

Это соберёт наш проект в папку build, которую Firebase будет деплоить.

Firebase вернёт нам URL. Давайте откроем его в Chrome и запустим аудит Lighthouse в заключительный раз.

Мы сделали это!

Ну и в качестве завершающего теста, откройте этот URL на вашем телефоне и попробуйте сохранить его на домашний экран. После открытия его с домашнего экрана, он должен выглядеть как нативное приложение.

Установка мессендера ICQ в Linux минуя snap

ICQ (от англ. I seek you — «я ищу тебя») — стремительно набирающая популярность бесплатная, кроссплатформенная система мгновенного обмена сообщениями, для мобильных и иных платформ с поддержкой голосовой и видеосвязи.
Позволяет пересылать текстовые сообщения, изображения, видео и аудио через Интернет.
В этой статье мы с Вами рассмотрим все доступные способы установки данного мессенджера.
Этот мессенджер доступен, как для х64-bit версий, так и для х32-bit версий Ubuntu/Linux Mint в том числе.
В статье будет описана консольно—терминальная установка, но в магазине Ubuntu он тоже есть из SNAP.

Итак, приступим к Установке.
Есть только 2 (два) способа установки данного мессенджера.
1. Теперь уже, с версии Ubuntu 22.04 Стандартный, из официальных SNAP-репозиториев Ubuntu и Linux Mint — самый простой, но, учитывая некий скептицизм пользователей к SNAP и существующими проблемами со скоростью работы приложений из SNAP, не самый, на мой взгляд, лучший способ

Для Установки мессенджера открываем Терминал (Ctrl+Alt+T), копируем или прописываем следующую команду/код и жмём на Enter:

sudo snap install icq-im

Для Удаления мессенджера, поочерёдно выполняем следующие команды:

sudo snap disable icq-im
sudo snap remove --purge icq-im
rm -Rf snap/ icq-im

2. Из тарболла (tarball — архив tar) — посложней, но, опять же на мой взгляд, наиболее приемлемый способ
Для Установки мессенджера открываем Терминал (Ctrl+Alt+T), копируем или прописываем поочерёдно следующие команды/коды, каждый раз нажимая на Enter:
— создаём папку icq в каталоге /opt (полный путь /opt/icq)

sudo mkdir /opt/icq

— скачиваем тарболл в папку /tmp
a.) — для x64-bit

wget https://icq-www.hb.bizmrg.com/linux/x64/icq.tar.xz -P /tmp

b.) — для x32-bit

https://icq-www.hb.bizmrg.com/deprecated-versions/linux/x32/icq.tar.xz

— распаковываем скачанный тарболл в папку icq в каталоге /opt (полный путь /opt/icq)

sudo tar -xvf /tmp/icq.tar.xz -C /opt/icq

— создаём символьную ссылку (ярлык) на ICQ

sudo ln -s /opt/icq/icq /usr/local/bin/icq-desktop

— запускаем мессенджер ICQ с одновременным выходом из Терминала, за его ненадобностью далее

icq-desktop

После чего осуществится первый запуск мессенджера с приветственным окном ICQ, где нужно нажать на Принять и продолжить:

И в результате, мы попадаем в окно Телефон, где можно ввести его (номер вашего мобильного телефона) для Регистрации, или нажать в верхнем левом углу на Вход по паролю, если вы уже имеет Учётную записа в ICQ:

Если вы нажали на Вход по паролю, то в следующем окне Вход по паролю вводите соответственно Ваши логин и пароль и жмёте на Войти и сразу попадаете в Интерфейс вашего мессенджера:

Если вы ещё не Регистрировались, вам следует оставаться в первом окне Телефон, ввести его и нажать на Войти:

После чего вы попадаете в окно Код из SMS, где вам необходимо ввести полученный вами на вашем мобильном телефоне шестизначный, цифровой код:

И, если вы его правильно ввели, вы автоматически попадаете в следующее окно Добавьте имя и аватар, что вам и нужно сделать и нажать на Далее:

И, вот, наконец, вы попадаете в сам мессенджер ICQ, где можно нажать на кнопку-шестерёнку и настроить всё на свой вкус и цвет:

Теперь закройте мессенджер, но это ещё не всё, т.к. он просто свернулся в трей и поэтому надо ещё нажать ЛКМ на его иконку в верхней панели и в выпавшем контекстном меню нажать ЛКМ на Закрыть.

А теперь, для дальнейшего удобства, дабы в будущем не искать наш мессенджер в Программах и иметь быстрый доступ к нему, нажмите на Обзор или на Показать приложения и в Введите для поиска напишите icq и нажмите ЛКМ или на Enter на появившийся ярлык/иконку ICQ, чтобы вновь запусть его:

После запуска, в боковой панели появится его ярлык/иконка.
Жмём на этот ярлык/иконку ПКМ и в выпавшем контекстном меню жмём ЛКМ на Добавить в избранное, тем самым у нас всегда будет быстрый доступ к мессенджеру в боковой панели:

Для ленивых — установка однострочником:

sudo mkdir /opt/icq; wget https://icq-www.hb.bizmrg.com/linux/x64/icq.tar.xz -P /tmp; sudo tar -xvf /tmp/icq.tar.xz -C /opt/icq; sudo ln -s /opt/icq/icq /usr/local/bin/icq-desktop; icq-desktop

Удалить ICQ из системы можно, выполнив следющую команду/код:

sudo rm -Rf /opt/icq /usr/local/bin/icq-desktop .config/ICQ .local/share/applications/icqdesktop.desktop .local/share/icons/icq.png

На этом, установка мессенджера ICQ завершена.

Всем приятного пользования и удачи!

Используем репозитории Яндекса для apt в Debian и Ubuntu.

Сегодня мы рассмотрим настройку серверов и ПК под управлением операционной системы Debian и Ubuntu на использование зеркал репозиториев на https://mirror.yandex.ru/

Использовании зеркал Яндекса в Debian
Для начала определимся с версиями Debian. У каждой версии Debian есть номер версии и кодовое имя выпуска. Ниже в таблице приведено соответствие номерной версии и кодового имени:

В репозитории Яндекса мы можем найти зеркала репозиториев для всех версий начиная с 8 – Jessie.

Нам нужно исправить содержимое файла /etc/apt/sources.list

Сперва сделаем резервную копию файла:

cp /etc/apt/sources.list ~/
Изменим файл:

mcedit /etc/apt/sources.list
Заменим содержимое файла строками:

deb http://mirror.yandex.ru/debian/ bullseye main
deb-src http://mirror.yandex.ru/debian/ bullseye main

deb http://mirror.yandex.ru/debian-security bullseye-security main contrib
deb-src http://mirror.yandex.ru/debian-security bullseye-security main contri

deb http://mirror.yandex.ru/debian/ bullseye-updates main contrib
deb-src http://mirror.yandex.ru/debian/ bullseye-updates main contrib
По сути нам достаточно изменить во всех строчках:

deb http://xxx.xxxxx.xxx/debian/
на

deb http://mirror.yandex.ru/debian/
Запустим:

sudo apt update

…
Reading package lists… Done
Building dependency tree… Done
Reading state information… Done
All packages are up to date.
База данных пакетов будет загружена с зеркала Яндекса.

Использовании зеркал Яндекса в Ubuntu
Для начала определимся с версиями Ubuntu. У каждой версии Ubuntu есть номер версии и кодовое имя выпуска. Ниже в таблице приведено соответствие номерной версии и кодового имени:

В репозитории Яндекса мы можем найти зеркала репозиториев для всех версий начиная с 14.04 – Trusty.

Нам нужно исправить содержимое файла /etc/apt/sources.list

Сперва сделаем резервную копию файла:

cp /etc/apt/sources.list ~/
Изменим файл:

mcedit /etc/apt/sources.list
Заменим содержимое файла строками:

deb http://mirror.yandex.ru/ubuntu impish main restricted
deb http://mirror.yandex.ru/ubuntu impish-updates main restricted
deb http://mirror.yandex.ru/ubuntu impish universe
deb http://mirror.yandex.ru/ubuntu impish-updates universe
deb http://mirror.yandex.ru/ubuntu impish multiverse
deb http://mirror.yandex.ru/ubuntu impish-updates multiverse
deb http://mirror.yandex.ru/ubuntu impish-backports main restricted universe multiverse
deb http://mirror.yandex.ru/ubuntu impish-security main restricted
deb http://mirror.yandex.ru/ubuntu impish-security universe
deb http://mirror.yandex.ru/ubuntu impish-security multiverse
По сути нам достаточно изменить во всех строчках:

deb http://xxx.xxxxx.xxx/ubuntu/
на

deb http://mirror.yandex.ru/ubuntu/
Запустим

sudo apt update

…
Reading package lists… Done
Building dependency tree… Done
Reading state information… Done
57 packages can be upgraded. Run ‘apt list —upgradable’ to see them.
База данных пакетов будет загружена с зеркала Яндекса.

Заключение
Сегодня мы рассмотрели настройку серверов и ПК под управлением операционной системы Debian и Ubuntu на использование зеркал Яндекса.

Внесли изменения в файл sources.list изменив имена доменов таким образом, чтобы они указывали на зеркало Яндекса.

Обновили базу данных пакетов.

IP-Телефония. Как ее готовить на CentOS7

Всем Добра!

Сегодня телефония сама по себе можно сказать что умерла, но мы же пользуемся мобильной сетью и телефонами. Вопрос, а как они Собственно работают? На чем? и что находится за кулисами мобильных сетей и как сделать свою сеть.

На все эти вопросы один ответ ASTERISK — это собственно программа которая превращает обычный компьютер в СЕРВЕР ip-телефонии. Именно с помощью нее мобильные и обычные операторы достовляют нам голоса и картинки наших близких.

И так задача опишем воображаемый офис:

• Работает 50 сотрудников. Номера будут 4-х значными, от 1000 до 4000.
• У нас будут 4 отдела — менеджеры, топ-менеджеры,  технический отдел, руководство и все остальные.
• Номер секретаря 4000, менеджеры 1000-1999, топ-менеджеры 2000-2999, техподдержка 3000-3999, руководство 4001-4999.
• Мы не будем использовать  ни одного SIP провайдера для звонков, только внутренняя связь.

Все нововееденя бдем производить на CentOS 7. Для быстрой настройки использую скрипт AISS, очень быстро и удобно. И приступаем к установке.

Все это работать будет на Asterisk+FreePBX.

Asterisk — бесплатное решение для организации voip телефонии. Он обладает всеми возможностями обычных АТС, но предоставляет более богатый функционал по управлению звонками. За относительную простоту настройки, по сравнению с цифровыми АТС, бесплатность и широкие возможности он и снискал такую популярность.

Freepbx — бесплатный веб интерфейс для управления астериском. Он существенно упрощает работу с конфигурациями, позволяет выполнять некоторые функции людям, вообще далеким от астериска. Например, с его помощью практически любого можно научить управлять учетными записями пользователей.

Прежде чем мы начнем устанавливать asterisk, нам надо выполнить целый ряд подготовительных действий. Первым делом отключаем selinux. Для этого открываем файл:

# nano /etc/sysconfig/selinux

и устанавливаем значение SELINUX=disabled. После этого применяем настройку без перезагрузки сервера:

# setenforce 0

Рекомендация по отключению selinux дается в официальной инструкции по установке freepbx, так как это может привести к нарушению процесса инсталляции.

Дальше  ставим пакеты Development Tools:

# yum groupinstall core base "Development Tools"

В своей работе FreePBX использует базу данных Mysql. В качестве mysql сервера будем использовать mariadb. Подключаем репозиторий со свежей версией MariaDB. Для этого создаем файл /etc/yum.repos.d/MariaDB.repo

# nano /etc/yum.repos.d/MariaDB.repo

Cледующего содержания:

# MariaDB 10.3 CentOS repository list - created 2019-04-01 09:11 UTC
# http://downloads.mariadb.org/mariadb/repositories/
[mariadb]
name = MariaDB
baseurl = http://yum.mariadb.org/10.3/centos7-amd64
gpgkey=https://yum.mariadb.org/RPM-GPG-KEY-MariaDB
gpgcheck=1

Устанавливаем MariaDB.

# yum install MariaDB-server MariaDB-client MariaDB-shared

Запускаем mariadb и добавляем в автозагрузку.

# systemctl start mariadb
# systemctl enable mariadb

Для работы панели FreePBX нужен web сервер с php. Я буду использовать версию php 7.4. это минимальная версия для FreePBX 16

Подключаем репозиторий epel, если еще не сделали это ранее.

# yum install epel-release

Добавляем remi репозиторий:

# rpm -Uvh http://rpms.remirepo.net/enterprise/remi-release-7.rpm

Активируем репу remi-php74, для этого выполняем команду:

# yum-config-manager --enable remi-php74

Устанавливаем необходимые пакеты для работы сервера voip:

# yum install wget php php-pear php-cgi php-common php-curl php-mbstring php-gd php-mysql php-gettext php-bcmath php-zip php-xml php-imap php-json php-process php-snmp

Далее установим httpd. Он, по идее, должен установиться в качестве зависимости на предыдущем шаге, но на всякий случай проверьте.

# yum install httpd

Теперь нам нужно изменить некоторые параметры httpd — запустить его от пользователя asterisk и включить опцию AllowOverride. В файле /etc/httpd/conf/httpd.conf,  с помощью sed.

# sed -i 's/^\(User\|Group\).*/\1 asterisk/' /etc/httpd/conf/httpd.conf
# sed -i 's/AllowOverride None/AllowOverride All/' /etc/httpd/conf/httpd.conf

Httpd запускать пока не надо, так как пользователя asterisk мы еще не создали. Сделаем это после установки asterisk.

Изменим параметр php, который отвечает за максимальный размер загружаемого файла. Дефолтное значение слишком низкое для freepbx. Для этого в /etc/php.ini устанавливаем параметр.

# sed -i 's/\(^upload_max_filesize = \).*/\120M/' /etc/php.ini

С веб сервером закончили. Продолжаем подготовку к установке FreePBX на CentOS.

Для работы Freepbx требуется сервер NodeJS. Установим его на Centos 7. Подключаем репозиторий NodeJS с помощью скрипта автоматизации от разработчика и произведем его установку.

# curl -sL https://rpm.nodesource.com/setup_14.x | bash -
# yum install -y nodejs

Обновляем кэш yum.

# yum clean all && sudo yum makecache fast

Устанавливаем зависимости для следующих шагов, компитятор языка С++ и сборщик пакетов.

# yum install gcc-c++ make

Установка Asterisk. Скачиваем архив последней версии Asterisk с официального сайта.

# cd ~ && wget http://downloads.asterisk.org/pub/telephony/asterisk/asterisk-18-current.tar.gz

Распаковываем исходники.

# tar zxvf asterisk-*.tar.gz

Переходим в директорию с исходниками.

# cd asterisk*

Выполняем скрипт для установки пакетов с зависимостями для asterisk.

# contrib/scripts/install_prereq install

Запускаем скрипт для скачивания исходников для работы с mp3.

# contrib/scripts/get_mp3_source.sh

Настраиваем конфигурацию:

# ./configure --with-pjproject-bundled --with-jansson-bundled --with-crypto --with-ssl=ssl --with-srtp

Запускаем меню для выбора параметров:

make menuselect

В целом, можно оставить дефолтную настройку, если вы не очень разбираетесь, что тут выбирать. Можно запускать установку asterisk.

# make && make install && make config && make samples && ldconfig

Настроим запуск астериск от системного пользователя asterisk. Для этого редактируем скрипт запуска /usr/sbin/safe_asterisk, установив параметр ASTARGS=»-U asterisk».

# sed -i 's/ASTARGS=""/ASTARGS="-U asterisk"/g' /usr/sbin/safe_asterisk

Создадим этого пользователя и назначим нужные права на каталоги.

# useradd -m asterisk
# chown asterisk.asterisk /var/run/asterisk
# chown -R asterisk.asterisk /etc/asterisk
# chown -R asterisk.asterisk /var/{lib,log,spool}/asterisk
# chown -R asterisk.asterisk /usr/lib/asterisk

Запускаем Asterisk.

systemctl start asterisk

Проверьте сразу, что он запустился.

# systemctl status asterisk

Консоль выдаст:

● asterisk.service - LSB: Asterisk PBX
Loaded: loaded (/etc/rc.d/init.d/asterisk; bad; vendor preset: disabled)
Active: active (running) since Чт 2022-06-16 09:20:58 MSK; 3s ago
Docs: man:systemd-sysv-generator(8)
Process: 19269 ExecStop=/etc/rc.d/init.d/asterisk stop (code=exited, status=0/SUCCESS)
Process: 19296 ExecStart=/etc/rc.d/init.d/asterisk start (code=exited, status=0/SUCCESS)
Main PID: 19325 (asterisk)
CGroup: /system.slice/asterisk.service
├─19323 /bin/sh /usr/sbin/safe_asterisk
└─19325 /usr/sbin/asterisk -f -U asterisk -vvvg -c

июн 16 09:20:58 tel.sefdar.ru systemd[1]: Starting LSB: Asterisk PBX...
июн 16 09:20:58 tel.sefdar.ru asterisk[19296]: Starting asterisk:
июн 16 09:20:58 tel.sefdar.ru systemd[1]: Can't open PID file /var/run/asterisk/asterisk.pid (yet?) after start: No such file or directory
июн 16 09:20:58 tel.sefdar.ru systemd[1]: asterisk.service: Supervising process 19325 which is not our child. We'll most likely not notice when it exits.
июн 16 09:20:58 tel.sefdar.ru systemd[1]: Started LSB: Asterisk PBX.

Если будет ошибка вроде:

radcli: rc_read_config: rc_read_config: can't open /etc/radiusclient-ng/radiusclient.conf: No such file or directory

Тогда нужно отредактировать конфигурационные файлы:

# sed -i 's";\[radius\]"\[radius\]"g' /etc/asterisk/cdr.conf
# sed -i 's";radiuscfg => /usr/local/etc/radiusclient-ng/radiusclient.conf"radiuscfg => /etc/radcli/radiusclient.conf"g' /etc/asterisk/cdr.conf
# sed -i 's";radiuscfg => /usr/local/etc/radiusclient-ng/radiusclient.conf"radiuscfg => /etc/radcli/radiusclient.conf"g' /etc/asterisk/cel.conf

После этого перезапустите asterisk, ошибок быть не должно. Скачиваем последнюю версию Freepbx с сайта разработчика. на момент написания статьи v.16

# cd ~ && wget http://mirror.freepbx.org/modules/packages/freepbx/freepbx-16.0-latest.tgz

Распаковываем исходники.

# tar xvfz freepbx-*.tgz

Переходим в каталог freepbx и запускаем скрипт проверки запуска asterisk.

# cd freepbx && ./start_asterisk start

Если не получили ошибок, то запускаем установку непосредственно FreePBX.

# ./install -n

Что нужно для работы с NPM?

Чтобы создать NPM-пакет у вас должен быть установлен Node.js. После установки Node.js, нужно убедиться что установка прошла корректно и заодно проверить его версию, сделать это можно следующей командой:

npm -vКопировать код

Инициализация NPM-пакета

Перед тем как инициализировать NPM-пакет важно отметить, что для его грамотной и удобной разработки, лучше всего использовать какой-нибудь Git-репозиторий, например Github или Gitlab. Теперь в терминале, находясь в директории вашего NPM-пакета, нужно провести его инициализацию выполнив следующую команду:

npm initКопировать код

Вам будут заданы вопросы про ваш NPM-пакет, вы можете ответить на них сразу или пропустить, нажав Enter. После ответов на вопросы, в директории пакета создаться файл package.json, в нем будет прописана основная информация о вашем пакете.

package.json

Вы можете редактировать файл package.json вручную. Вот основные и самые важные его настройки:

• name — Имя, по которому пакет будет доступен в NPM.
• description — Описание пакета.
• author — Автор пакета.
• license — Лицензия распространения пакета.
• version — Версия пакет (будет сгенерирована автоматически).

Перед тем как создавать пакет, убедитесь что такого названия в базе NPM еще нету. Для этого воспользуйтесь поиском на сайте, вбейте название которое придумали и проверье уникальность.

README.md

После инициализация проекта, правилом хорошего тона будет создание документации по установке и использованию вашего проекта. В корне создайте файл README.md и пропишите все что может быть полезно другим разработчикам (да и вам) по управлению вашим проектом.

Публикация NPM-пакета

Для начала нужно пройти регистрацию на npmjs.com, сделать это можно из терминала командой:

npm adduserКопировать код

Если же учетная запись у вас уже есть, то нужно авторизироваться в терминале:

npm loginКопировать код

Проверить под какой учетной записью вы находитесь можно с помощью команды:

npm whoamiКопировать код

Теперь можно публиковать NPM-пакет:

npm publishКопировать код

После введения команды выше, ваш пакет отправиться на сервера NPM и будет доступен для подключения к проектам.

Обновление NPM-пакета

Без обновлений никуда. Для того чтобы правильно обновить пакет, вам нужно:

1. Внести изменения в код.
2. Обновить версию пакета командой npm version [ major | minor | patch ].
3. Опубликовать новую версию пакета командой npm publish.

Правильное версионирование пакета поможет разработчикам, которые используют ваш пакет понять, насколько критические изменения были внесены.

npm version patch

Команда npm version patch, увеличит версию пакета например, с 1.0.0 до 1.0.1. Незначительные исправления мелких ошибок.

npm version minor

Команда npm version minor, увеличит версию пакета например, с 1.0.0 до 1.1.0. Добавления нового функционала, который не влияет на уже существующий функционал.

npm version major

Команда npm version major, увеличит версию пакета например, с 1.0.0 до 2.0.0. Модификация пакета без обратной совместимости с предыдущей версией. Разработчик поймет что простое обновление пакета может что-то сломать и изучит вопрос правильного обновления на новую мажорную версию.

Удаление NPM-пакета

Удаление NPM-пакетов является очень плохим тоном, т. к. от этих пакетов могут зависеть проекты других пользователей. Однако, если после публикации пакета командой npm publish прошло менее 24 часов, то публикацию можно отменить командой npm unpublish. Пакеты, которые были добавлены более 24 часов назад, удалить нельзя.

Если все-таки вам необходимо удалить пакета, то напишите в поддержку, указав причину удаления пакета. Пакет будет помечен как @deprecated и исчезнет из вашего профиля.

Установка NPM-пакета

После того, как ваш NPM-пакет появился в вашем профиле, он будет доступен по ссылку:

https://www.npmjs.com/package/название-вашего-пакетаКопировать код

И его можно будет подключить к любому вашему проекту, с помощью команды:

npm i название-вашего-пакетаКопировать код

Теперь, вы можете гибко обновлять код вашего компонента, без необходимости вручную вносить изменения на уже существующих проектах. Просто обновите пакет до актуальной версии и все изменения подтянуться автоматически.

NGINX балансировка нагрузки

В данной статье  описывается возможные настройки балансировки веб-сервера NGINX. По большей части, статья подойдет для любого дистрибутива Linux. Таким образом настроенный NGINX сможет обеспечить распределение нагрузки и отказоустойчивость сетевым сервисам.

NGINX перенаправления proxy_redirect и redirect

В данной статье описываеюся возможные перенаправления и проксирования запросов к серверу на NGINX. Перенаправления запросов на другие страницы с помощью NGINX.

Настройка перенаправлений

Настройки необходимо вносить в файлах конфигураций виртуальных доменов. В Linux на основе RPM (CentOS, Red Hat), как правило, они расположены в директории /etc/nginx/conf.d/. В Linux на основе Deb (Ubuntu, Debian) — в директории /etc/nginx/sites-enabled/. В FreeBSD все в одном файле — /usr/local/etc/nginx/nginx.conf.

Саму настройку на перенаправление в NGINX можно прописать несколькими способами.

1. Первый:

* $host — имя хоста из запроса, если отсутствует — имя в поле «Host» заголовка, если тоже отсутствует — имя сервера; $request_uri — первоначальный запрос с аргументами (все, что идет после доменного имени).
** где флаги могут быть следующие:

• permanent — перенаправление с кодом 301.
• redirect — перенаправить с кодом 302.
• last — закончить обработку с переходом в новый location.
• break — закончить обработку и остаться в текущем location.

2. Второй:

* где коды могут использоваться любые, но чаще всего — 301, 302, 404.

Есть различные мнения, какой из методов лучше и безопаснее, поэтому каким воспользоваться — решать по ситуации. В данных примерах используются оба варианта.

После внесения изменений, необходимо проверить их корректность:

И для их применения перезапустить веб-сервер:

* в первом примере перезапуск выполняется на новых системах Linux. Второй пример — на устаревших или FreeBSD.

С HTTP на HTTPS (другой порт)

Пример конфигурации для перенаправления запросов на другой порт — с 80 (http) на 443 (https):

* в данном примере для всех обращений к сайту domain.ru по 80 порту (http) будет работать редирект на 443 порт (https) с кодом 301 (для склеивания доменов).

Также можно добавить условие, чтобы не перенаправлять на https для определенных ссылок, например:

* в данном примере запрос на страницу /page.html будет открыт по http.

Есть еще способ настройки директивы server сразу для http и https. При этом, если зайти по 80 порты, нас перекинет на 443:

* данный способ удобен, чтобы не создавать несколько секций server со своими настройками.

С одного домена на другой

C домена без www на домен с www

С www на без www

Конкретный домен:

Все домены, которые обслуживает nginx:

Или с использованием if:

C index.php на / (корень)

Данная настройка позволит перевести все запросы с /index.php на корневой адрес /:

Перенаправление запросов для отсутствующих доменов (перенаправление по умолчанию)

Если обращение к веб-серверу идет по IP-адресу или домену, который не прописан в конфигурационном файле, можно перенаправить весь трафик на домен по умолчанию:

или независимо от протокола:

* $scheme позволяет перевести запрос на тот же протокол (http или https), по которому он был инициирован.
* если nginx должен слушать и обрабатывать запросы по https, необходимо указывать в настройках пути к сертификатам.

С IP-адреса на домен

В данном случае мы переводим все запросы по IP-адресу на конкретный домен:

* при отправке http-запроса на сервер 192.168.1.15 по IP-адресу, он будет переведен на домен site.ru.

Редирект домена и всех его поддоменов

На другой файл

Это скорее не перенаправление, а алиас или rewrite. Позволяет по запросу одного из файлов, отдать другой:

* в данном примере по запросу robots.txt, сервер отдаст содержимое robots2.txt.

Часть url на другой сервер

Перенаправить запрос на другой сервер при обращении по url page1:

* в данном примере для всех запросов, начинающихся на /page1/… будет работать перенаправление на другой домен domain2.ru.

Редирект со слешем

1. Убрать слеш в конце url

2. Добавить слеш в конце url

Удаляем расширение

Для перенаправления запроса, где в URL есть полное название файла скрипта (с расширением) используем конфигурацию:

* в данном случае все запросы, которые заканчиваются на .php или .html, будут перенаправляться на страницы без данных расширений.

Для примера, запрос http://site-example.ru/page.php будет переведен на http://site-example.ru/page.

На другую страницу

Нам может понадобиться перенаправлять запросы с одной страницы сайта на другую. Приведем примеры, как это сделать с помощью return и rewrite.

а) с помощью rewrite:

б) с помощью return:

Удалить часть URL

Иногда нужно удалять часть url. Это можно сделать следующими способами:

или:

* в данном примере из url мы удалим deleted-url/.

Перенаправить запрос в случае обращения к несуществующим файлам

Предположим, что нужно обратиться к скриптам на сервере, но без прописывания в URL .php на конце. Запрос будет выглядеть, примерно, http://url/. Чтобы nginx перекинул запрос на url.php вставляем следующее:

* в данном примере мы проверяем наличие файла, к которому идет обращение. И если его нет, то происходит замена адреса на такое же имя файла с .php на конце.

Перевод запросов, если файла не существует

Данное действие не является редиректом, но близко по смыслу — NGINX проверяет наличие файла скрипта, к которому идет обращение, и если его нет, переводит запрос на другой файл. Как правило, это используется для того, чтобы перевести все обращения на файл index.php.

* в данном примере мы скажем веб-серверу все запросы обрабатывать с помощью файла index.php в корневой директории.

Проксирование

Проксирование, в отличие от редиректа, не передает инструкции браузеру перейти на другой url — NGINX сам выполняет http-запрос по другому адресу и возвращает готовый ответ. Эта возможность может применяться для внутреннего распределения серверных ресурсов.

Хоть это и не совсем редирект, рассмотрим примеры его настройки, так как очень часто нужно не перенаправление, а, как раз, обратное проксирование.

1. На другой сервер

Пример внутреннего перенаправления http-запроса на другой веб-сервер:

* в данном случае, принимать запросы от браузера и отвечать на них будет NGINX, а сама обработка будет выполняться на сервере с IP-адресом 192.168.0.15 на порту 8080.

Использование NGINX в качестве http-прокси:

* в данном примере запросы на site1.ru будут перекинуты на сервер 192.168.1.21, а запросы на site2.ru — 192.168.1.22.

HTTP proxy с авторизацией (если удаленный веб-сервер требует аутентификации):

* где 10.10.10.10/page — страница, на которую будут перекинуты запросы; dGVzdDp0ZXN0 — логин:пароль test:test, закодированные в формате base64.

2. Часть url на другой сервер

Выше мы рассмотрели пример перенаправления запроса по части веб-адреса. По схожему сценарию мы можем делать проксирование:

* и так, в данном примере при обращении по адресу site.ru/page1/<что-то еще>, nginx сделает внутренний запрос на сервер 10.10.10.10 по адресу 10.10.10.10/<что-то еще> и вернет готовый ответ.

3. На другой сайт

Мы можем сделать так, что при переходе по одному адресу у нас будет открываться совершенно другой сайт:

* в данном случае мы при обращении к нашему серверу (до доменному имени dmosk.local) будем попадать на сайт https://www.dmosk.ru. Обратите внимание, что в proxy_set_header мы передаем хосту его имя — в противном случае, как правило, другой сервер вернет ошибку. Также мы не указываем proxy_redirect, иначе, nginx будет переводить запросы на реальный сайт (отправлять инструкции браузеру перейти на него), а не тот, что мы используем за http-прокси.

4. На другой сайт по части URL

Если нам нужно настроить проксирование на другой сайт при обращении к определенной странице сайта, настраиваем NGINX так:

* в данном примере, если мы перейдем на страницу www.dmosk.ru/page, то мы попадем на сайт www.site.ru.

5. Редиректы при проксировании

Если при проксировании хост возвращает инструкцию браузеру для выполнения редиректа, обозреватель может сменить адрес сайта. Это особенно не удобно, когда проксирование мы выполняем на другой сайт. Чтобы отловить редиректы и заменить их своими значениями, мы должны воспользоваться опцией proxy_redirect. Рассмотрим ее применение для предыдущего примера, когда мы проксировали запрос на сайт www.dmosk.ru:

* в конкретном случае мы проксируем запросы http://dmosk.local на сайт www.dmosk.ru, но если он вернет инструкцию для редиректа https://www.dmosk.ru/url1, в браузере он должен быть заменен на http://dmosk.local/url2. А также любое перенаправление для https://www.dmosk.ru/ будет заменено на http://dmosk.local/.

взято из сайта www.dmosk.ru

Установка Wine в Linux Mint 21.x-20.x.

sudo rm -rf ~/.wine

sudo apt update && sudo apt upgrade -y

sudo apt install dirmngr ca-certificates software-properties-common gnupg gnupg2 apt-transport-https curl -y

sudo dpkg --add-architecture i386

curl -s https://dl.winehq.org/wine-builds/winehq.key | gpg --dearmor | sudo tee /usr/share/keyrings/winehq.gpg > /dev/null

echo deb [signed-by=/usr/share/keyrings/winehq.gpg] http://dl.winehq.org/wine-builds/ubuntu/ jammy main | sudo tee /etc/apt/sources.list.d/winehq.list

wget -qO - https://dl.winehq.org/wine-builds/winehq.key | sudo apt-key add -

sudo add-apt-repository 'deb https://dl.winehq.org/wine-builds/ubuntu/ focal main'

sudo apt update

sudo apt-get install --install-recommends winehq-stable

winecfg

sudo apt-get install winetricks

Управление сервером через веб-панель aaPanel Linux

Введение

Перепробовав разные панели управления сервером от платных и бесплатных, у меня всегда было ощущение некой не завершенности при работе с ними. Это всегда были разные проблемы, то сертификат не поставит в крон, то настолько сложная установка панели что состоит из 20-30 разных компонентов что опускаются руки все это делать. То закончилась поддержка продукта, а последнее обновление сломала систему в целом. У всех есть недостатки, но из 2-х зол выбираем наименьшее. aaPanel Linux — панель управления с блекджеком.

aaPanel – это панель управления веб-хостингом с открытым исходным кодом для управления такими услугами хостинга, как базы данных, веб-сайты и т. д., как и Webmin. Здесь мы увидим, как установить и настроить его на сервере CentOS 6/7 / RHEL или Ubuntu 19.04 / 18.04 / 17.04 Linux. Бесплатная хостинг-панель под Linux с простым и удобным интерфейсом. aaPanel на VPS-хостинге позволяет легко управлять сайтами, SSL-сертификатами, настраивать FTP-хранилища и выполнять мониторинг всей системы.

Будучи веб-графической панелью управления хостингом, ею можно легко управлять с любого локального или удаленного компьютера, как и популярная Cpanel. Однако на самом деле в aaPanel, как WHM, функций не так много, но их достаточно для работы и управления всем, что требуется веб-серверу. После установки aaPanel настроить и запустить веб-сайт стало очень легко: одним щелчком мыши мы можем настроить LANMP / LAMP (Linux, Apache / Nginx, MySQL, PHP) для тестирования или разработки веб-приложений.

С помощью aaPanel больше не будет головной боли, связанной с запуском различных команд для создания баз данных, создания и управления Docker, веб-сайтом, FTP-сервером и проектом Python, и всеми ими можно управлять с помощью всего нескольких щелчков мыши. Давайте посмотрим пошаговое руководство, чтобы узнать процесс установки aaPanel в CentOS с помощью локального или удаленного командного терминала.

Установите aaPanel Linux на CentOS, Debian или Ubuntu

Приведенные ниже шаги по установке этой бесплатной веб-панели управления с открытым исходным кодом в CentOS будут одинаковыми для серверной / настольной операционной системы Debian или Ubuntu Linux.

1 Войдите на сервер CentOS.

Во-первых, у вас должен быть root или стандартный пользователь с доступом sudo, тогда только мы сможем установить что-либо на нашем сервере CentOS.

2.Установите Wget

Хотя мы можем использовать curl, здесь мы используем команду wget, поэтому сначала установите ее.

sudo yum install wget

CentOS – Error: Failed to download metadata for repo ‘appstream’: Cannot prepare internal mirrorlist: No URLs in mirrorlist

Если видим данную ошибку (у меня она часто возникает на чистом сервере под CentOS 8) тогда выполняем команды:

Шаг 1: Перейдите в /etc/yum.repos.d/каталог.

cd /etc/yum.repos.d/

Шаг 2: Запустите следующие команды

sed -i 's/mirrorlist/#mirrorlist/g' /etc/yum.repos.d/CentOS-*

sed -i 's|#baseurl=http://mirror.centos.org|baseurl=http://vault.centos.org|g' /etc/yum.repos.d/CentOS-*

Шаг 3: Теперь запустите обновление yum

yum update -y

Вот и все. Ошибка исправлена (спасибо автору)

3 Загрузите установочный скрипт aaPanel.

Теперь используйте команду wget вместе с последним доступным сценарием для установки aaPanel.

Для CentOS или Redhat 7 0 или 8 Linux

wget -O install.sh http://www.aapanel.com/script/install_6.0_en.sh

Для Debian или Ubuntu Linux

wget -O install.sh http://www.aapanel.com/script/install-ubuntu_6.0_en.sh

4 Запустите скрипт install.sh веб-панели управления aaPanel Linux.

Теперь у нас есть сценарий в нашей системе, пора его запустить. Тип:

bash install.sh

Когда он говорит, хотите ли вы сейчас установить aaPanel в каталог / www. Введите Y и нажмите кнопку Enter.

5 Страница входа в систему. Веб-панель управления aaPanel.

После завершения установки вы получите ссылку для входа: localhost: 8888 / some-numbers. Кроме того, имя пользователя и пароль будут использоваться для входа в панель управления.

6 Установите программные пакеты для aaPanel Linux.

На панели управления веб-хостинга aaPanel в первый раз вам будет предложено установить между LNMP или LAMP, нажмите кнопку и установите нужную среду веб-сервера. Однако мы можем установить их позже из раздела приложений на этой панели Linux.

7 Основные характеристики, функции и снимок экрана aaPanel CP

Приборная панель:

На панели инструментов мы получаем весь статус серверной системы, на которой установлена ​​веб-панель управления aaPanel, например, локальный статус, использование ЦП, использование памяти и хранилище. Также справа вверху находятся параметры обновления, исправления и перезапуска.

Безопасность системы:

Это брандмауэр панели управления, откуда мы можем блокировать или открывать порты для нашей серверной системы, чтобы разрешить трафик.

Настройки:

В этом разделе можно включить поддержку SSL, двухфакторную аутентификацию через аутентификацию Google, Listen IPv6, API, изменить имя пользователя и пароль панели управления и другие параметры.

Магазин приложений:

Включение основных приложений и плагинов, таких как почтовый сервер, Java, Google Drive, Python и др., Действительно упрощает весь процесс графически, нам не нужно использовать командную строку сервера для установки любого из них. Все будет работать в фоновом режиме, и все, что нам нужно сделать, – это всего лишь один щелчок.

Установка Docker:

Если вы хотите установить Docker с помощью панели управления aaPanel, просто перейдите в раздел «Развертывание» и нажмите кнопку установки. Как только он будет установлен, вы сможете создавать образы Docker и управлять ими. Кроме того, доступны MongoDB, Redis и Memcached.

Кроме того, мы также можем включить удаленный сервер, установленный с aaPanel, и получить к нему доступ, чтобы иметь централизованное управление кластерами серверов.

Остановить, запустить и перезапустить

Стоп :

service bt stop

Начало :

service bt start

Запустить снова:

service bt restart

Удалить веб-панель управления aaPanel

Если в будущем вы захотите удалить установку панели управления сервером, используйте следующую команду:

sudo service bt stop && chkconfig --del bt && rm -f /etc/init.d/bt && rm -rf /www/server/panel

Если приведенная выше команда не сработала, используйте эту:

sudo bt stop &&sudo update-rc.d -f bt remove &&sudo rm -f /etc/init.d/bt &&sudo rm -rf /www/server/panel

Другие команды aaPanel см. На его официальной странице.

Использование и интерфейс этой панели управления Linux довольно просты и удобны. Но не ожидайте, что аналогичные услуги, подобные тем, которые мы получаем в платной панели WHM Cpanel, можно рассматривать как альтернативу платформам управления серверами, подобным Cockpit, но с множеством дополнительных опций. В нем не было приложения «Терминал», так что я мог отправлять команды прямо на сервер с помощью графического интерфейса этой панели веб-хостинга Linux. Тем не менее, необходимо признать, что они бесплатны, имеют открытый исходный код, не требуют затрат и упорный труд разработчиков, потому что то, что они сделали, действительно полезно. И, конечно, вы можете попробовать это вместо сервера командной строки.

Установка NODEJS

Введение

Node.js — это среда выполнения JavaScript для программирования на стороне сервера. Она позволяет разработчикам создавать масштабируемый серверный функционал с помощью JavaScript, языка, который многим уже знаком по веб-разработке под браузер.

В этом обучающем модуле мы покажем вам три разных варианта установки Node.js на сервере Ubuntu 20.04:

• использование apt для установки пакета nodejs из репозитория ПО Ubuntu по умолчанию
• использование apt с альтернативным репозиторием ПО PPA для установки определенных версий пакета nodejs
• установка диспетчера nvm (Node Version Manager) и его использование для установки нескольких версий node и управления ими

Для многих пользователей будет достаточно использовать apt с репозиторием по умолчанию. Если вам требуется определенная более новая (или старая) версия Node, вам следует использовать репозиторий PPA. Если вы занимаетесь активной разработкой приложений Node, и вам нужно часто переключаться между версиями node, используйте метод nvm.

Предварительные требования

Для целей этого обучающего модуля предполагается, что вы используете ОС Ubuntu 20.04. Для начала вам потребуется учетная запись пользователя без привилегий root с привилегиями sudo.

Вариант 1 — Установка Node.js с помощью Apt из репозиториев по умолчанию

В репозиториях Ubuntu 20.04 по умолчанию содержится версия Node.js, обеспечивающая согласованную работу в разных системах. На момент составления этого обучающего модуля в репозиториях хранится версия 10.19. Это не самая последняя версия, но она должна быть стабильной и подходить для небольших экспериментов с языком.

Для получения этой версии можно использовать диспетчер пакетов apt. Обновите указатель локальных пакетов с помощью следующей команды:

sudo apt update

Выполните установку Node.js:

sudo apt install nodejs

Проверьте, что установка выполнена успешно, запросив у node номер версии:

nodejs -v

v10.19.0

Если пакет из репозитория отвечает вашим потребностям, для начала работы с Node.js ничего больше не потребуется. В большинстве случаев также нужно установить npm, диспетчер пакетов Node.js. Для этого установите пакет npm с помощью apt:

sudo apt install npm

Это позволит вам устанавливать модули и пакеты для использования с Node.js.

Вы успешно установили Node.js и npm, используя apt и репозитории ПО Ubuntu по умолчанию. В следующем разделе мы покажем, как использовать альтернативный репозиторий для установки разных версий Node.js.

Вариант 2 — Установка Node.js с помощью Apt через архив NodeSource PPA

Для установки другой версии Node.js вы можете использовать архив PPA (архив персональных пакетов), обслуживаемый NodeSource. Через PPA можно установить другие версии Node.js, кроме доступных в официальных репозиториях Ubuntu. На момент составления этого обучающего модуля доступны версии Node.js v10, v12, v13 и v14.

Вначале установим PPA для получения доступа к его пакетам. Используйте в домашнем каталоге команду curl для получения скрипта установки предпочитаемой версии. Замените 14.x предпочитаемым номером версии (если он отличается).

cd ~
curl -sL https://deb.nodesource.com/setup_14.x -o nodesource_setup.sh

Дополнительную информацию о доступных версиях можно найти в документации по NodeSource.

Просмотрите содержимое загруженного скрипта в nano (или другом предпочитаемом текстовом редакторе):

nano nodesource_setup.sh

Убедившись в безопасности запуска скрипта, закройте редактор и запустите скрипт с привилегиями sudo:

sudo bash nodesource_setup.sh

Архив PPA будет добавлен в вашу конфигурацию, и кэш локальных пакетов автоматически обновится. Теперь вы можете установить пакет Node.js, как описывалось в предыдущем разделе:

sudo apt install nodejs

Убедитесь в установке новой версии, запустив node с флагом версии -v:

node -v

v14.2.0

Пакет NodeSource nodejs содержит двоичный код node и npm, так что не нужно устанавливать npm отдельно.

Вы успешно установили Node.js и npm, используя apt и архив NodeSource PPA. В следующем разделе мы покажем, как использовать диспетчер версий Node Version Manager для установки нескольких версий Node.js и управления ими.

Вариант 3 — Установка Node с помощью Node Version Manager

Еще одним способом установки Node.js, который является достаточно гибким, является использование nvm, или Node Version Manager. Это программное обеспечение позволяет устанавливать и поддерживать несколько разных независимых версий Node.js и связанных с ними пакетов Node.

Чтобы установить NVM на ваш сервер Ubuntu 20.04, откройте страницу проекта на GitHub. Скопируйте команду curl из файла README, отображаемого на главной странице. Она позволит получить самую последнюю версию скрипта установки.

Прежде чем передавать команду в bash, рекомендуется проверить скрипт, чтобы убедиться, что он не делает ничего, с чем вы не согласны. Вы можете сделать это, удалив сегмент | bash в конце команды curl:

curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.35.3/install.sh

Проверьте и убедитесь, что вы не возражаете против изменений, которые вносит скрипт. Если вас удовлетворит результат, запустите команду еще раз с добавлением | bash в конце. URL-адрес, который вы используете, будет меняться в зависимости от последней версии NVM, но в настоящий момент скрипт можно загрузить и запустить с помощью следующей команды:

curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.35.3/install.sh | bash

Она устанавливает скрипт nvm для вашей учетной записи. Для его использования необходимо сначала получить ваш файл .bashrc:

source ~/.bashrc

Теперь вы можете спросить у NVM, какие версии Node доступны:

nvm list-remote

Output

. . .
       v12.13.0   (LTS: Erbium)
       v12.13.1   (LTS: Erbium)
       v12.14.0   (LTS: Erbium)
       v12.14.1   (LTS: Erbium)
       v12.15.0   (LTS: Erbium)
       v12.16.0   (LTS: Erbium)
       v12.16.1   (LTS: Erbium)
       v12.16.2   (LTS: Erbium)
       v12.16.3   (Latest LTS: Erbium)
        v13.0.0
        v13.0.1
        v13.1.0
        v13.2.0
        v13.3.0
        v13.4.0
        v13.5.0
        v13.6.0
        v13.7.0
        v13.8.0
        v13.9.0
       v13.10.0
       v13.10.1
       v13.11.0
       v13.12.0
       v13.13.0
       v13.14.0
        v14.0.0
        v14.1.0
        v14.2.0

Это очень длинный список! Вы можете установить версию Node, введя любую версию релиза, которую вы видите. Например, для получения версии 13.6.0 воспользуйтесь следующей командой:

nvm install v13.6.0

Вы можете увидеть установленные вами различные версии с помощью следующей команды:

nvm list


Output
-> v13.6.0
default -> v13.6.0
node -> stable (-> v13.6.0) (default)
stable -> 13.6 (-> v13.6.0) (default)
. . .


Она отображает текущую активную версию на первой строке (-> v13.6.0), за которой следуют псевдонимы и версии, на которые указывают эти псевдонимы.

Примечание. Если у вас также имеется версия Node.js, установленная с помощью apt, здесь вы сможете увидеть системную запись. Вы всегда можете активировать установленную системой версию Node с помощью команды nvm use system​​​.

Также вы увидите псевдонимы для различных релизов Node с длительной поддержкой (LTS):

. . .
lts/* -> lts/erbium (-> N/A)
lts/argon -> v4.9.1 (-> N/A)
lts/boron -> v6.17.1 (-> N/A)
lts/carbon -> v8.17.0 (-> N/A)
lts/dubnium -> v10.20.1 (-> N/A)
lts/erbium -> v12.16.3 (-> N/A)

Мы можем установить релиз на основе этих псевдонимов. Например, для установки последней версии с долгосрочной поддержкой, erbium, запустите следующую команду:

nvm install lts/erbium
Output
Downloading and installing node v12.16.3...
. . .
Now using node v12.16.3 (npm v6.14.4)

Вы можете переключаться между установленными версиями с помощью nvm use:

nvm use v13.6.0

Now using node v13.6.0 (npm v6.13.4)

Вы можете проверить, что установка выполнена успешно, с помощью того же метода, использованного в других разделах. Введите следующую команду:

node -v
Output

v13.6.0

Корректная версия Node установлена на нашем компьютере, как мы и ожидали. Совместимая версия npm также доступна.

Заключение

Существует несколько способов запустить и начать использование Node.js на сервере Ubuntu 20.04. Наиболее подходящий метод из вышеперечисленных определяется в зависимости от обстоятельств. Хотя использование упакованной версии из репозитория Ubuntu — самый простой метод, использование nvm или архива NodeSource PPA дает дополнительную гибкость.

AutoKey аналог AutoHotKey для Linux

AutoKey – удобный менеджер клавиатурных сочетаний (горячих клавиш / hotkeys), аббревиатур (сокращенных слов) и скриптов (сценариев), имеющий как GTK так и QT графический интерфейс (для более тесной интеграции в используемое окружение).

Многим пользователям, во время работы за компьютером, регулярно приходится выполнять одни и те же операции… Но не всегда встроенных функциональных возможностей системы, или конкретного приложения, хватает для настройки и удобного управления ими.

AutoKey многофункциональный инструмент, обладающий интуитивно понятным интерфейсом, предназначенный для того чтобы автоматизировав рутинные операции, упростить работу с компьютером сделав управление системой и приложениями более простым.

Основное назначение AutoKey это предоставление возможности переназначения всех клавиатурных сочетаний (применяемых по умолчанию) и/или назначения новых сочетаний для любых действий пользователя, будь то запуск приложения, выполнения скрипта, открытия конкретного файла или каталога…

AutoKey так же даёт возможность осуществить «подстановку текста», подразумевается замена аббревиатур их полным текстовым аналогом (подстановка текста вместо соответствующих аббревиатур). Реализована возможность настройки имитирования служебных клавиатурных сочетаний, позволяющих посылать команды приложениям.

У AutoKey есть возможность записи макросов (символьных имён) на основе полученных событий (от клавиатуры/мыши). Возможно использование скриптов, написанных на Python и API, позволяющих контролировать окна, буфер обмена, мышь и др… Имеется встроенный редактор кода (QScintilla для KDE и GtkSourceView2 для Gnome).

Установки сделанные в AutoKey работают в любом приложении, это позволяет с одинаковым удобством использовать её как с графическими так и с консольными интерфейсами пользователя. Приложение интегрируется в область уведомлений (системный трей) и имеет полную поддержку Юникода (Unicode).

Лицензия: GNU GPL v3

скачать

так же эту программу можно установить через стандартный установщик

$ sudo apt install autokey-gtk

Чиним ping в wine на Linux Mint 20.x

Иногда в wine не работает пингование ресурсов и для его починки в консоли нужно выполнить пару команд

$ sudo setcap cap_net_raw+epi /usr/bin/wine-preloader
$ sudo setcap cap_net_raw+epi /usr/bin/wine
$ sudo setcap 'cap_net_raw+epi' "$(readlink -f "/usr/bin/wine-preloader")"

вот и все теперь нужно проверить:

$ wine ping -n 5 linux.org.ru

вывод должен быть таким:

$ wine ping -n 5 linux.org.ru
03fc:fixme:font:get_name_record_codepage encoding 20 not handled, platform 1.
03fc:fixme:font:get_name_record_codepage encoding 20 not handled, platform 1.
Pinging linux.org.ru [178.248.233.6] with 32 bytes of data:
Reply from 178.248.233.6: bytes=32 time=51ms TTL=54
Reply from 178.248.233.6: bytes=32 time=49ms TTL=54
Reply from 178.248.233.6: bytes=32 time=50ms TTL=54
Reply from 178.248.233.6: bytes=32 time=50ms TTL=54
Reply from 178.248.233.6: bytes=32 time=58ms TTL=54

Ping statistics for 178.248.233.6
Packets: Sent = 5, Received = 5, Lost = 0 (0% loss)
Approximate round trip times in milli-seconds:
Minimum = 49ms, Maximum = 58ms, Average = 52ms

Взято отсюда https://wiki.winehq.org/FAQ#Failed_to_use_ICMP_.28network_ping.29.2C_this_req…

Ввести в домен Active Directory (AD) Линукс

Как мне ввести в домен Linux машину. Не важно какой дистрибутив Mint, Ubuntu, Debian(они самые распространенные).

Для этого установим пакеты

sudo apt-get install sssd

Отредактируйте файл sudo nano /etc/sssd/sssd.conf, добавив следующую информацию:

[sssd]
config_file_version = 2
services = nss, pam 
domains = ИМЯ_ДОМЕНА 
[pam]
[nss]
[domain/ИМЯ_ДОМЕНА]
ad_domain = ИМЯ_ДОМЕНА
krb5_realm = ИМЯ_ДОМЕНА
krb5_server = ИМЯ_КОНТРОЛЛЕРА_ДОМЕНА

Добавьте Linux Mint в домен Windows командой: sudo realm join ИМЯ_ДОМЕНА

Отредактируйте файл sudo nano /etc/resolv.conf, добавив следующую информацию:

search your.domain.name
nameserver 1.2.3.4 #IP вашего сервера DNS(Контроллера домена)
nameserver 1.2.3.5

После выполнения этих шагов, Linux Mint будет успешно подключен к домену Windows и пользователи смогут аутентифицироваться через домен.

Наконец выполнить вход под пользователем

sudo realm join -U ПОЛЬЗОВАТЕЛЬ your.domain.name

Ошибка fatal: The remote end hung up unexpectedly при выполнении git push

Иногда при работе с git через http возникает ошибка The remote end hung up unexpectedly. Это может обозначать одну из нескольких проблем. Одна из проблем — размер репозитория больше максимально допустимого размера будефа POST. Рассмотрим решение данной проблемы.

Вывод о данной ошибке выглядит примерно следующим образом:

Counting objects: 7928, done.
Delta compression using up to 12 threads.
Compressing objects: 100% (7834/7834), done.
Writing objects: 100% (7928/7928), 204.43 MiB | 97.40 MiB/s, done.
Total 7928 (delta 968), reused 1 (delta 0)
error: RPC failed; result=22, HTTP code = 413
fatal: The remote end hung up unexpectedly
fatal: The remote end hung up unexpectedly
Everything up-to-date

Итак, первый вариант решения данной проблемы состоит в увеличении буфера данных POST запроса.

В первую очередь необхожимо узнать размер данных. В приведенном выше примере вывода размер равен 204.43 МБ. К этому числу добавим небольшой запас (например, до 250 МБ) и переведем все в байты. 250 МБ = 250 * 1024 * 1024 = 262144000 КБ. Задаем полученное значение в настройки git.

Этой командой мы выставили значение для конкретного репозитория, если необходимо применить данную настройку глобально, то необходимо добавить флаг —global:

Если ваш сервер для хранения git репозиториев имеет максимальный размер тела запроса меньше заданного размера, то необходимо перенастроить web-сервер (если есть такая возможность). Для этого необходимо изменить значение client_max_body_size (для nginx) или LimitRequestBody (для apache) и перезагрузить сервис (service nginx reload или service apache2 reload соответственно). Если сервер не аш и нет возможности его сконфигурировать, то остается вариант номер 2.

Второй вариант заключается в переходе с протокола http на ssh. Вам будет необходимо изменить адрес удаленного репозитория с помощью команды git remote set-url:

Вот мы рассмотрели два пути решения ошибки The remote end hung up unexpectedly. Вероятно есть другие причины возникновения данной ошибки и иные пути решения. Эта статья не охватывает все возможные варианты, но надеюсь, что она вам помогла.

Включаем HTTP/2 и SSL в NGINX для сайта

Зачем нужен HTTP/2

HTTP/2 – новая версия протокола HTTP, стандартизированная в начале 2015 года. Использование HTTP/1.1 из-за некоторых особенностей вносит негативный эффект на производительность веб-приложений.

В частности HTTP/1.0 позволяет выполнять только один запрос одновременно в TCP–соединении. В HTTP/1.1 были добавлены конвейерные запросы, но они только частично помогают параллельному исполнению запросов и по-прежнему приводят к блокировкам. Клиенты HTTP/1.0 и HTTP/1.1, которым необходимо делать много запросов сейчас используют множество соединений к серверу.

Кроме этого, поля заголовка HTTP многословны и часто повторяются, производя ненужный сетевой трафик. Также время тратится на заторы TCP. Это может привести к повышенным задержкам при множестве запросов сделанных с помощью новых TCP–соединений.

HTTP/2 решает эти проблемы, определяя оптимизированную семантику протокола HTTP. В частности это позволяет выполнять чередование запросов и ответов через то же подключение и предоставляет эффективное кодирование полей HTTP-заголовка. Также HTTP/2 позволяет приоритизировать запросы, позволяя более важным запросам выполняться быстрее.

В результате протокол становится более дружественным к сети, требуя установки меньшего количества TCP–соединений в сравнении с HTTP/1.x, что приводит к более эффективному использованию сети. Также HTTP/2 дает возможность эффективнее обрабатывать сообщения с помощью бинарного формата.

HTTP/2 тесно связан с SSL. Несмотря на то, что спецификация не требует обязательного использования SSL, все веб-браузеры выпущенные на текущий момент будут работать с HTTP/2 только если веб-сайт использует SSL.

Генерируем сертификат

Для работы HTTP/2 на текущий момент должна быть включенa поддержка соединения по HTTPS в NGINX.
Обычно этот процесс состоит из четырех шагов:

• генерация приватного ключа (key)
• создания запроса на подпись (CSR) и отправка запроса в сертифицирующий центр (CA)
• установка сертификата от сертифицирующего центра
• настройка конфигурации NGINX

Такой процесс обеспечивает доверие браузеров пользователей к сайту.

Создайте папку, в которой будут храниться ключи шифрования и перейдите в нее:

mkdir /etc/nginx/ssl && cd /etc/nginx/ssl

Для понимания способов генерации ключа необходимо знать следующие понятия:
Алгоритм генерации ключа. OpenSSL поддерживает RSA, DSA и ECDSA ключи, но не все типы подходят для практического использования во всех сценариях. Например, для веб-серверов нужно использовать RSA, потому что DSA ключи ограничены 1024 битами (IE не поддерживает ничего сложнее) и ECDSA ключи еще не поддерживаются широко сертифицирующими центрами. Если бы мы генерировали ключ для SSH – подошли бы RSA и DSA, так как ECDSA еще может не поддерживаться частью клиентов.
Размер ключа. Размер ключа по-умолчанию может быть небезопасен. Например ключ по-умолчанию для RSA – только 512 бит и его использование совершенно небезопасно. Сегодня рекомендуется использовать минимум 2048 бит для RSA, 2048 бит для DSA и 256 бит для ECDSA. Мы будем использовать RSA и 4086 бит.

Для генерации приватного ключа и запроса на подписание сертификата выполните команду:

openssl req -out /etc/nginx/ssl/domain.csr -new -newkey rsa:4086 -nodes -keyout /etc/nginx/ssl/domain.key

В процессе обязательно укажите FQDN (Common name) – имя домена и email в домене, например webmaster@domain.tld. Не устанавливайте пароль на ключ.

После генерации вы увидите в папке /etc/nginx/ssl два файла с расширениями key (приватный ключ) и csr (запрос на подписание сертификата). Если вы хотите использовать доверенный сертификат — закажите его у центра сертификации (можно например заказать в тут). Для формирования сертификата потребуется содержимое csr, которое можно посмотреть так:

cat /etc/nginx/ssl/domain.csr

После заказа и формирования сертификата сохраните его содержимое в файле /etc/nginx/ssl/domain.crt. После самого содержимого сертификата в этот же файл с новой строки добавьте содержимое Intermediate сертификата, если он будет предоставлен вам сертифицирующим центром и сохраните файл.

Если вы разворачиваете тестовое окружение — можно бесплатно сгенерировать самоподписанный сертификат так:

openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout /etc/nginx/ssl/domain.key -out /etc/nginx/ssl/domain.crt

Также необходимо сгенерировать DH параметры для того, чтобы в случае кражи приватного ключа нельзя было расшифровать последние сообщения.

openssl dhparam -out /etc/nginx/ssl/dhparam.pem 4096

Включаем доступ только по HTTPS в NGINX и активируем HTTP2

Отредактируйте файл конфигурации NGINX /etc/nginx/conf.d/default.conf.
В нем удалите секцию server и добавьте:

server {
        listen 80;
        server_name domain.tld  www.domain.tld;
        return 301 https://$host$request_uri;
    }

    server {
        listen 443 ssl http2;
        server_name domain.tld  www.domain.tld;
        ssl on;
        ssl_certificate /etc/nginx/ssl/domain.crt;
        ssl_certificate_key /etc/nginx/ssl/domain.key;
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;
        ssl_prefer_server_ciphers On;
        ssl_protocols TLSv1.1 TLSv1.2;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK;
        add_header Strict-Transport-Security max-age=15768000;
        ssl_stapling on;

        location / {
            root /usr/share/nginx/html;
	}
    }
}

, где domain.tld замените на имя вашего сайта, для которого включаете HTTP2.

После изменений протестируйте конфигурацию nginx на отсутствие ошибок командой:

nginx -t

Теперь перезапустите NGINX:

systemctl restart nginx

Откройте сайт по доменному имени в браузере. Если вы использовали самоподписанный сертификат и не заверяли его у сертифицирующего центра, вы увидите предупреждение.

Добавьте сайт в исключения, браузер запомнит это и он корректно откроется.

Чтобы проверить, что сайт работает по HTTP2, установите HTTP2 indicator для Firefox или Chrome.

Теперь при заходе на сайт, поддерживающий HTTP2 или SPDY вы увидите синюю молнию.

Действительно, сайт работает по HTTP2.

Успешной работы!

КАК ОТКРЫТЬ ПОРТ IPTABLES

Самой распространенной операцией при работе с межсетевым экраном, по моему мнению, является операция закрытия и открытия портов на сетевом интерфейсе. Порт открывается для того чтобы к нему можно было получить доступ из вне. Закрывают же порт чтобы запретить устанавливать соединение с программой на вашем устройстве, работающей по этому порту. В этой статье мы рассмотрим как открыть порт iptables на примере Debian Linux.

Порт — это, грубо говоря, номер квартиры в многоквартирном доме, за которым проживают известные (или не очень) жильцы. IP адрес — это номер многоквартирного дома, в котором множество квартир. Жилец — это программа, использующая данный номер порта. Этот пример работает в том случае, когда целью является открытие и закрытие доступа программам на том же самом компьютере, который подключен к сети Интернет.

В iptables для создания нового правила или блока правил используется команда:

sudo iptables [-t таблица] -A [цепочка] спецификации_правила

Например:

sudo iptables -t filter -A INPUT -p tcp -s 8.8.8.8 --sport 53 -d 192.168.1.1 -j ACCEPT

Рассмотрим подробно случай открытия порта с помощью iptables. Следует заметить, что понятие порт используется в протоколах tcp и udp, поэтому для разных протоколов доступны одинаковые номера портов, но при этом эти номера, говоря на языке нашего примера, означают разные квартиры в разных домах в разных микрорайонах, где за микрорайон можно принять наименование протокола.

Примечание: Существуют таблицы общепринятых номеров портов для распространённых программ и типов программ по функциональному назначению. Остальные порты являются свободно используемыми. Рассмотрение таблиц портов выходит за рамки данной статьи. Вернемся к простой задаче закрыть один порт.

Примечание: Если вы собираетесь открыть порт, убедитесь, что политика iptables по умолчанию блокировать всё соединения к портам (DROP). Если же используется политика по умолчанию ACCEPT, то ничего открывать не надо, все порты уже открыты, а вам нужно только закрыть те, которые должны быть недоступны из вне.

1. ОДИН ПОРТ

Чтобы открыть порт iptables debian используется следующая команда:

sudo iptables [-t таблица] -A [цепочка] -p протокол [—sport порт_отправителя] [—dport порт_назначения] -j [действие]

Например:

sudo iptables -t filter -A INPUT -p tcp --dport 8081 -j ACCEPT

В данном случае мы открыли в таблице filter в цепочке INPUT протокола tcp порт назначения 8081 с помощью действия ACCEPT (принять). Таким образом для всех внешних машин, пытающихся установить соединение по данному порту, данный порт будет теперь доступен. Если мы хотим открыть порт для конкретной машины следует использовать следующую команду:

sudo iptables -t filter -A INPUT -p tcp -s 10.0.0.1/32 --dport 8080 -j ACCEPT

Мы открыли порт 8080 на нашем компьютере для внешней машины с адресом 10.0.0.1.

2. ДИАПАЗОН ПОРТОВ

Чтобы открыть диапазон портов iptables используется команда:

sudo iptables [-t таблица] -A [цепочка] -p протокол [—sport начальный_порт_отправителя:конечный_порт_отправителя] [—dport начальный_порт_назначения:конечный_порт_назначения] -j [действие]

Например:

sudo iptables -t filter -A INPUT -p tcp --dport 18070:18081 -j ACCEPT

Данной командой мы открыли порты 18070-18081 для входящих пакетов, адресованных именно этому компьютеру, передаваемых по протоколу TCP.

3. ВХОДЯЩЕЕ И ИСХОДЯЩЕЕ СОЕДИНЕНИЯ

Все пакеты можно разделить на два типа: пакеты, приходящие на данный узел и пакеты, отправляемые данным узлом. В самом распространенном случае и для исходящих, и для входящих пакетов будет использоваться один и тот же сетевой интерфейс (физическое или логическое устройство, отвечающее за преобразование пакетов в сигналы и передачу сигналов в сеть).

Так вот, входящие пакеты будут создавать входящие соединения по определенным правилам для конкретных программ, и исходящие пакеты будут создавать исходящие соединения по определенным правилам для конкретных программ. При этом для каждой программы, нуждающейся в установлении связи с через сеть, чаще всего будут функционировать два соединения: входящее и исходящее, так как программе одновременно требуется в течении работы получать и отправлять данные.

Правила для входящих соединений будут в большинстве случаев расположены в цепочках PREROUTING, INPUT. Правила для исходящих соединений будут в большинстве случаев расположены в цепочках POSTROUTING, OUTPUT.

Чтобы разрешить порт iptables для входящего соединения:

sudo iptables -t filter -A INPUT -p tcp --dport 8080 -j ACCEPT

Пример для исходящего соединения:

sudo iptables -t filter -A OUTPUT -p tcp --dport 8080 -j ACCEPT

Примечание: В данном случае правила выглядят очень похоже, но смысловое значение у них будет абсолютно противоположное. В первом случае мы имеем дело с пакетом ВХОДЯЩИМ, который должен поступить на порт назначения 8080 НАШЕГО компьютера. Во втором случае мы имеем дело с пакетом ИСХОДЯЩИМ, который должен поступить на порт назначения 8080 УДАЛЕННОГО компьютера. Следует также заметить, что программа не использует на нашем компьютере и удаленном компьютере одинаковый номер порта для одной программы. Порты будут различаться.

4. СОСТОЯНИЕ СОЕДИНЕНИЯ

Существует возможность формировать правила фильтрации пакетов по совпадению с определенными шаблонами дополнительной спецификации правил Netfilter. За это отвечают параметры -m и -j. Мы рассмотрим использование параметра -m, который может использовать множество различных шаблонов, из которых мы рассмотрим один: —state состояние. Этот шаблон может принимать следующие значения:

• NEW — пакет открыл новое соединение или иным образом связан с соединением, в рамках которого ещё не было пакетов в обоих направлениях (входящем и исходящем);
• ESTABLISHED — пакет связан с соединением, которое видело пакеты в обоих направлениях;
• RELATED — пакет открывает новое соединение, но связан с уже существующим соединением, например, передача данных FTP или ошибка протокола ICMP;
• INVALID — пакет, связанный с неизвестным соединением.

Открытие портов iptables для новых соединений:

sudo iptables -t filter -A INPUT -p tcp -s 192.168.1.0/24 --dport 445 -m state --state NEW -j DROP

В этом примере в таблицу filter в цепочку INPUT для протокола tcp, от компьютера из подсети 192.168.1.0/24, на порт назначения 445 (так как цепочка входящая, то порт назначения находится на данном компьютере) для пакетов, открывающих новое соединение, применить действие ACCEPT (принять пакет).

А такая команда позволяет добавить порт iptables для уже установленных соединений:

sudo iptables -t filter -A INPUT -p tcp -s 192.168.2.0/24 --dport 445 -m state --state ESTABLISHED -j ACCEPT

В данном случае в таблицу filter в цепочку INPUT для протокола tcp, от компьютера из подсети 192.168.2.0/24, на порт назначения 445 (так как цепочка входящая, то порт назначения находится на данном компьютере) для пакетов, поступающих в рамках уже открытого соединения, применить действие ACCEPT (принять пакет).

КАК ЗАКРЫТЬ ПОРТ IPTABLES

Если вы открыли порт с помощью описанных выше правил и политика брандмауэра по умолчанию DROP, то достаточно это правило удалить. Если же у вас стоит политика по умолчанию ACCEPT, то чтобы закрыть порт надо использовать действие DROP.

Например:

sudo iptables -t filter -A INPUT -p tcp -s 192.168.3.0/24 --dport 445 -m state --state ESTABLISHED -j DROP

Эта команда в таблицу filter в цепочку INPUT запишет правило для протокола TCP, от компьютера из подсети 192.168.3.0/24, на порт назначения 445 (так как цепочка входящая, то порт назначения находится на данном компьютере) для пакетов, поступающих в рамках уже открытого соединения, применять действие DROP (отбросить пакет).

Для правил, запрещающих прием пакета, применимо всё сказанное выше для закрытия порта (одиночный порт, диапазон портов, входящие и исходящие соединения, действия для установленных соединений и новых соединений).

ПРОВЕРКА ОТКРЫТ ЛИ ПОРТ

Когда мы настроили все правила, закрывающие и открывающие порты, нам необходимо проверить корректность примененных настроек. Для этого можно использовать приложение telnet. Telnet — приложение, позволяющее установить двунаправленное соединение между двумя компьютерами с помощью протокола telnet. В рамках нашей задачи попытка установления соединения между двумя машинами в сети используется как тест правил Netfilter. Выполняем команду следующего вида:

$ telnet ip-адрес порт

Например:

telnet 192.168.1.5 443

В данной команде будет проверен 443 порт у машины с ip-адресом 192.168.1.5. Если на порту 443 на удаленной машине разрешено входящее соединение и правила на локальной машине разрешают исходящее соединение на порту 443, то получим сообщение:

Connection closed by foreign host.

Или неожиданно можем получить приглашение доступа к данной машине, если на этом порте ожидает подключения серверная часть telnet.

Если же правила запрещают входящее соединение на удаленной машине, или исходящее соединение на нашей локальной машине на порту 443, то получим сообщение:

telnet: Unable to connect to remote host: Connection timed out

Примечание: Чтобы получить результаты необходимо подождать довольно продолжительное время, чтобы telnet получил результат попытки соединения по указанному порту.

ВЫВОДЫ

Итак, сегодня мы рассмотрели как открыть порт 80 iptables или любой другой на локальной машине. Теперь мы знаем, как открыть (или закрыть) конкретный порт, диапазон портов, в чем разница между входящими и исходящими соединениями, как работать с новыми и уже установленными соединениями.

Настройка удаленного доступа MySQL и MariaDB в Linux Ubuntu

По умолчанию сервер MySQL настроен таким образом, что к нему разрешены подключения только с локальной машины, следовательно, подключиться из-вне (по интернет или локальной сети) не получится.

Убедиться в этом можно набрав на сервере команду:

sudo netstat -tlp

В результате получите что-то типа этого:

Активные соединения с интернетом (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 localhost:mysql *:* LISTEN 634/mysqld 
tcp 0 0 *:http *:* LISTEN 987/nginx -g daemon
tcp 0 0 *:ssh *:* LISTEN 375/sshd 
tcp6 0 0 [::]:http [::]:* LISTEN 987/nginx -g daemon
tcp6 0 0 [::]:ssh [::]:* LISTEN 375/sshd

Отсюда видно, что mysql слушает только интерфейс localhost (127.0.0.1). Это не всегда удобно, особенно когда есть необходимость выделить под сервер mysql отдельный сервер. А в рамках корпоративной локальной сети такое бывает очень часто.

Чтобы разрешить серверу MySQL принимать запросы из-вне необходимо предпринять несколько несложных шагов:

1. Поменять одну строчку в конфигурационном файле MySQL;
2. Создать сетевого пользователя с необходимыми правами.

Разрешаем MySQL слушать интерфейс, который смотрит во внешнюю сеть

Открываем конфигурационный файл любимы редактором, например nano, из под привилегированного пользователя:

sudo nano /etc/mysql/my.cnf

Если у вас установлен сервер mariaDB, то конфигурационный файл находится в другом месте:

sudo nano /etc/mysql/mariadb.conf.d/50-server.cnf

Находим строчки:

# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
bind-address = 127.0.0.1

и меняем 127.0.0.1 на 0.0.0.0 — тогда сервер будет слушать все интерфейсы компьютера, либо задаем конкретный ip-адрес локального интерфейса, который смотрит в локальную сеть. Например — 192.168.122.10.

Получаем

# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
bind-address = 0.0.0.0

Теперь остается только перезапустить сервис MySQL:

sudo service mysql restart

Теперь осталось только завести пользователя, которому разрешено обращаться к серверу MySQL извне.

Создание внешнего пользователя MySQL

Теперь нужной подключиться к MySql с паролем суперпользователя системы (системы!!! а не MySQL):

sudo mysql

После подключения к MySQL можно создать пользователя и дать привилегию, например:

mysql> GRANT ALL PRIVILEGES ON userdata.* TO 'user'@'%' IDENTIFIED BY 'password';

Здесь дается полный доступ к базе данных userdata пользователю с логином user и паролем password, подключающемуся с любого ip.

Можно ограничить права пользователя, разрешив ему подключаться к базе только с определенного ip. Для этого меняем % на конкретный ip-адрес, например 192.168.122.16

mysql> GRANT ALL PRIVILEGES ON userdata.* TO 'user'@'192.168.122.16' IDENTIFIED BY 'password';

А можно и разрешить пользователю всё — подключаться ко всем базам с любого ip-адреса

mysql> GRANT ALL PRIVILEGES ON *.* TO 'user'@'%' IDENTIFIED BY 'password';

Это делать не желательно, если конечно вы не заводите себя.

Как сохранить имя пользователя и пароль в Git?

Рекомендуемый и безопасный метод: SSH

Создайте ключ ssh Github. Перейдите в github.com -> Настройки -> ключи SSH и GPG -> Новый ключ SSH. Теперь сохраните свой закрытый ключ на вашем компьютере.

Затем, если закрытый ключ сохранен как id_rsa в каталоге ~/.ssh/, мы добавим его для аутентификации как таковой:

ssh-add -K ~/.ssh/id_rsa

Более Безопасный Метод: Кэширование

Мы можем использовать git-credential-store для кэширования нашего имени пользователя и пароля в течение определенного периода времени. Просто введите следующее в CLI (terminal или в командной строке):

git config --global credential.helper cache

Вы также можете установить период ожидания (в секундах) как таковой:

git config --global credential.helper 'cache --timeout=3600'

Еще Менее Безопасный Метод

Git-credential-store также может использоваться, но сохраняет пароли в обычном текстовом файле на вашем диске как таковом:

git config credential.helper store

Устаревший ответ — Быстрый и небезопасный

Это небезопасный способ хранения пароля в виде обычного текста. Если кто-то получит контроль над вашим компьютером, ваш пароль будет раскрыт!

Вы можете установить свое имя пользователя и пароль следующим образом:

git config --global user.name "your username"

git config --global user.password "your password"

Мультизагрузочный диск(USB-флешка) Ventoy

Как я устал каждый раз искать программы для создания универсального загрузочного диска. И наконец нашол самое универсальное. Ventoy – бесплатная программа для создания мультзагрузочных USB-носителей.  Так же программа поддерживает образы и файлы следующих типов ISO, WIM, IMG, VHD(x), EFI.

Возможности

Ventoy обладает массой возможностей и полезных свойств, часть из которых перечислена ниже.

• Его очень легко установить и использовать.
• Он быстрый (ограничением может являться только скорость копирования iso-файла).
• Вам не нужно разархивировать ISO-файлы. Загрузка осуществляется непосредственно из ISO.
• Программа поддерживает Legacy + UEFI.
• Поддерживается UEFI Secure Boot.
• Вы можете создавать загружаемые диски с ISO-файлами, размер которых больше 4 ГБ.
• Поддерживаются практически все типы ОС. Разработчик утверждает, что более 200 файлов ISO были протестированы с Ventoy.
• Поддерживается автоматическая установка. Это значит, что вы можете добавить свой шаблон или скрипт для автоматического развертывания. Например, скрипт kickstart для Redhat / CentOS, autoYast xml для SUSE, скрипт preseed для Debian. Копируйте скрипт или шаблон на USB-накопитель и укажите Ventoy, что нужно использовать его для автоматической установки. Вы также можете обновить эти скрипты в любое время. Не нужно создавать новый файл ISO, просто используйте оригинальный ISO.
• Режим Read-only для USB-диска во время загрузки.
• Сохраняется возможность обычного использования USB-дисков. То есть вы можете использовать USB-диск в других целях, например, для копирования файлов.
• Обновление Ventoy, когда появляется новая версия, возможно без пересоздания загрузочного USB-диска «с нуля». При обновлении версии имеющиеся данные не затрагиваются.
• Нет необходимости обновлять Ventoy, если выпускается новая версия дистрибутива.
• Чтобы добавить новую ОС, просто скопируйте ISO-файл на USB-диск. Не нужно начинать все сначала.
• Поддерживается режим Memdisk. На некоторых машинах ISO могут не загружаться. В таких случаях вы можете использовать режим Memdisk. В этом режиме Ventoy загрузит весь файл ISO в память и затем загрузит его.
• Фреймворк для плагинов.
• Поддерживается родной стиль меню загрузки для Legacy & UEFI.
• Кросс-платформенность. Поддерживаются Linux и Windows.
• Это свободное и бесплатное ПО с открытым исходным кодом!!

Как создать загрузочной USB-носитель в Windows с помощью Ventoy

Скачиваем Ventoy, разархивируем архив и запускаем файл Ventoy2Disk.exe.

Для создания мультизагрузочной флешки в разделе «Устройство» выбираем наш USB-носитель и нажимаем на кнопку «Установить». Соглашаемся на форматирование накопителя. Об окончании форматирования нас уведомит соответствующее окошко. Программа Ventoy создала два раздела, один с файловой системой ExFAT, а другой с файловой системой FAT. В Проводнике будет отображаться первый раздел ExFAT и он будет большего размера. Именно в данный раздел нужно перемещать образы. Теперь при загрузки с данной мультизагрузочной флешки будет отображаться меню GRUB 2 с выбором загрузки перемещенных образов.

Важно. Стоит отметить, что названия образов не должны содержать пробелов и кириллицы.

Вы можете удалять образы, переименовывать их, перемещать другие образы в папку Ventoy без необходимости повторного запуска программы Ventoy. В случае, если после добавления новых образов, изменения не будут отображаться в меню GRUB загрузочной флешки, то стоит запустить программу Ventoy и выбрать опцию «Обновить».

Как создать загрузочной USB-носитель в GNU/Linux с помощью Ventoy

Начиная с версии Ventoy 1.0.36 для Linux в программе появился графический веб-интерфейс. Рассмотрим работу Ventoy с запуском графического веб-интерфейса.

Скачиваем Ventoy для Linux, разархивируем архив и переходим в папку ventoy. В папке нас интересует файл VentoyWeb.sh, его мы запустим. Открываем терминал в папке с программой и вводим команду запуска:

sudo sh VentoyWeb.sh
В адресной строке браузера открываем ссылку локального веб-сервера Ventoy:

http://127.0.0.1:24680

отображается привычный интерфейс, подобный интерфейсу в Windows.

Дальнейшие действия аналогичны инструкции версии Ventoy для Windows. Нажимаем на кнопку «Установить» и дважды соглашаемся с форматированием USB устройства. По окончанию установки образы можно переместить в раздел Ventoy съемного носителя. Для закрытия Ventoy в Linux нужно закрыть вкладку браузера с ссылкой Ventoy, а затем в терминале воспользоваться комбинацией клавиш CTRL+C для завершения процесса Ventoy. Так же есть образ .iso для создания всего этого добра.

Увеличиваем ОЗУ без установки доп. оборудования

Все мы хотим увеличить оперативную память, да вот денег на нее нет. И что делать? А есть выход — конечно это не доконца снимет вопрос о нехватки ОЗУ, но даст возможнось перебится до покупки.

Технология zRam ранее известная как compcache — реализована в виде модуля ядра Linux и позволяет сжимать содержимое оперативной памяти, и таким образом увеличивать ее объем в несколько раз. Работает это так: модуль zRam создает сжатое блочное устройство в оперативной памяти и используется как swap. Своп (swap) — это файл, либо раздел, т.е. определенное место на жестком диске (HDD), которое используется для «выгрузки» в него неиспользуемых страниц из оперативной памяти. В нашем же случае мы не отключаем своп с диска, а создаем еще один в ОЗУ. И устанавливаем приоритет.

ZRam хорошо поможет тем, у кого на компьютерах установлен небольшой объем оперативной памяти и возникают проблемы с производительностью и «отзывчивостью» операционной системы.

Debian/Ubuntu/Linux Mint/MX linux:

Установка zRam для Debian
Проверяем свап раздел перед установкой.

swapon -s
sudo apt install zram-tools
sudo nano /etc/default/zramswap

Редактируем, снимаем комментарии. Должно получится что-то вроде этого:

# Specifies amount of zram devices to create.
# By default, zramswap-start will use all available cores.
CORES=1
# Specifies the amount of RAM that should be used for zram
# based on a percentage the total amount of available memory
PERCENTAGE=10
# Specifies a static amount of RAM that should be used for
# the ZRAM devices, this is in MiB
ALLOCATION=256
# Specifies the priority for the swap devices, see swapon(2)
# for more details.
PRIORITY=100

Параметр CORES для каждого свой. У меня одно ядро поэтому значение равно единице.

Создаем скрипт запуска zram

sudo nano /etc/init.d/zram

Вставляем сам скрипт:

# Author: Antonio Galea <antonio.galea@gmail.com>
#
# Thanks to Przemysław Tomczyk for suggesting swapoff parallelization
# Distributed under the GPL version 3 or later, see terms at
# https://gnu.org/licenses/gpl-3.0.txt

### BEGIN INIT INFO
# Provides: zram
# Required-Start: $local_fs
# Required-Stop: $local_fs
# Default-Start: S
# Default-Stop: 0 1 6
# Short-Description: Use compressed RAM as in-memory swap
# Description: Use compressed RAM as in-memory swap
### END INIT INFO

FRACTION=75
MEMORY=$(perl -ne '/^MemTotal:\s+(\d+)/ && print $1*1024' < /proc/meminfo)
CPUS=$(nproc)
SIZE=$((MEMORY * FRACTION / 100 / CPUS))

case "$1" in
start)
param=$(modinfo zram | grep num_devices | cut -f2 -d: | tr -d ' ')
modprobe zram $param=$CPUS

for n in $(seq $CPUS)
do
i=$((n - 1))
echo $SIZE > /sys/block/zram$i/disksize
mkswap /dev/zram$i
swapon /dev/zram$i --priority 10
done
;;
stop)
for n in $(seq $CPUS)
do
i=$((n - 1))
swapoff /dev/zram$i && echo "zram: disabled disk $n of $CPUS" &
done

wait
sleep .5
modprobe --remove zram
;;
*)
echo "Usage: $(basename $0) (start | stop)"
exit 1
;;
esac
# End of file

Делаем файл исполняемым:

sudo chmod +x /etc/init.d/zram

Запускаем скрипт:

sudo /etc/init.d/zram start

Проверяем swap разделы

swapon -s
Filename Type Size Used Priority
/dev/sda2 partition 2097148 494848 -2
/dev/zram0 partition 1505464 0 10

Установка zRam на Ubuntu:

Для активизации zRam достаточно установить пакет zram-config:

sudo apt install zram-config

После установки можно проверить работоспособность:

swapon -s

Если вы видите что-то похожее, то все нормально:

Filename Type Size Used Priority
/dev/sda2 partition 2097148 494848 -2
/dev/zram0 partition 1505464 0 10

Если же zRAM автоматически не запустился, то необходимо сделать следующее:

sudo apt install linux-image-generic -y sudo reboot sudo systemctl start zram-config
sudo systemctl enable zram-config

OpenSuse/Fedora/ROSA/ARCH/manjaro:

На этих дистрибутивах все давольно просто. OpenSuse:

sudo zypper in systemd-zram-service && sudo zramswapon

fedora:

dnf install zram
systemctl enable zram-swap.service
reboot

ROSA:

sudo urpmi zramstart
sudo systemctl start zram.service

ARCH

Простая установка и настройка с помощью ezzram из AUR

В AUR есть сценарий установки пакета ezzram, который представляет из себя python-скрипт с простым конфигурационным файлом и файлом сервиса для systemd. Устанавливается как обычно любым AUR-хелпером, например yay:

yay -Sa ezzram

После установки нужно добавить а втозапуск и запустить сервис ezzram:

sudo systemctl enable ezzram.service 
sudo systemctl start ezzram.service

Конфигурационный файл лежит по пути /etc/ezzram.conf. В нём всего три пораметра:

• size — размер раздела zram в мегабайтах
• algorithm — алгоритм сжатия данных в zram разделе
• cores — количество используемых ядер ЦП

Алгоритм сжатия по-умолчанию является оптимальным для абсолютного большинства пользователей, размер zram разумно установить в пределах 30-50% от полного объёма ОЗУ, ну а в «cores» указываем количество физических ядер своего центрального процессора. После внесения изменений сохраняем файл и активируем новую конфигурацию перезапуском сервиса:

sudo systemctl restart ezzram.service

И на этом все!

Совет: так как разделы создаются в оперативной памяти, то я не советую вам изменять параметр vm.swappines (изменяется в файле /etc/sysctl.conf ), который часто рекомендуют выставить в значение 10 или вообще 0.

Opera браузер чиним видео

Так случилось что некоторые кодеки(Н.264) не свободны, из-за этого видео в браузере Opera не работает, да и в не которых дистрибутивах, и в других браузерах тоже. По этому предлагаю рабочее решение. Это решение лежит на GitHub , есть такой проектnwjs-ffmpeg-prebuilt. Советую перед скачкой узнать последнею версию.

Для Ubuntu/LinuxMint/Debian/Deepin:

sudo apt install unzip
wget https://github.com/iteufel/nwjs-ffmpeg-prebuilt/releases/download/0.55.0/0.55.0-linux-x64.zip
unzip 0.55.0-linux-x64.zip
// после распаковки нужно удалить старую библиотеку и заменить новой
sudo rm /usr/lib/x86_64-linux-gnu/opera/libffmpeg.so
sudo mv libffmpeg.so /usr/lib/x86_64-linux-gnu/opera/

Вот и все перед использованием советую перезагрузить браузер.

Hello world!

Как и все программы так и я начну с приветствия)))

Я инженер-исследователь, программист. Занимаюсь разработкой приложений и IoT устройств.