• Astra Linux 1.6 + Apache2 — отключение авторизации

    Прикольно, оказывается в 1.6 авторизацию апача можно отключить. Для этого надо в конфиге прописать параметр:

    AstraMode off

  • Astra Linux 1.6. Авторизация пользователей Apache

    По умолчанию Астра не пускает свежедобавленных пользователей. Да и вообще с правами там бидэ.

    Для того, чтобы пользователя пускало, нужно выполнить команду

    usermac -c 0:0 имя_пользователя_под_которым_будем_заходить

    Для корректного функционирования авторизации через PAM пользователю, от которого работает веб-сервер (по-умолчанию — www-data), необходимо выдать права на чтение информации из БД пользователей и сведений о мандатных метках, для этого выполняем следующие команды:

    usermod -a -G shadow www-data
    setfacl -d -m u:www-data:r /etc/parsec/macdb
    setfacl -R -m u:www-data:r /etc/parsec/macdb
    setfacl -m u:www-data:rx /etc/parsec/macdb

    Спасибо сайту Lab50.net, вот ссылка на полную статью http://lab50.net/%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0-%D0%B7%D0%B0%D1%89%D0%B8%D1%89%D0%B5%D0%BD%D0%BD%D0%BE%D0%B3%D0%BE-apache/

  • nivc_lifehacks

    Это всё, что возьму я с собой.

    — Юра «Музыкант» Шевчук, ДДТ

    Лайфхаки с внутреннего портала одной некогда великой организации.

    Команда для формирования ISO из папки
    mkisofs -o ../ISONAME.iso -V DISC-LABEL -P "AO OLOLO" -joliet-long -l -force-rr -R -D .

    Неожиданное поведение Астры при смене времени на хосте.
    Ситуация — нужно произвести расчёты в целях тестирования. Свежих данных нет, считаю старыми, для этого отодвигаю время на хосте на месяц назад удалённо. Сижу, работаю дальше, возникает необходимость перезагрузить компьютер. Пишу sudo reboot, жду… минуту нет, две, пять…

    С мыслями «что-то пошло не так» иду к машине. А она циклично ребутится. В консоли — unexpected inconsistency on /, last superblock mount is in future, please run fsck manually и спрашивает логин/пароль.
    У рута пароля нет. Логин пользователя из sudoers не принимает, хочет рута. Редактор параметров загрузки ядра тоже не работает. ¯\_(ツ)_/¯
    Что делать, кроме исправления времени обратно вперёд? Проблема на самом деле абзац. Выключили питание при севшей батарейке биоса, и что, лапки кверху и работать не будем? Непорядок.

    Решение простое — подключить диск к другому компьютеру, /etc/default/rcS, в конце его параметр. Делаем FSCKFIX=yes, закрываем, перезагружаемся, вуаля. Причём это касается и других дебианоподобных систем, во всяком случае у убунты этот параметр тоже отключен.

    VLAN в Astra Linux.
    Для подключения к стенду нужно быть в одном broadcast domain с ним. Пробросили мне VLAN 300, а как его настроить — хз.

    В /etc/network/interfaces пишем:

    auto lo eth0.300
    iface eth0.300 inet static
    address 192.168.x.y
    netmask 255.255.255.0
    gateway 192.168.x.y
    vlan_raw_device eth0

    reboot и всё каласо 🙂

    Разблокировка пользователя в ALD (и не только).
    Если много-много-много раз неправильно набрать пароль пользователя, то сервер согласится, что пароль маоцзедун войти в систему под этим пользователем больше не получится. Гуёвая логинилка будет говорить, что пароль неверный. Войдём в консоль и увидим:
    duty-main login: arm-admin
    Account locked due to 100500 failed logins.

    При этом на уровне ALD никаких блокировок не установлено.
    Решение проблемы:
    # pam_tally --user=username --reset'

    Монтирование FTP-каталога в локальную файловую систему в Astra Linux.
    Задача — примонтировать папку со сборочной машины в локальную ФС виртуалки, чтобы не копировать туда репозиторий каждый раз.
    $ sudo curlftpfs -o nonempty,allow_other files/repo/astra/1.5 /srv/ftp/repo/astra/1.5/

    Строка в /etc/fstab может выглядеть так:
    curlftpfs#files/repo/astra/1.5/ /srv/ftp/repo/astra/1.5/ fuse allow_other,nonempty 0 0

    Про постгрес и аудит.
    — Сколько памяти занимает Chrome?
    — Сколько найдёт…
    По умолчанию постгрес астры ведёт аудит и пишет в логи каждый выполненный запрос. При очень интенсивной работе с БД (при работе опрашивающих оборудование агентов, например), этот аудит очень быстро съедает всё место, до которого может дотянуться.
    Нужно найти в /etc/postgresql/9.4/main/postgresql.conf строку:
    ac_audit_mode = ''internal'' # rbt audit mode. Possible values are
    и поставить её в none.
    Например, так:
    sed -i /etc/postgresql/9.4/main/postgresql.conf -e "s/ac_audit_mode\s=\s'internal'/ac_audit_mode = 'none'/"

    Конфигурация платы PCL-746
    Положение DIP-переключателей на платах рассчитывается следующим образом.
    Адрес платы состоит из 10 бит. Назовём их А0…А9.
    Записывается он следующим образом:
    Три младших бита (А0, А1, А2) — всегда нули.
    Семь битов А3…А9 задаются DIP-переключателями инвертированно. То есть биту 1 соответствует положение переключателя «OFF», биту 0 — соответственно «ON»; кроме того, самому старшему биту (А9) соответствует самый правый переключатель (с самым большим номером), а самому младшему (А3) — самый левый. Это немного неинтуитивно, на мой взгляд, логичнее было бы всё сделать наоборот. Ну да ладно, пусть разработчику платы икнётся. 🙂
    Можно, кстати, перевернуть плату кверх ногами, тогда все положения переключателей будут правильные («ON» — 1, «OFF» — 0) и будут в правильном порядке отвечать за 7 старших бит адреса.
    Таким образом, положение DIP-переключателей для адреса, например, 100h, определяется так:
    1. Переводим 100h в двоичное представление. Получается 1 00000 000.
    2. Отбрасываем последние три нуля. Остаётся 1 000 00.
    3. Дополняем число нулями слева до 7 знаков, если надо. Получается 0 1000 00.
    4. Инвертируем. Получается 1 0 111 11
    5. «Переворачиваем» число зеркально слева направо. Получается 1111101. Это и есть требуемая конфигурация переключателя, соответствующая адресу 100h.

    Таким образом, рассчитанные положения перемычек адресации выглядят так:
    Порт 1 (RS-485) Адрес 0x218, DIP-переключатель 0011110
    Порт 2 (RS-232) Адрес 0x220, DIP-переключатель 1101110

    Если Астра не запоминает разрешение экрана…
    Столкнулись с проблемой.
    Ситуация: Астра грузится, но в разрешении 640х480 по центру FullHD монитора с чёрными полями по краям. Настраиваешь в настройках — встаёт штатное разрешение монитора (в нашем случае — 1920х1080), но после перезагрузки опять 640х480. При загрузке других современных линуксов с флешек и тому подобного ситуация аналогичная.
    Ярослав Борисович настроил в xorg.conf ручное разрешение, но это помогло частично. Окно входа стало то же 640х480, но уже не во весь монитор, а маленьким окошком в уголке. Мышь давала себя двигать по всему монитору. После долгого красноглазия обратили внимание на то, что в программе настройки монитора два видеовыхода указано — VGA-1 и LVDS-1. Второй я уже после нашёл на плате распаянным — видимо для подключения матрицы напрямую. А потом, наблюдая за Linux Mintом, запущенным с флешки, я обратил внимание, что в левом верхнем углу, за пределами основного монитора, и есть кусочек размером 640х480, размеры которого берёт Linux (причём любой, не только Астра) для основного монитора. Проблема в том, что оно не знало, что LVDS-1 на самом деле ни к чему не подключен; кроме того она считала его основным монитором.
    Видеоядро на этой плате Intel 8086:a001 (встроенное в ядро CPU Intel Atom Processor Integrated Graphics Controller).
    Такое поведение системы лечится дописыванием опций ядра video=LVDS-1:d video=VGA-1:e в переменную GRUB_CMDLINE_LINUX_DEFAULT в /etc/default/grub и запуском команды update-grub. В нашем случае переменная стала выглядеть так:
    GRUB_CMDLINE_LINUX_DEFAULT="quiet splash video=LVDS-1:d video=VGA-1:e"
    Таким образом этот интерфейс полностью отключается.

    Veracrypt и монтирование томов.
    Если при монтировании криптоконтейнера в VeraCrypt возникает ошибка «device-mapper: resume ioctl on truecrypt* failed: invalid argument», то нужно в настройках установить галку «Do not use kernel cryptographic services».
    На Kubuntu 14.04.2 LTS с ядром 3.16.0-50-generic без этой галки VeraCrypt не работает.

    Удалённый скриншот на Астре.
    xwd -root -display :0 ./screendump.file
    convert ./screendump.file ./scree.bmp
    этот вариант хорош тем, что не требует момент форвардить иксы + можно чисто из под терминала под любой ОС получить полный (или частичный) скриншот экрана

    AstraLinux и форвардинг иксов (боян).
    По умолчанию в Астре форвардинг X-приложений не работает (помимо проблем с MITSHM, см. ниже).
    Для того, чтобы заработал, нужно в конфиг-файл /etc/ssh/sshd_config
    добавить строку X11UseLocalhost no и выдать команду /etc/init.d/ssh restart
    После этого при переподключении всё заработает.

    Некорректное отображение Qt4 приложений через ssh на Astra Linux.
    При подключении по ssh к хосту с Astra Linux и запуске любого Qt4 приложения, отрисовывается только панель заголовка и пустое окно без каких-либо элементов.
    Это как-то связано с использованием Qt4 расширения X11 MIT-SHM (MIT Shared Memory Extension), о чём свидетельствуют многочисленные ошибки в консоли при запуске.
    На данный момент удалось решить проблему, запретив Qt4 использовать это расширение, добавив на хосте переменную окружения «QT_X11_NO_MITSHM=1».
    По идее это должно сказаться на скорости отрисовки, но я пока не заметил побочных эффектов.
    Если кто-нибудь знает более правильный способ, прошу отписать в комментариях.

  • Быстрое вычисление MD5SUM для каталога.

    find -type f \( -not -name "md5sum.txt" \) -exec md5sum '{}' \; > md5sum.txt

  • Astra Linux SE 1.6 — пользователю не удаётся создать и редактировать файлы и каталоги

    Даже в домашнем каталоге. Даже через sudo.

    Решение:
    $ sudo pdpl-user -i 63 username

    И перелогиниться.