GRSecurity в Debian
Использует ли кто-либо? Попробовал установить. Потребовалось обновить ядро до 3.2.4 (на 3.2.35 нормально не вставал, замучался исправлять). Затем, пропатчить Nvidia драйвера. Вроде, после пары дней плясок с бубном, удалось загрузить X и даже кое-что работает, за некоторым исключением. Есть проблемы: 1. KDM не хочет запускаться автоматически. И я не могу его перезапустить, не переключившись предварительно на 7-й терминал. 2. Skype запускается, но не отображает контакты (значёк обновления постоянно серый и крутится). 3. Флэш плагин снова стал искажать цвета, со включенным аппаратным ускорением (причём, в chromium всё работает). 4. Пришлось выключить опцию PAX_MPROTECT (restrict mprotect()), потому что с ней не запускается даже KDE (видимо из-за пункта this option will prevent programs from creating executable pages from anonymous memory). Очень неприятно, поскольку paxtest показывает: Executable anonymous mapping (mprotect) : Vulnerable Executable bss (mprotect): Vulnerable Executable data (mprotect) : Vulnerable Executable heap (mprotect) : Vulnerable Executable stack (mprotect) : Vulnerable Executable shared library bss (mprotect) : Vulnerable Executable shared library data (mprotect): Vulnerable Writable text segments : Vulnerable 5. Пришлось выключить ограничение на sysfs, поскольку с ним kmix не находит микшер. Надоел уже этот Grsecurity... Может, кто знает, как решить хотя бы что-то из этого? Уживаются ли вместе Grsecurity и уже настроенный AppArmor с профилями? Что лучше: оригинальный RBAC или AppArmor? И есть ли готовые конвертеры правил AppArmor-Grsecurity? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/513c7438.7030...@yandex.ru
Виртуализация
Требуется сделать систему резервного копирования для сети и систему мониторнига. Для этого выделяют пару (если ещё найду, то больше) серверов с не очень мощным CPU (Core2 Duo, вроде), который имеет VT-x, но с более ли менее нормальным объёмом дискового пространства (~12 Тб). В качестве системы мониторинга будет Zabbix. В качестве системы рез. копирования планирую использовать Bacula. Хочу попробовать сделать всё на виртуальных машинах. До этого виртуализацию использовал только десктопе, так что практических навыков нет (затем и хочу попробовать). Для начала одна машина для Zabbix, одна для Bacula, одна для всего прочего (возможно также понадобится отдельный брандмауэр/IDS, поскольку, хотя сеть и внутренняя, кто там только не ползает). Под Zabbix-машину хочу использовать Arch (поскольку в Debian до сих пор нет Zabbix 2.x), под всё остальное - Debian. Посоветуйте, что использовать и как организовать систему так, чтобы: 1. Была возможность лёгкого подключения других аппаратных серверов. 2. Была возможность распределения нагрузки по серверам. 3. Была возможность миграции запущенных ОС с одной физической машины на другую. 4. Был централизованный интерфейс для управления всем этим (желательно WEB-интерфейс). Возможно ли подключать более старые машины, которые не имеют поддержки аппаратной виртуализации? Сейчас смотрю в сторону Xen, думаю насчёт VmWare Server и любопытствую про OpenVZ. Серьёзно пока не занимался вопросом: систем много, хотя бы подскажите на что ориентироваться? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/513c7ff1.6030...@yandex.ru
Re: Виртуализация
Имею дело с OpenVZ. Замечаний нет. Для руления контейнерами использую оболочку proxmox (это не единственный вариант, есть и другие, несколько). 1. Была возможность лёгкого подключения других аппаратных серверов. А установить debian, развернуть на нём openvz, ввести ноду в кластер - достаточно просто? Первые два пункта можно упростить до воткнуть baremetal сидюк с proxmox, ответить на пару вопросов о сети при инсталляции. 2. Была возможность распределения нагрузки по серверам. Это в каком смысле? Load balancing делается средствами внешними по отношению к виртуалкам обычно. Например, можно иметь несколько A записей для вашего домена, что даст почти бесплатный load balancing. Ну или можете попробовать поиграться с openstack (это примерно аналог амазоновской системы). Но он куда сложнее разворачивается чем openvz или vmware. 3. Была возможность миграции запущенных ОС с одной физической машины на другую. Это есть. 4. Был централизованный интерфейс для управления всем этим (желательно WEB-интерфейс). Это есть. Have a nice day, Nikolay. 2013/3/10 Артём Н. artio...@yandex.ru Требуется сделать систему резервного копирования для сети и систему мониторнига. Для этого выделяют пару (если ещё найду, то больше) серверов с не очень мощным CPU (Core2 Duo, вроде), который имеет VT-x, но с более ли менее нормальным объёмом дискового пространства (~12 Тб). В качестве системы мониторинга будет Zabbix. В качестве системы рез. копирования планирую использовать Bacula. Хочу попробовать сделать всё на виртуальных машинах. До этого виртуализацию использовал только десктопе, так что практических навыков нет (затем и хочу попробовать). Для начала одна машина для Zabbix, одна для Bacula, одна для всего прочего (возможно также понадобится отдельный брандмауэр/IDS, поскольку, хотя сеть и внутренняя, кто там только не ползает). Под Zabbix-машину хочу использовать Arch (поскольку в Debian до сих пор нет Zabbix 2.x), под всё остальное - Debian. Посоветуйте, что использовать и как организовать систему так, чтобы: 1. Была возможность лёгкого подключения других аппаратных серверов. 2. Была возможность распределения нагрузки по серверам. 3. Была возможность миграции запущенных ОС с одной физической машины на другую. 4. Был централизованный интерфейс для управления всем этим (желательно WEB-интерфейс). Возможно ли подключать более старые машины, которые не имеют поддержки аппаратной виртуализации? Сейчас смотрю в сторону Xen, думаю насчёт VmWare Server и любопытствую про OpenVZ. Серьёзно пока не занимался вопросом: систем много, хотя бы подскажите на что ориентироваться? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/513c7ff1.6030...@yandex.ru
Re: Виртуализация
10.03.2013 17:18, Nikolay Panov пишет: Имею дело с OpenVZ. Замечаний нет. Для руления контейнерами использую оболочку proxmox (это не единственный вариант, есть и другие, несколько). Посмотрел. Выглядит весьма симпатично (хотя и не очень современно). Интерфейс не перегружен, вроде: мне нравится. 1. Была возможность лёгкого подключения других аппаратных серверов. А установить debian, развернуть на нём openvz, ввести ноду в кластер - достаточно просто? Первые два пункта можно упростить до воткнуть baremetal сидюк с proxmox, ответить на пару вопросов о сети при инсталляции. Да, это то, что надо. CD, думаю, не нужен. Лучше сразу с образа разворачивать (разве что, потому придётся подкорректировать размер разделов). 2. Была возможность распределения нагрузки по серверам. Это в каком смысле? Load balancing делается средствами внешними по отношению к виртуалкам обычно. Например, можно иметь несколько A записей для вашего домена, что даст почти бесплатный load balancing. У меня внутренняя сеть (из диапазона 10.x.x.x), которая не связана с Интернет. И, как правило, обращений людей к серверам не будет вообще (разве что просмотр интерфейса Zabbix и, в крайнем случае, управление системой рез. копирования (тут я пока ещё не решил насчёт интерфейса)). Обращения агентов идут по IP, поскольку DNS сервера прописаны не на всех машинах. Т.е., мне нужно, чтобы был кластер, который равномерно распределяет нагрузку по всем физическим машинам. Какими средствами это реализуется? Ну или можете попробовать поиграться с openstack (это примерно аналог амазоновской системы). Но он куда сложнее разворачивается чем openvz или vmware. Сейчас посмотрю. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/513c8b96.7090...@yandex.ru
Re: Виртуализация
10.03.2013 17:18, Nikolay Panov пишет: Имею дело с OpenVZ. Замечаний нет. Для руления контейнерами использую оболочку proxmox (это не единственный вариант, есть и другие, несколько). А что насчёт KVM? Ведь, с OpenVZ, я так понимаю, смогу запускать только Linux с тем же ядром, что и хост-ОС..? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/513c8c03.6050...@yandex.ru
Re: Виртуализация
Ну или можете попробовать поиграться с openstack (это примерно аналог амазоновской системы). Но он куда сложнее разворачивается чем openvz или vmware. Количество пакетов удручает. Сейчас посмотрю видео с обзором, которое у них на сайте. Но, судя по краткому описанию, система серьёзная, хотя ещё и не совсем понятно, что с ней делать. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/513c8d06.6000...@yandex.ru
Re: Запрет на каталог в AppArmor
Нашёл репозиторий с профилями AppArmor от ubuntы. Почти везде в новых версиях такая надпись: This profile is now included as part of the clamav source package. Как-то так, например: https://bazaar.launchpad.net/~apparmor-dev/apparmor-profiles/master/view/head:/ubuntu/12.10/usr.sbin.clamd Похоже, AppArmor скоро будет весьма тесно интегрирован в систему... Но хоть какие-то профили есть. Например, для unbound валяется (эх, надо было искать, а не тратить время): https://bazaar.launchpad.net/~apparmor-dev/apparmor-profiles/master/view/head:/ubuntu/12.10/usr.sbin.unbound -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/513cbdbe.9090...@yandex.ru
[RFR] wml://{release/proposed-updates,ports/mips/index}.wml
Cheers! Lev Lamberov release_proposed-updates.wml.en_ru.patch Description: Binary data ports_mips_index.wml.en_ru.patch Description: Binary data