# yum groupinstall "Development Tools"
# rpm -Uvh http://download.fedora.redhat.com/pub/epel/6/x86_64/epel-release-6-5.noarch.rpm
# yum install git-core

Устанавливаем пакеты необходимые для сборки wkhtmltopdf:

$ yum install openssl-devel libXrender-devel libXext-devel libXft-devel

Вытягиваем свежие исходники wkhtmltopdf:
$ git clone git://github.com/antialize/wkhtmltopdf.git wkhtmltopdf
$ git clone git://gitorious.org/+wkhtml2pdf/qt/wkhtmltopdf-qt.git wkhtmltopdf-qt

Собираем специальную версию Qt:
$ cd wkhtmltopdf-qt
$ ./configure -nomake tools,examples,demos,docs,translations -opensource -prefix "../wkqt"
$ make -j3 && make install

Собираем wkhtmltopdf:
$ cd ../wkhtmltopdf
$ ../wkqt/bin/qmake
$ make
# make install

Все, после этих простых шагов пакет собран и установлен. Оригинал тут : http://code.google.com/p/wkhtmltopdf/wiki/compilation .

Я уже писал когда-то про обход ограничений интернет провайдера в отеле с помощью ICMP туннеля. Вот, недавно я столкнулся с новым подобным ограничением, но в этот раз мой интернет провайдер по ошибке решил что я не уплатил за услуги. Так как был уже поздний вечер, связаться с тех поддержкой не получилось. Это подтолкнуло меня немного поисследовать провайдерскую сеть. В первую очередь проверил ICMP, но пропинговать 8.8.8.8 не получилось. Второй проверкой была попытка обратится к DNS серверу Google. Когда команды dig @8.8.8.8 google.com вернула мне адрес вернула мне IP адрес, я понял что смогу использовать технику DNS туннелирования для полноценного доступа в Интернет. Собственно об этом я и расскажу в данном посте.

Вкратце расскажу о том, как работает DNS туннелинг. Этот вид туннелинга позволяет заворачивает полезный для нас трафик (web,ssh) в UDP пакеты. Эти пакеты посылаются на управляемый нами сервер, на котором работает приложение, слушающее 53 порт. Приложение распаковывает пакеты, извелкает из них данные и дальше уже на основе этих данных, устанавливает TCP соединение с нужным сервером/сервисом. После того как наш DNS-прокси сервер получает ответы по TCP, он упаковывает эти данные обратно в UDP пакет и отвечает запрашивающей стороне. На стороне клиента происходит повторное изьятие данных из пакета. С токи зрения интернет-провайдера (если не вчитываться в содержимое пакета) все выглядит так, будто бы вы со своей клиентской машине активно пытаетесь резолвить доменные имена с одного DNS сервера.

Теперь ближе к реализации. Думаю всем понятно, что для того что б все заработало, надо либо что б все было предварительно настроено, либо воспользоваться альтернативным подключением к Интернету для настройки. Сам тунель подымается с помощью набора perl скриптов под названием OzymanDNS, с сайта dnstunnel.de. По каким-то причинам линка на скрипт на официальном сайте битая, но гугл мне помог и я нашел копию скриптов и выложил у себя.

Скачать скрипты для DNS туннелинга.

Для того что б все заработало необходимо иметь следующее:
1. Свой домен (к примеру бесплатный из org.ua зоны
2. Сервер с выделенным IP адресом и рутовыми правами на нем (для запуска серверной части и возможности работать по 53 порту), perl. Выполняет роль DNS-тунеллинг прокси сервера.
3. Клиентский компьютер, желательно по Linux. На нем нужен perl и openssh-client.

Настройка этого всего состоит из трех этапов:
1. Настройка доменной зоны
2. Настройка сервера
3. Настройка клиента

Настройка доменной зоны
На этом этапе надо заставить нашего клиента обращаться именно на наш сервер с DNS запросами. Делаеться это путем делегирования части вашего домена другому DNS серверу. В моем случае я просто зашел в админку, в которой обслуживается мой домен, и добавил следующие записи в описание зоны:
dnstun.example.com. IN NS ns3.example.com
ns3.example.com IN A 12.12.12.12
Теперь при попытке узнать адрес любого из поддоменовв зоне dnstun.example.com, запросы будут автоматически отправлятся на сервер с адресмо 12.12.12.12. Адрес должен указывать на тот сервер, где у вас будет запущена серверная часть DNS туннелинг скриптов.

Настройка сервера
Создаем директорию /opt/dnstunnel:
# mkdir -p /opt/dnstunnel
Качаем туда архив:
# cd /opt/dnstunnel
# wget http://chooselinux.org.ua/wp-content/uploads/2011/11/dnstunnel.tar.gz
# tar zxvf dnstunnel.tar.gz
# rm -f dnstunnel.tar.gz
Доставляем нужные пакеты:
# apt-get install screen libnet-dns-perl libmime-base32-perl liblwp-useragent-determined-perl
Редактируем /opt/dnstunnel/dnstunneld.wrapper, вписываем следующее:
DNSHOST="ns3.example.com" # имя моего сервера
REPLYIP="127.0.0.1" # что отвечать на реальные DNS запросы на этот сервер
OPTIONS="-l 12.12.12.12 -u nobody -g nogroup" # IP, на котором будет работать DNS туннель
Создаем симлинк в /etc/init.d для удобного запуска скрипта:
# ln -s /opt/dnstunnel/dnstunneld.init /etc/init.d/dnstunnel
Запускаем:
# /etc/init.d/dnstunnel start

Настройка клиента
Ставим необходимые пакеты:
# apt-get install libnet-dns-perl libmime-base32-perl
Качаем и ставим DNStunnel:
# cd /tmp
# wget http://chooselinux.org.ua/wp-content/uploads/2011/11/dnstunnel.tar.gz
# tar zxvf dnstunnel.tar.gz dnstunnelc
# mv dnstunnelc /usr/bin/
# rm -f dnstunnel.tar.gz

Подключеяемся:
$ ssh -C -D5500 -o ProxyCommand="dnstunnelc sshdns.dnstun.example.com" user@12.12.12.12

После ввода пароля тунель можно считать установленным. Теперь только остается прописать в настройках браузера SOCKS прокси 127.0.0.1:5500 и все.

Я попытался протестировать скорость закачки файлов при таком туннелировании и получил результат около 15-20КБайт/с. По нынешним меркам это очень мало, но тем не менее, это доказывает что такой способ туннелирования работает.

Удачи!

1. Начнем с самого простого, но, навернео, самого важного – монтируем корневую файловую систему (и все другие файловые системы этого диска) с опцией noatime. Она отвечает за запись в файловую систему данных о том, когда к файлу обращались в последний раз. Следовательно при любом открытии файла на чтение или выполнение в файловую систему заноситься пометка. Можете себе представить к сколько сотен тысяч раз система дергает тот или иной файл во время работы.
Опцию необходимо добавить в файл /etc/fstab как в моем примере:
/dev/sda1 / ext4 noatime,errors=remount-ro 0 1

2. Переносим /tmp, /var/tmp и /var/log в память. Во время работы Ubuntu 11.04, да и другие версии и дистрибутивы ОС Linux, регулярно создают временные файлы в /tmp, реже в /var/tmp. От обращений к диску при работе с временными файлами можно избавиться если перенести их в память. Так же, если системные логи вам не осоо нужны, можете перенести в память и иректорию /var/log. Стоит учитывать что все логи и временные файлы будут удаляться при каждой перезагрузке. С другой стороны это позволит избавиться от очередной пачки обращений к диску.
В тот же /etc/fstab следует внести следующие строки:
tmpfs /var/log tmpfs defaults 0 0
tmpfs /tmp tmpfs defaults 0 0
tmpfs /var/tmp tmpfs defaults 0 0

3. Просим систему не использовать раздел подкачки. При работе с системой, если ей не хватает памяти, она начинает делать дампы памяти в раздел подкачки. Это тоже приводит к большому количеству записей на SSD диск. Избежать этого можно указав системе что раздел подкачки следует использовать только в самом крайнем случае. Для этого в файле /etc/sysctl.conf следующий необходимо добавить параметр:
vm.swappiness = 1
Изменение вступит в силу после следующей перезагрузке или после выполнения команды:
# sysctl -p

4. Последняя рекомендация затронет планировщик который используется ядром для работы с диском. Оптимизированным под ssd является noop планировщик. Просмотреть какой именно в данный момент используется системой можно выполнив следующюю команду:
boffin@ubuntu:~$ cat /sys/block/sda/queue/scheduler
noop deadline [cfq]
По умолчанию в Ubuntu 11.04 установлен универсальный планировщик cfq.
Включить noop можно при работающей системе с помощью команды:
echo noop > /sys/block/sda/queue/scheduler
Для того что б изменения сохранились после перезагрузки, необходимо подправить конфигурационный файл загрузчика ядра. Для этого в файл /etc/default/grub в опции GRUB_CMDLINE_LINUX_DEFAULT необходимо добавить параметр elevator=noop. В моем случае вся строчка выглядит вот так:
GRUB_CMDLINE_LINUX_DEFAULT="quiet elevator=noop"
После этого следует уведомить загрузчик об изменениях, выполнив команду:
# update-grub

Все! Для вступления в силу изменений с разделами жесткого диска следует перезагрузить систему. Теперь ваш SSD диск прослужит значительно дольше. Более того, вы наверняка ощутите прирость скорости системы, так как она станет меньше писать на диск.

Если кто-то знает еще способы «разгрузить» SSD, пишите в комментариях, обсудим.

Порядок действий:
1. Подключаем USB камеру к компьютеру и проверяем распознала ли ее систима:
boffin@fortress:~$ ls -la /dev/video*
crw-rw----+ 1 root video 81, 0 2011-07-17 17:35 /dev/video0
2. Ставим VLC:
apt-get install vlc
3. Запускаем потоковое вещание:
vlc -I dummy v4l2:///dev/video0 --sout '#transcode{vcodec=mp4v,vb=800}:standard{access=http,mux=ogg,dst=192.168.1.123:8080}'
Разберем параметры:
-I dummy – VLC запустится без графического интерфейса
vcodec=mp4v,vb=800 – кодек для видео и битрейт
dst=192.168.1.123:8080 – по какому адресу и порту будет доступен видео поток
4. Запускаем VLC на клиентской машине, Media -> Open Network Stream, вводим в поле адрес http://192.168.1.123:8080/
Все, готово.

К сожалению подобный способ трансляции имеет отставание видео которое может доходить до 5 секунд. Трансляция видео 640×480 грузила мой процессор на 100%. С целью разгрузить процессор и уменьшить отставание я понизил разрешение, битрейт и количество кадров в секунду. Получилась такая команда:
vlc -I dummy v4l2:///dev/video0 --sout '#transcode{vcodec=mp4v,vb=400,width=320,height=240,fps=15}:standard{access=http,mux=ogg,dst=192.168.1.123:8080}'
В итоге нагрузка на процессор во время трансляции не подымается выше 45% а видео с отставанием 1-2 секунды передается успещно по Wi-Fi сети.

1. Выключить ненужные сервисы
К примеру я периодически ставлю веб-сервер, mysql и другие сервисы для всяких экспериментов. Но через какое-то время я перестаю ими пользоваться. А процессы остаются запущенными и при каждой загрузки системы отбирают часть оперативки и процессорного времени. Поэтому, периодически смотрим на
ps auxf
и
netstat -lnp

видим, какие ненужные сервисы запущены и удаляем их из автозагрузки:
sudo update-rc.d -f mysqld remove

2. Избавляемся от визуальных эффектов
Думаю все уже смирились что Compiz и другие графические примочки линуксоиды включают только для того, что б показать «Вот, смотри как Линукс может,а винде так слабо». В повседневной жизни не вижу в них смысла, а уже тем более в пространстве ограниченных ресурсов нетбука. Поэтому отключаю эффекты:

System -> Preferences -> Appearance, вкладка Visual Effects, выбираем None.

3. Подгрузка часто выполняемых программ в память.
Если на вашем компьютере оперативной памяти более 1Гб – можно поставить демон preload. Суть его работы заключается в том, что пока он запущен, он собирает статистику о наиболее часто выполняемых программах и подгружает в оперативную память исполняемые файлы этих программ. Таким образом при последующем обращении к программе, вместо того что б операционная система читала исполняемые файлы с диска, она читает их из кеша в оперативной памяти.

Установка:
apt-get install preload

4. Ядерные настройки кэша
Редактируем файл /etc/sysctl.conf и добавляем такие строчки:

vm.swappiness = 1
vm.vfs_cache_pressure = 50


vm.swappiness – если это значение близкое к нулю, ядро будет пытаться хранить приложения в памяти как можно дольше и не наращивать кэши. Если это значение близится к 100 – то линукс будет выкидывать приложения на свап и выделять больше памяти на файловые кеши. Стандартное значение – 60. Отсюда вывод, если компьютер используется для обработки данных, значение надо выбирать между 50 и 100. Для обычных же десктопов важнее отзывчивость приложений, поэтому лично я поставил значение = 1.

vm.vfs_cache_pressure – если это значение близится к 1, то ядро будет отдавать предпочтение хранить в памяти кеши о inod-ах файловой системы (данные о структуре файлов и папок) вместо кеширования самих данных. Данный параметр лучше приблизить к 50, так как это будет оптимальное значение для системы используемой ежедневно.

После изменения файла sysctl.cnf необходимо применить новые параметры:
sudo sysctl -p

Итак, для подключения я пользуюсь консольной утилитой wvdial. Установка ее проста:
apt-get install wvdial

Дальше необходимо отредактировать файл настроек /etc/wvdial.conf.

Для People.net он выглядит следующим образом:
[Dialer Defaults]
Init1 = ATZ
Init2 = ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
Phone = #777
Modem Type = Analog Modem
Stupid Mode = 1
Baud = 9600
New PPPD = 1
Dial Command = ATD
Modem = /dev/ttyUSB0
ISDN = 0
Username = 80921111111@people.net.ua
Password = 123456


Для Utel:
[Dialer Defaults]
Init1 = ATZ
Init2 = ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
Init3 = AT+CGDCONT=1,"IP","3g.utel.ua"
Phone = *99#
Modem Type = USB Modem
Baud = 460800
New PPPD = yes
Modem = /dev/ttyACM21
ISDN = 0
Username = 123 ;не имеет значения
Password = 0 ;не имеет значения


После подключения модема или телефона, лучше убедится что он подключился как правильное устройство. Я выполняю wvdialconf, который опрашивает все устройства, и если модем найден, будет выведена информация о нем, а в конфиг в поле Modem подставится имя нужного устройства.

Подключения:

root@warbook:~# wvdial
--> WvDial: Internet dialer version 1.60
--> Cannot get information for serial port.
--> Initializing modem.
--> Sending: ATZ
OK
--> Sending: ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
OK
--> Modem initialized.
--> Sending: ATDT#777
--> Waiting for carrier.
ATDT#777
CONNECT
~!E` [03]W% q[11]E1Cb[01]z^x[07]_Kd77 o[11][08]d1:ad2:id20:UP2[19]7>_$uIk ,T eJ%[0c][1e]6:target20:[7B{J8B}^d+43Hv[1e]!&fehe1:q9:find_node1:t4:/[14] 1:v4:UT@v1:y1:qej4~
--> Carrier detected. Waiting for prompt.
~!E` [03]}]u v[11]y7N[0b][17]{^x[07]_[03]T77 oy'd1:ad2:id20:[(N[7f] J?qk$#4S[16]h XD[0f]I6:target20:[7@*zR*=}]s[05]x[_Z[07]=[18]Te1:q9:find_node1:t4:y" 1:v4:UTTR1:y1:qeQ[16]~
--> Don't know what to do! Starting pppd and hoping for the best.
--> Starting pppd at Thu Oct 7 18:23:30 2010
--> Pid of pppd: 2162
--> Using interface ppp0
--> pppd: 0��
--> pppd: 0��
--> pppd: 0��
--> pppd: 0��
--> pppd: 0��
--> local IP address 94.248.7.95
--> pppd: 0��
--> remote IP address 77.109.0.225
--> pppd: 0��
--> primary DNS address 77.109.1.8
--> pppd: 0��
--> secondary DNS address 77.109.1.9
--> pppd: 0��


Все, после того, как присвоен адрес подключение осуществлено.

Функционал ufw
Основными функциями файрвола ufw является:
1. Работа в одном из двух режимов: разрешено все кроме того что описано правилами, запрещено все, кроме описанного правилами.
2. Создание правил для фильтрации пакетов с действиями allow, deny, reject
3. Создание правил с учетом адреса и порта получателя и отправителя, используемого протокола
4. Логирование пакетов подпадающих под правило
5. Блокировка частых неправильных попыток авторизации по ssh
6. Настраиваемые профили для приложений

Запуск ufw
Ufw может быть включен или выключен системным администратором сервера, для этого используется команад:
# ufw enable
Межсетевой экран активен и будет запущен при запуске системы
# ufw disable
Файрвол остановлен и деактивирован при загрузке

Просматривать состояние можно с помощью команды:
# ufw status [numbered]
Статус: активно

Параметр numbered может быть использован для отображения правил файрвола с соответствующей нумерацией.

Изменение политики по умолчания:
# ufw default allow [in|out]
# ufw default deny [in|out]
# ufw default reject [in|out]

Где allow подразумевает что все пакеты будут пропущены, кроме тех, для которых есть запрещающее правило: deny – все пакеты будут заблокированы, кроме тех, для которых есть разрешающие правила; reject – все пакеты будут заблокированы с соответствующим уведомлением подключающуюся сторону.
Параметры in|out указывают для какого направления мы хотим применять политику, для входящих или исходящих пакетов соответственно.

Управление правилами осуществляется с помощью команд allow, deny, reject, delete, insert.
allow – добавить разрешающее правило
deny – добавить запрещающее правило (файрвол не предпринимает действий при попадании в это правило)
reject – добавить запрещающее правило (файрвол даст знать подключающемуся что этот порт закрыт)
limit – добавляет ограничивающее правило для указанного порта. В случае если с одного и того же адреса в течении 30 секунд будет произведено 6 и более неуспешных попыток авторизации в службу удаленного доступа ssh, ufw заблокирует удаленный адрес.
delete – удалить добавленное ранее правило
insert – вставить правило в определенную позицию в цепочке

Построение правил файрвола
Конструкция построения правил
ufw allow|deny|reject|limit [in|out on INTERFACE] [log|log-all] [proto protocol] [from ADDRESS [port PORT]] [to ADDRESS [port PORT]]
Подробнее о параметрах:
allow|deny|reject|limit – указываем что будет делать это правило (см. описание выше).
[in|out on INTERFACE] – указываем будет это правило относится к входящему трафику (in) или исходящему (out) и хотим ли мы ограничить данное правило отдельным сетевым интерфейсом (к примеру eth0).
[log|log-all] – при желании можно логировать события которые подпадают под правило. По умолчанию лог пишется в /var/log/syslog. При использовании опции log – в файл будут записаны лишь пакеты участвующие при установке соединения с сервером. Используя опцию log-all в лог файл будут записаны все пакеты подпадающие под правило.
[proto protocol] – в правиле можно указать для какого протокола оно действует: tcp или udp.
[from ADDRESS [port PORT]] – адрес и порт источника пакета
[to ADDRESS [port PORT]] – адрес и порт получателя пакета

Профили приложений
Ufw позволяет создавать профили приложений. в которых можно указать все порты которые используются и удобно добавлять их в правила. Так к примеру можно создать профиль для веб-сервера Apache, указав что слушает он 80 и 443 порты по протоколу tcp.
Профили приложений являются текстовыми файлами и могут быть отредактированы любым текстовым редактором. все файлы хранятся в директории /etc/ufw/applications.d:
root@server:/etc/ufw/applications.d# pwd
/etc/ufw/applications.d
root@server:/etc/ufw/applications.d# ls -l
итого 12
-rw-r--r-- 1 root root 406 2009-11-13 00:52 apache2.2-common
-rw-r--r-- 1 root root 145 2009-10-22 22:50 openssh-server
-rw-r--r-- 1 root root 241 2009-09-22 16:52 postfix

Рассмотрим пример профиля приложения apache2.2-common:
[Apache]
title=Web Server
description=Apache v2 is the next generation of the omnipresent Apache web server.
ports=80/tcp
[Apache Secure]
title=Web Server (HTTPS)
description=Apache v2 is the next generation of the omnipresent Apache web server.
ports=443/tcp
[Apache Full]
title=Web Server (HTTP,HTTPS)
description=Apache v2 is the next generation of the omnipresent Apache web server.
ports=80,443/tcp
В одном файле может находится несколько профилей. В данном примере 3: Apache, Apache Secure, Apache Full. Структура записей проста: сначала имя профиля в квадратных скобка ([Apache Full]), далее развернутое наименования приложения, далее описание приложения и список портов с указанием протокола которые задействованы в профиле (80,443/tcp).

Вывести список профилей можно с помощью команды:
# ufw app list
Доступные приложения:
Apache
Apache Full
Apache Secure
OpenSSH
Postfix
Postfix Submission

Детальную информацию по профилю можно просмотреть с помощью команды:
# ufw app info OpenSSH
Профиль: OpenSSH
Название: Secure shell server, an rshd replacement
Описание: OpenSSH is a free implementation of the Secure Shell
protocol.
Порт:
22/tcp
После добавления или изменения профиля приложения (в файле) необходимо дать знать файрволу о новом профиле:
# ufw app update OpenSSH

Для того что б новый профиль сразу вступил в силу, необходимо добавить опцию –add-new:

# ufw app update --add-new OpenSSH

По умолчанию добавленные с помощью –add-new профили не будут обрабатываться файрволом. Рекомендуется вначале задать политику для новых профилей приложений:
ufw app default allow|deny
После чего все новые профили приложений будут добавляться в цепочку файрвола с указанной политикой.

Использовать профили приложений можно также при создании обычных правил, например:
# ufw allow OpenSSH

Настройка профиля безопасности
1. Ограничение входящих подключений к FTP и Веб серверу
Пример настройки файрвола для ситуации, когда необходимо заблокировать доступ к FTP и Веб серверу с адреса 192.168.100.100. В примере 192.168.1.11 – сервер на котором настраивается файрвол:

root@server:/etc/ufw/applications.d# ufw deny proto tcp from 192.168.100.100 to 192.168.1.11 port 21,80
Правило добавлено
root@server:/etc/ufw/applications.d# ufw status
Статус: активно
До Действие От
---- --------------------
192.168.1.11 21,80/tcp DENY 192.168.100.100

Теперь при попытках подключения с хоста 192.168.100.100 к 21 или 80 порту хоста 192.168.1.11 клиент будет висеть пока не отвалится по таймауту.

Удалим это правило и добавить аналогичное но с действием reject:
# ufw delete deny proto tcp from 192.168.100.100 to 192.168.1.11 port 21,80
# ufw reject proto tcp from 192.168.100.100 to 192.168.1.11 port 21,80

Теперь при попытке подключения к 21 порту сервера удаленный клиент получит ответ Connection refused:
$ telnet 192.168.1.11 21
Trying 192.168.1.11...
telnet: Unable to connect to remote host: Connection refused

Просканируем порты сервера:
:~# nmap -sT 192.168.1.100
Starting Nmap 5.00 ( http://nmap.org ) at 2009-12-28 22:56 EET
Interesting ports on 192.168.1.100:
Not shown: 992 closed ports
PORT STATE SERVICE
21/tcp filtered ftp
22/tcp open ssh
80/tcp filtered http
139/tcp open netbios-ssn
445/tcp open microsoft-ds
2323/tcp open unknown
3128/tcp open squid-http
5900/tcp open vnc
MAC Address: 00:18:F3:67:85:9E (Asustek Computer)
Nmap done: 1 IP address (1 host up) scanned in 17.52 seconds

2. Ограничение исходящих подключений к указанному серверу
Цель – запретить исходящие подключения с сервера к адресу 195.214.195.105:

# ufw deny proto tcp to 195.214.195.105

3. Ограничение попыток авторизации по ssh
# ufw limit 22

Произведем несколько попыток подключения к 22 порту сервера с введением заведомо неправильного пароля:
user@remote:~$ ssh 192.168.1.100
user@192.168.1.100's password:
Permission denied, please try again.
user@192.168.1.100's password:
user@remote:~$ ssh 192.168.1.100
user@192.168.1.100's password:
Permission denied, please try again.
user@192.168.1.100's password:
user@remote:~$ ssh 192.168.1.100
user@192.168.1.100's password:
Permission denied, please try again.
user@192.168.1.100's password:
user@remote:~$
user@remote:~$ ssh 192.168.1.100
ssh: connect to host 192.168.1.100 port 22: Connection refused
user@remote:~$ ssh 192.168.1.100
ssh: connect to host 192.168.1.100 port 22: Connection refused

Как видим после нескольких неудачных попыток файрвол блокирует IP адрес с которого исходят попытки подключения и в логах появится соответсвтующяя запись:
Dec 28 22:59:13 fortress kernel: [273659.578463] [UFW LIMIT BLOCK] IN=eth0 OUT= MAC=00:18:f3:67:85:9e:00:26:5e:46:40:86:08:00 SRC=192.168.1.156 DST=192.168.1.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=3150 DF PROTO=TCP SPT=33783 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0
Dec 28 22:59:15 fortress kernel: [273661.231264] [UFW LIMIT BLOCK] IN=eth0 OUT= MAC=00:18:f3:67:85:9e:00:26:5e:46:40:86:08:00 SRC=192.168.1.156 DST=192.168.1.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=763 DF PROTO=TCP SPT=33784 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0

4. Логирование пакетов
# ufw allow log 22

С помощью этого правила файрвол будет логировать пакеты установки соединиения по указанному 22 порту. В логах появятся следующие записи:
Dec 28 23:04:18 fortress kernel: [273964.364715] [UFW ALLOW] IN=eth0 OUT= MAC=00:18:f3:67:85:9e:00:26:5e:46:40:86:08:00 SRC=192.168.1.156 DST=192.168.1.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=6564 DF PROTO=TCP SPT=58069 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0

Итак, представим ситуацию, вы управляете 10 серверами, и на каждом к примеру вам надо установить одинаковый софт. Что первое приходит в голову? Заходить на каждый из серверов и вставлять из буфера обмена команды для установки нужного вам ПО? Но ведь это не Linux Style!

Добрые люди давно придумали средство для распределенного администрирования серверов – dsh (Distributed shell). Другими словами – это программа которая получает на вход команду и распространяет ее по необходимому количеству серверов, выполняет там и выдает вам результат.

Для начала надо определится с какого сервера мы будет давать команды. Этот сервер я буду называть главным. Именно на нем и надо поставить пакет dsh:

sudo apt-get install dsh

Дальше необходимо на каждом из серверов, которым мы будем управлять поставить сертификаты для входа по ssh без пароля (желаетельно сертификаты делять для полтьзователя root, тогда не возникнет проблем, к примеру, при установке ПО или перезапуске Apache):

$ sudo -i
# ssh-keygen -t rsa
# scp id_rsa.pub server1:~/.ssh/authorized_keys
# scp id_rsa.pub server2:~/.ssh/authorized_keys
...
# scp id_rsa.pub server10:~/.ssh/authorized_keys

Теперь с главного должно быть возможным логинится на подчиненные по ssh без пароля. Если не получилось, обратитесь к статье Настройка ssh атворизации по ключу.

Далее необходимо настроить группы серверов.
В файле /etc/dsh/group/all перечисляем все наши сервера:
server1
server2
server3
server4
server5
server6
server7
server8
server9
server10

К примеру сервера 1,2 – сервера баз данных, 3,4 – файловые сервера, а 5-10 – веб ноды. Тогда есть смысл сгрпировать их по предназначению. Для этого создаем файлики:
/etc/dsh/group/db:
server1
server2

/etc/dsh/group/ftp
server3
server4

/etc/dsh/group/web
server5
server6
server7
server8
server9
server10

Когда dsh настроен, приступаем к использованию.
Пробуем выполнить:
dsh -g all uptime
если установка сертификатов прошла успешно, dsh выполнит uptime на всех серверах и выведет вам результат. Если вы увидите запрос на ввод пароля, значит сертификаты не поставились правильно и их желательно поправить.

По умолчанию, dsh выводит просто результат выполнения команды. Очень часто важно видеть с какого-же сервера пришел ответ. Для этого нужен ключ -M, который в начале строки будет отображать имя машины, на которой выполнена команда (имя берется из конфигурационного файла dsh, а не из hostname машины).

# dsh -g web -M "/etc/init.d/apache2 status"
server5: * Apache is running (pid 26433).
server6: * Apache is running (pid 24787).
server7: * Apache is running (pid 21304).
server8: * Apache is running (pid 19856).
server9: * Apache is running (pid 17266).
server10: * Apache is running (pid 26343).

Ну вот и все, это и есть основы dsh. Немножко больше можно научится делать, почитав man.

После этого были скачаны драйвера с сайта производителя. Они были в виде exe установщика, так-что пришлось распаковать их в виртуальной машине. Сам драйвер, готовый для установки в Ubuntu, можно скачать здесь.

Распаковываем драйвер:
boffin@laptop:~$ tar zxvf bcmwl5.tar.gz
boffin@laptop:~$ cd bcmwl5

Далее был установлен ndiswrapper (который и позволит использовать windows драйвер в linux-е):
boffin@laptop:~/bcmwl5$ sudo apt-get install ndiswrapper

Проинсталлируем наш драйвер в ndiswrapper:
boffin@laptop:~/bcmwl5$ sudo ndiswrapper -i bcmwl5.inf


И проверим, действительно ли он поставился:
boffin@laptop:~/bcmwl5$ ndiswrapper -l
bcmwl5 : driver installed
device (14E4:4315) present (alternate driver: ssb)


Как видим, Убунта уже пытается использовать какой-то ssb драйвер для нашего wifi адаптера. Теперь он нам не нужен, а следовательно:
boffin@laptop:~/bcmwl5$ sudo echo blacklist b43 >> /etc/modprobe.d/blacklist
boffin@laptop:~/bcmwl5$ sudo echo blacklist ssb >> /etc/modprobe.d/blacklist
boffin@laptop:~/bcmwl5$ sudo rmmod b43
boffin@laptop:~/bcmwl5$ sudo rmmod ssb

Модуль ssb не выгрузится, если предварительно не выгрузить b43. Мы занесли эти модули в черный список, это не даст им загрузиться при старте системы.

Загружаем модуль ndiswrapper (который и содержит наш драйвер):
boffin@laptop:~/bcmwl5$ sudo ndiswrapper -m
boffin@laptop:~/bcmwl5$ sudo modprobe ndiswrapper
boffin@laptop:~/bcmwl5$ sudo echo ndiswrapper >> /etc/modules


После данных манипуляций Wifi должен начать работать. Работать будет даже кнопка на корпусе, которая включает/выключает wifi адаптер и при этом меняет цвет.

Проверяем:

boffin@laptop:~/bcmwl5$ iwlist scanning
lo        Interface doesn't support scanning.
eth0      Interface doesn't support scanning.
pan0      Interface doesn't support scanning.
wlan0     Scan completed :
          Cell 01 - Address: 00:1B:11:A3:2D:CA
                    ESSID:"AP-01"
                    Protocol:IEEE 802.11g
                    Mode:Managed
                    Frequency:2.417 GHz (Channel 2)
                    Quality:100/100  Signal level:-23 dBm  Noise level:-96 dBm
                    Encryption key:on
                    Bit Rates:1 Mb/s; 2 Mb/s; 5.5 Mb/s; 11 Mb/s; 6 Mb/s
                              9 Mb/s; 12 Mb/s; 18 Mb/s; 24 Mb/s; 36 Mb/s
                              48 Mb/s; 54 Mb/s
                    Extra:bcn_int=100
                    Extra:atim=0
                    IE: WPA Version 1
                        Group Cipher : TKIP
                        Pairwise Ciphers (1) : TKIP
                        Authentication Suites (1) : PSK

Все, wifi на Compaq mini 110c настроен и работает.

Итак, преимущества виртуальных серверов в том, что они предоставляют изолированное окружение, и клиенты получают рутовый пароль на систему. Так-же следует отметить что в таком случае безопасность внутри виртуальных машин будут отвечать сами клиенты, а злоумышленник с рутовым доступом на виртуальной машине не сможет навредить физическому серверу или соседним виртуальным машинам.

Важно постараться поставить как можно меньше программного обеспечения на физический сервер, в идеале это только OpenVZ и OpenSSH.

Ну а теперь непосредственно процедура установки и настройки OpenVZ (в моих примерах предполагается что у вас установлена свежая Ubuntu 9.04 Server, без дополнительного ПО):

1. Подготовка места на диске для хранения виртуальных машин
Для удобства работы и масштабируемости сервера рекомендуется иметь отдельный жесткий диск ( а лучше два, в рейде, для зеркалирования данных пользователя). Предлагаю в корне создать директорию /vz. В эту директорию монтировать жесткий диск. Для этого в /etc/fstab необходимо добавить строчку:
/dev/sdb1 /vz ext3 defaults 0 0
где /dev/sdb1 – ваш жесткий диск для хранения виртуальных машин.

2. Установка ядра системы с поддержкой виртуализации
Для этого стоит выполнить команду:
# apt-get install vzctl
пакетный менеджер автоматически подтянет ядро с поддержкой openvz нужной версии. В моем случае был установлен linux-image-2.6.26-2-openvz.
После перезагрузки необходимо произвести настройку ядра, редактируем файл /etc/sysctl.conf и меняем следующие строки:

net.ipv4.ip_forward=1
net.ipv4.conf.default.forwarding=1
net.ipv4.conf.default.proxy_arp = 0
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.send_redirects = 1
net.ipv4.conf.all.send_redirects = 0
kernel.sysrq = 1

После сохранения файла необходимо применить новые параметры ядра:
# sysctl -p

3. Установка виртуальной машины (гостевой системы)
Для начала необходимо скачать образ операционной системы, которая будет использоваться в гостевой системе. Для этого выбираем на образ на сайте http://openvz.org/download/template/cache/ и скачиваем его в директорию /vz/template/cache:

# mkdir -p /vz/template/cache
# cd /vz/template/cache
# wget http://download.openvz.org/template/precreated/ubuntu-9.04-x86_64.tar.gz

В моем случае для гостевой операционной системы была выбрана Ubuntu 9.04.

Далее необходимо создать непосредственно виртуальную машину, на основе нашего образа. Так как на VPS хостинге эту задачу надо будет повторять неоднократно, удобно использовать скрипт:

root_pw="root_password" # пароль пользователя root в гостевой системе
os_template="ubuntu-9.04-x86_64" # имя образа ОС для гостевой системы
vm_id="1" # идентификатор гостевой системы
/usr/sbin/vzctl create ${vm_id} --ostemplate ${os_template} --config vps.basic #создание гостевой системы на основе образа
/usr/sbin/vzctl set ${vm_id} --onboot yes --save # запускать гостевую при старте системы
/usr/sbin/vzctl set ${vm_id} --hostname vps${vm_id}.domain.com --save #установить hostname гостевой
/usr/sbin/vzctl set ${vm_id} --ipadd 192.168.1.190 --save #установить IP адрес
/usr/sbin/vzctl set ${vm_id} --nameserver 192.168.1.12 --save #установить адрес ДНС сервера
/usr/sbin/vzctl set ${vm_id} --userpasswd root:${root_pw} --save #установить пароль пользователя root
/usr/sbin/vzctl set ${vm_id} --cpulimit 15 --save #установка процессорной квоты 15%
#установка дисковой квоты 9 GB (10 GB в течении промежутка 600 секунд)
/usr/sbin/vzctl set ${vm_id} --diskspace 9000000:10000000 --save
/usr/sbin/vzctl set ${vm_id} --quotatime 600 --save
#установка квоты на виртуальную память 160M (168M в течение quotatime - см.выше)
#с гарантией выделения до 120M (128M)
/usr/sbin/vzctl set ${vm_id} --privvmpages 160M:168M --save
/usr/sbin/vzctl set ${vm_id} --vmguarpages 120M:128M --save
/usr/sbin/vzctl start ${vm_id} #запуск новой гостевой системы


Все, теперь в гостевую систему можно логинится по ssh.