Здравейте и добре дошли в #root.bg!

Тук може да намерите статии и уроци за linux, мрежи и тяхната защита, игри и забавление, както и хобита – ролери, дронове и много други.

Ако искате да помогнете за развитието на root.bg, моля направете го от тук!

, , 0 comments

Redis HaProxy Failover

Привет,

Отдавна не съм писал нещо смислено в сайта… просто нямах муза :/

Днес ще споделя как бързо и лесно направих redis haproxy failover схема, а ето и цялата концепция :

  1. Два redis сървъра работещи на принцип master -> slave
  2. HaProxy което да следи за евентуално отпадане на master сървъра, и пускането на трафика към бекъпа (slave)

Конфигуриране на redis

Redis HaProxy FailOver
За направата на redis master->slave използвах тази статия, като тук е хубаво да се уточни, че статията е написана уж за redis cluster, но реално тя представлява проста схема на репликация между master и slave сървър! Единствената разлика която е примен е , че redis-server2 не работи на режим read-only :

slave-read-only no

Важно е да се изтества всичко дали е ок.
Пример :

redis-cli -a password -h redis-server1 monitor

redis-cli -a password -h redis-server2 monitor

или

redis-cli -a password -h redis-server1 info
и информацията за #Replication при нас трябва да изглежда така :
# Replication

role:master

connected_slaves:1

slave0:ip=221.221.221.221,port=6379,state=online,offset=44430235644,lag=0

master_repl_offset:44430235644

repl_backlog_active:1

repl_backlog_size:1048576

repl_backlog_first_byte_offset:44429187069

repl_backlog_histlen:1048576

Конфигуриране на HaProxy

Redis HaProxy FailOver
Тук нещата изглеждат доста прости. Използвам ubuntu 14.04 и версия на haproxy 1.6 stable. Повече инфо тук.

Конфигурационният файл на redis haproxy сървъра ми изглежда така :

global

	log /dev/log	local0

	log /dev/log	local1 notice

	chroot /var/lib/haproxy

	stats socket /run/haproxy/admin.sock mode 660 level admin

	stats timeout 30s

	user haproxy

	group haproxy

	daemon


	# Default SSL material locations

	ca-base /etc/ssl/certs

	crt-base /etc/ssl/private


	# Default ciphers to use on SSL-enabled listening sockets.

	# For more information, see ciphers(1SSL). This list is from:

	#  https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/

	ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

	ssl-default-bind-options no-sslv3


defaults REDIS

 mode tcp

 timeout connect  2s

 timeout server  15s

 timeout client  15s


frontend ft_redis

 bind 0.0.0.0:6379 name redis

 default_backend bk_redis


backend bk_redis

# mode    tcp

 option tcp-check

 tcp-check connect

 tcp-check send AUTH\ password\r\n

 tcp-check send PING\r\n

 tcp-check expect string +PONG

# tcp-check send info\ replication\r\n

# tcp-check expect string role:master

 tcp-check send QUIT\r\n

 tcp-check expect string +OK

 server redis-server1 123.123.123.123:6379 check inter 1s

 server redis-server2 221.221.221.221:6379 check inter 1s backup


listen haproxy-web

    bind 0.0.0.0:8181

    mode http

    stats enable

    stats uri /

    stats realm Strictly\ Private

    stats auth admin:adminpassword

    stats refresh 30s

#    stats admin if TRUE

Така нашият haproxy сървър слуша на всичките ни айпи адреси на порт 6379 и проверява master сървъра ни redis-server1 на принципа на ауторизацията чрез парола „password“.

Ако връзката до redis-server1 отпадне, до 15 секунди пуска трафика към redis-server2. Това се конфигурира от настройките за timeout, но по-ниските такива ще доведат до евентуални проблеми, ако има смущения по трасето. Когато връзката до redis-server1 се възтанови, трафика към него се връща по старо му.

На порт 8181 пък върви статистика, която позволява да наблюдаваме заявките към сървърите ни в реално време. Потребителското име за нея е admin, а паролата : adminpassword.

Това е!

, , , 0 comments

apache2 http2 proxy problem

Здравейте,

apache2 http2 proxy problemВ тази публикация ще споделя за един много странен проблем който борих днес.

Става дума за apache2 http2 proxy problem, като накратко схемата ми беше следната :

 

  1. Имам сайт domain.com който се намира на сървър с nginx и php-fpm.
  2. Имам blog.domain.com който се намира на WHM сървър с apache2.4 с последните му обновления
  3. Направил съм прокси настройка на domain.com така че, когато се достъпи domain.com/blog да зарежда садържанието от blog.domain.com (от WHM/cpanel сървъра).

Nginx конфигурацията

Nginx конфигурацията при domain.com е следната :

location /blog/ {

rewrite ^/blog/(.*) /$1 break;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

proxy_set_header X-Forwarded-Proto $scheme;

proxy_read_timeout 90;

proxy_pass https://blog.domain.com/;

proxy_redirect https://blog.domain.com/ /blog/;

Тя се слага преди

location /

Проблемът

Така настроен domain.com/blog се отваря без проблем на всички браузъри без на safari. При safari върти и върти.. и накрая нищо. В логовете на WHM сървъра наблюдавах изключително много заявки от моя айпи адрес които все едно флудваха сървъра.

Решението

Решението на проблемът се оказа изключително просто. Бяхме сложили mod_http2 на WHM сървъра, след като прочетохме, че пичовете от Cpanel са го пуснали като stable модул за WHM. Оказа се , че именно в него беше и нашия проблем. След като го махнахме domain.com/blog започна да се зарежда без проблеми отново от safari.

До това решение стигнахме, след като тествахме с blog.domain.com от друг сървър който беше също изцяло на nginx.

Извода

Максимата „щом нещо работи, не го пипай“ за пореден път се оказа вярна, особенно когато сървърната ни топология е толкова сложна.

Това е!

, , , 1 comment

nginx naxsi http2

nginx naxsi http2Привет,

В продължение на публикацията ми от 08.12.2016г.  искам да споля, че вече е възможна работата на naxsi в комбинация с проткола http2 и nginx.

 

За целта е нужно да клонираме последната версия на naxsi от github и да добавил следните параметри след това:

cd /usr/src/

git clone https://github.com/nbs-system/naxsi.git

cd naxsi

git checkout http2

git fetch origin pull/309/head:http2-309

git checkout http2-309

Следва прекомпилиране на nginx :

./configure --add-module=../naxsi/naxsi_src --add-module=../ngx_cache_purge/ --prefix=/usr --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --pid-path=/var/run/nginx/nginx.pid --lock-path=/var/lock/nginx.lock --user=www-data --group=www-data --with-http_ssl_module --with-http_flv_module --with-http_gzip_static_module --http-log-path=/var/log/nginx/access.log --http-client-body-temp-path=/var/tmp/nginx/client/ --http-proxy-temp-path=/var/tmp/nginx/proxy/ --http-fastcgi-temp-path=/var/tmp/nginx/fcgi/ --with-http_stub_status_module --with-http_realip_module --with-sha1=/usr/include/openssl --with-md5=/usr/include/openssl --with-openssl=../openssl-1.0.2k/ --with-http_mp4_module --with-poll_module --add-module=../nginx-rtmp-module --add-module=../headers-more-nginx-module-0.25/ --with-ipv6 --add-module=../nginx-module-vts --with-http_v2_module --add-module=../ngx_devel_kit --add-module=../set-misc-nginx-module-0.30 --add-module=/usr/src/ngx_brotli/ngx_brotli_module-master/

и активиране на naxsi модулите както следва :

в /etc/nginx/nginx.conf :

 include /etc/nginx/naxsi_core.rules;

а във виртуалният ни хост :

location / {

try_files $uri $uri/ /index.php?$args;

include /etc/nginx/naxsi.rules;

Тук за шарения добавих и :

error_page 418 /418.html;


location /RequestDenied {

return 418;

}

така всяка „зла“ заявка ще бъде препратена със статус 418 към 418.html което в моя случай е един „среден пръст“ 😀

След рестартиране на nginx може да тестваме дали работи нашият NAXSI Firewall например ето така :

root@server:~# wget --server-response --spider https://root.bg/%3C?php%20echo%20%22hello%22;%20?%3E

Spider mode enabled. Check if remote file exists.

--2017-06-07 08:43:13-- https://root.bg/%3C?php%20echo%20%22hello%22

Resolving root.bg (root.bg)... 87.97.157.122

Connecting to root.bg (root.bg)|87.97.157.122|:443... connected.

HTTP request sent, awaiting response...

HTTP/1.1 418

Date: Wed, 07 Jun 2017 08:42:45 GMT

Content-Type: text/html; charset=utf-8

Content-Length: 192

Connection: keep-alive

ETag: "5937b9e3-c0"

Server: rws

 

Ами… това е!

Огромни благодарности за пичовете стоящи зад този страхотен продукт наречен NAXSI!

, 0 comments

strace php-fpm process

Привет,

Днес ще споделя как бързо и лесно можем да следим какво се случва зад един php-fpm процес благодарение на strace!

Добавяме следната функция в .bashrc файла на потребителя ни (препоръчва се да е директно на root) или ще трябва да се изпълни със sudo :

function straceall {

strace -t -f -o strace.txt $(pidof "${1}" | sed 's/\([0-9]*\)/-p \1/g')

}

Зареждаме го на ново чрез

source .bashrc
или излизаме и влизаме в сървъра ни и започваме да следим процеса :

straceall php-fpm7.0

Ако искаме да следим php7.1-fpm процес пишем :

straceall php-fpm7.1

а за php5-fpm следното :

straceall php5-fpm

Така се детачва strace процес който пише във файл strace.txt в реално време.

Това е!

, , , , , , 0 comments

cachet metrics howto

Привет,

В продължение на предишната ми публикация за Cachet , днес ще споделя как успешно подкарах метриката на Cachet, благодарение на uptimerobot.com и python скрипта cachet-uptime-robot.

uptimerobot.com

За целта е нужно да имаме акаунт в uptimerobot.com (безплатно е) и да си създадем API key от My settings -> Main API Key.

Разбира се, трябва да добавим и монитор за следене : Add New Monitor -> Monitor type (http) – в моят случай https://root.bg/.

Следва да се конфигурира и cachet-uptime-robot.

Стъпките са следните :

mkdir /Scripts/

cd /Scripts/

git clone https://github.com/Axiacore/cachet-uptime-robot.git

cd cachet-uptime-robot/

python3 /Scripts/cachet-uptime-robot/update_status.py /Scripts/cachet-uptime-robot/config.ini

Преди да стартираме скрипта обаче, е нужно да въведем нашите данни в config.ini.

За целта е нужно да си генерираме API Key от нашата cachet система. Лесно е : Team -> Нашият потребител -> API Token -> Generate API Key.

След като имаме всично необходимо можем да пристъпим и към конфигурацията на cachet-uptime-robot.

[uptimeRobot]

UptimeRobotMainApiKey = u410652-*****


[https://root.bg]

CachetApiKey = DyhkqY******

CachetUrl = https://status.root.bg

MetricId = 3

ComponentId = 3

Тук е важно да се сложат точните ID-та – в моят случай, MetricId е 3 (трябва да си създадем Metric от dashboard-a на cachet), а ComponentId също е 3 (създаваме компонент от : Components -> Add a component пак от dashboard-a).

Ако всичко е настроено както трябва, след като пуснем ръчно скрипта чрез:

python3 /Scripts/cachet-uptime-robot/update_status.py /Scripts/cachet-uptime-robot/config.ini

трябва да видим следните резултати :

Updating monitor root.bg. URL: https://root.bg. ID: 778615857

Metric created: {'data': {'value': 99.945, 'counter': 2, 'calculated_value': 199.89, 'id': 1508, 'updated_at': '2017-05-12 09:08:04', 'metric_id': 3, 'created_at': '2017-05-12 09:08:04'}}

И да получим визуализация в нашата cachet система:cachet metrics howto

Накрая добавяме един crontab през 5 минути да стартира този скрипт, за да може автоматично да се обновява нашия cachet metric.

Това е!

, , , 0 comments

ActiveSync with Nginx and Z-push

ActiveSync with Nginx and Z-pushПривет,

В тази публикация ще споделя как бързо и лесно можем да си направим ActiveSync синхронизация с Nginx и Z-push.

За целта първо трябва да изтеглим последната версия на z-push от z-push.org и да копираме съдъражнието й в папка /usr/share/z-push/ :

mkdir -p /usr/share/z-push

mkdir -p /var/log/z-push/

cd /tmp/

wget http://download.z-push.org/final/2.3/z-push-2.3.4.tar.gz

tar zxvf z-push-2.3.4.tar.gz

cp -R z-push-2.3.4/* /usr/share/z-push/

Следва конфигурирането на z-push

1. В config.php променяме следните редове :

define('TIMEZONE', 'Europe/Sofia');

define('BACKEND_PROVIDER', 'BackendIMAP');

2. В /usr/share/z-push/backend/imap/config.php променяме следните редове :

define('IMAP_FOLDER_CONFIGURED', true);

define('IMAP_SERVER', 'localhost');

Nginx виртуален хост

За да може ActiveSync-a да сработи, е нужно да направим виртуален хост в nginx-a ни. Ето го и него :

server {

listen 443;

server_name z.root.bg;


ssl on;

ssl_certificate /etc/letsencrypt/live/z.root.bg/fullchain.pem;

ssl_certificate_key /etc/letsencrypt/live/z.root.bg/privkey.pem;


root /usr/share/z-push;

index index.php;


location / {

try_files $uri $uri/ index.php;

}


location /Microsoft-Server-ActiveSync {

rewrite ^(.*)$ /index.php last;

}


location ~ .php$ {

include fastcgi_params;

fastcgi_index index.php;

fastcgi_param HTTPS on;

fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;


fastcgi_pass unix:/var/run/php5-fpm.sock;

}

}

Следва рестарт на nginx сървъра и тестване на виртуалния хост.

Ако всичко е ок, трябва да излезе диалогов прозорец с потребителско име ( мейл адрес ) и парола. Въвеждаме нашите и трябва да ни излезе следното съобщение :

Z-Push - Open Source ActiveSync


Version 2.3.4

GET not supported


This is the Z-Push location and can only be accessed by Microsoft ActiveSync-capable devices

Това означава, че всичко е ок и можем да си настройм пощата през мобилното ни устройство, като за тип account избираме Exchange и въвеждаме данните ни. За сървър въвеждаме нашия Z-push сървър ; z.root.bg.

Общо взето това е.

«< 2 3 4 5 6 >»