mysyslog.ru » centos

Как узнать версию CentOS

constantine.malov — Fri, 25 Jun 2010 07:32:53 +0000

Для меня, старого FreeBSD-ка, было несколько неожиданно, что команда uname мне не помогла определить версию системы…

% uname -a
Linux servername.ru 2.6.18-164.15.1.el5.028stab068.9 #1 SMP Tue Mar 30 18:07:38 MSD 2010 x86_64 x86_64 x86_64 GNU/Linux
%

Т.е. конечно про ядро мне все тут рассказали, но вот какая версия CentOS? Загадка…
Попробовал иначе:

% cat /proc/version
Linux version 2.6.18-164.15.1.el5.028stab068.9 (root@rhel5-build-x64) (gcc version 4.1.2 20080704 (Red Hat 4.1.2-46)) #1 SMP Tue Mar 30 18:07:38 MSD 2010
%

Уже лучше, теперь я знаю, что уши CentOS торчат из указанной версии RedHat… Хм, все равно не то!
Вот он, правильный вариант!

% cat /etc/redhat-release
CentOS release 5.4 (Final)
%

Правильный и красивый способ добавлять модули ядра в автозагрузку в CentOS 5.X

constantine.malov — Tue, 20 Apr 2010 09:07:24 +0000

Наткнулся на блог с красивым и правильным методом добавления модулей в автозагрузку centos 5.x.

Все уже есть в самой системе и, как всегда, не нужно изобретать велосипед =) В файле /etc/rc.sysinit есть вот такая конструкция:

# Load other user-defined modules
for file in /etc/sysconfig/modules/*.modules ; do
  [ -x $file ] && $file
done

Т.е. для добавления модуля достаточно создать файл some_name.modules в каталоге /etc/sysconfig/modules/, внутри которого будет команда на его загрузку. Что-то такое:

# cat /etc/sysconfig/modules/some_name.modules
modprobe some_module

Попробуем автоматизировать процесс добавления/удаление/просмотра модулей, для этого пишем скрипт:

#!/bin/sh

check_action ()
{
        if [ $ACTION != "list" ] && [ $ACTION != "add" ] && [ $ACTION != "del" ]; then
                show_help
                exit 1
        fi
}

show_help ()
{
        echo Usage: `basename $0` ACTION [ MODULE_NAME ]
        echo ACTION - list\|add\|del
        echo MODULE_NAME - module name for add\|del ACTION
}

make_action ()
{
        case $ACTION in
                "list")
                        for i in `find $WORKDIR -type f -name "*.modules"`; do
                                module=`echo $i|sed 's/\.modules//'`
                                echo `basename $module`
                        done
                ;;
                "add")
                        echo "modprobe $MODULE_NAME" > $WORKDIR/$MODULE_NAME.modules
                        chmod 750 $WORKDIR/$MODULE_NAME.modules
                ;;
                "del")
                        rm -f $WORKDIR/$MODULE_NAME.modules
                ;;

        esac
}

ACTION="$1"
MODULE_NAME="$2"
WORKDIR="/etc/sysconfig/modules/"
: ${ACTION:="list"}

check_action
make_action

ipset в CentOS

constantine.malov — Tue, 20 Apr 2010 08:27:48 +0000

CentOS отличается некоторой консервативностью в версиях установленного ПО, что иногда приводит к проблемам с установкой нужной программы, не исключением стал и ipset.
Первым делом я проверил, есть ли ipset в базовой системе, конечно же его не было. Пробежавшись по сайтам из найденных google по запросу “ipset centos”, так же не нашел готового решения. Проблема есть, а вот методы решения ее самые разные. Большинство отказывались от ядра CentOS в пользу “чистого” ядра с kernel.org, патчили и ставили его. Мне такой подход не понравился, так как обновлять ядро хочется все тем же yum, а не каждый раз путем пересборки.
Погуглив еще немного, я нашел способ поставить утилиту ipset и модуль ядра через yum. Для этого нужно подключить дополнительные репозитории: CentALT и epel.
Сразу скажу, что CentALT заточен во многом под ALT Linux, так что софтом из него стоит пользоваться осторожно в CentOS. Устанавливаем:

# wget http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-3.noarch.rpm
# wget http://centos.alt.ru/repository/centos/5/i386/centalt-release-5-3.noarch.rpm
# rpm -iv epel-release-5-3.noarch.rpm
# rpm -iv centalt-release-5-3.noarch.rpm
# yum check-update

Если у вас x86_64 архитектура, то просто смените i386 на x86_64 в ссылках.
Теперь можно поставить модуль ядра и утилиту ipset, после проверяем все ли работает:

# yum install kmod-ipset.i688 ipset.i386
# modprobe ip_set
# lsmod | fgrep ip_set
ip_set                 23708  0
# ipset -V
ipset v2.5.0 Protocol version 2.
# iptables -m set -h
iptables v1.3.5: Couldn't load match `set':/lib/iptables/libipt_set.so: cannot open shared object file: No such file or directory

Try `iptables -h' or 'iptables --help' for more information.

Не все так гладко, как хотелось бы! Модуль и утилита ipset есть, а iptables не может с ней работать. Дело в версии iptables, нужна версия старше 1.4, но в CentOS ее нет. Так что придется все же пойти на определенные жертвы. Будем ставить iptables из сорцов. Сносим “родной” iptables и ставим более новую версию. Перед этим добавляем в систему gcc, если еще нет:

# cp /etc/init.d/iptables /root/
# yum erase iptables
# yum install gcc
# cd /usr/src/
# wget http://www.netfilter.org/projects/iptables/files/iptables-1.4.7.tar.bz2
# tar xjf iptables-1.4.7.tar.bz2
# cd iptables-1.4.7
# ./configure
# make
# make install
# hash -r

Создаем тестовую таблицу и проверяем, что все работает:

# ipset -N badip iphash
# ipset -A badip 10.10.1.10
# iptables -A INPUT -p icmp -m set --set badip src -j DROP
# iptables -vL
Chain INPUT (policy ACCEPT 24372 packets, 2261K bytes)
 pkts bytes target     prot opt in     out     source               destination
    4   240 DROP       icmp --  any    any     anywhere             anywhere            match-set badip src

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 489 packets, 45302 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain RH-Firewall-1-INPUT (0 references)
 pkts bytes target     prot opt in     out     source               destination

Теперь про ложку дегтя, как же без нее. После удаления родного iptables и установки нового произошло несколько неприятных событий:
1) По умолчанию iptables из сорцов ставится в /usr/local/sbin/iptables, в родной был в /sbin/iptables. В принципе не проблема пересобрать нужными опциями (внимательно смотрим ./configure –help)
2) При удалении родного iptables, удаляется и /etc/init.d/iptables, так что я его я специально сохранил
3) Удаляется несколько полезный утилит типа iptstate
4) Все эти суммарные изменения могут где-нибудь неожиданно вылезти, так что перед вводом сервера в продакшен нужно очень хорошо все проверить.

UPDATE!!!
В репозитории CentAlt есть обновление для iptables с поддержкой ipset, так что достаточно

# yum update iptables

чтобы все заработало!

Как легко запомнить диапазоны разных классов IP сетей!

constantine.malov — Thu, 25 Mar 2010 15:55:43 +0000

Для определения класса сети нужно смотреть на первый октет и помнить диапазон. А можно поступить проще!
Сети А класса: 0 – 127.
Или запоминаем, что в битовом исполнении сети класса А всегда выглядят так 0XXXXXXX.
Сети В класса: 128 – 191.
Или запоминаем, что первый октет всегда начинается на 10XXXXXX.
Сеть C класса: 192 – 223.
Или запоминаем, что первый октет 110XXXXX.

Добавляем в CentOS5 rpmforge

constantine.malov — Thu, 19 Nov 2009 10:35:32 +0000

По умолчанию yum в CentOS имеет достаточно куцый список репозиториев, с которыми он может работать. В них нет многих нужных пакетов, например мне потребовался nrpe, и yum его не нашел. Ставить из исходников при наличии yum – лишняя головная боль через какое-то время. Так что добавляем RPMForge!
Все очень просто. Идем на сайт https://rpmrepo.org/RPMforge и видим в документации

wget http://packages.sw.be/rpmforge-release/rpmforge-release-0.3.6-1.$dist.rf.$arch.rpm
rpm -Uhv rpmforge-release-0.3.6-1.$dist.rf.$arch.rpm

Для CentOS5 нужна вот эта версия http://packages.sw.be/rpmforge-release/rpmforge-release-0.3.6-1.el5.rf.i386.rpm (для x64 http://packages.sw.be/rpmforge-release/rpmforge-release-0.3.6-1.el5.rf.x86_64.rpm)
Выполняем команды и получаем установленный репозиторий. Можно пользоваться!