Skocz do zawartości

Merlin

Użytkownicy
 Wyświetl profil  Zobacz jego aktywność

  • Zawartość

    8

  • Rejestracja

  • Ostatnio

Posty napisane przez Merlin

  2. Napisano · Raportuj odpowiedź

    Ok dzięki za sugestię. No tak często błędy bywają trywialne...

    # isql -v MySQL_DSN root xxxxxxxx
    +---------------------------------------+
    | Connected! |
    | |
    | sql-statement |
    | help [tablename] |
    | quit |
    | |
    +---------------------------------------+
    Niestety cały czas pozostał problem połączenia już w samym instalatorze
    ./Server-Linux-x86_64.sh --skip-license --db-driver=MySQL_DSN --db-hostname=localhost --db-port=3306 --db-admin-username=root --db-admin-password=12345 --server-root-password=12345 --db-user-username=root --db-user-password=12345 --cert-hostname="host;m"

    oczywiście w miejsca hasła i host są właściwe wartości podane.

    Niestety instalator stale zwraca błąd:
    ESET Remote Administrator Server Installer (version: 6.1.450.0), Copyright © 1992-2015 ESET, spol. s r.o. - All rights reserved.
    Extracting archive, please wait...
    Archive extracted to /tmp/tmp.m9F4vhDGOH.
    Checking OpenSSL ... done [OpenSSL 1.0.2a 19 Mar 2015]
    Checking installed version... done
    Status of current installation is: NEW
    Generating GUID ... done [GUID = 11eb61c2-a24d-4c1e-b319-cee46ec36cdf]
    Checking database connection ... failure
    Error: Admin connection not working. Unable to continue.

  3. Napisano · Raportuj odpowiedź

    Usiłuję na Debianie 7.4 zainstalować Konsolę Administracyjną (ERA) do Eset Endpoint Security Suite ale problem pojawił się w przygotowaniu środowiska do instalacji.
    ERA wymaga instalacji MySQL, unixODBC_23, oraz openssl-1.0.1e-30 lub nowszy
    Jako że w systemie ani w standardowo dostępnych pakietach nie ma ani odpowiedniego openssl ani unixodbc więc trzeba było ratować się pokrewnymi dystrybucjami.
    Generalnie środowisko przygotowane ale... test ODBC wypadł niestety negatywnie.
    /etc/odbcinst.ini
    [MySQL-1]
    Description=ODBC for MySQL
    Driver=/usr/lib/x86_64-linux-gnu/odbc/libmyodbc.so
    Setup=/usr/lib/x86_64-linux-gnu/odbc/libodbcmyS.so
    UsageCount=2
    /etc/odbc.ini
    [MySQL_DSN]
    Description=DSN dla ESETA
    Driver=MySQL-1
    SERVER=localhost
    PORT=3306
    USER=root
    Password=
    # Socket=/var/run/mysqld/mysqld.sock
    Database=
    Option=3
    ReadOnly=No
    I tutaj zarówno a użyciem socekta jak i przez port jest taka sama odpowiedź.
    Driver został dodany i niby wszystko jest ok
    ~# odbcinst -j
    unixODBC 2.3.1
    DRIVERS............: /etc/odbcinst.ini
    SYSTEM DATA SOURCES: /etc/odbc.ini
    FILE DATA SOURCES..: /etc/ODBCDataSources
    USER DATA SOURCES..: /root/.odbc.ini
    SQLULEN Size.......: 8
    SQLLEN Size........: 8
    SQLSETPOSIROW Size.: 8
    Niestety testy dają coś takiego:
    # isql -v MySQL-1
    [iM002][unixODBC][Driver Manager]Data source name not found, and no default driver specified
    [iSQL]ERROR: Could not SQLConnect
    Instalator Serwera ERA zwraca coś takiego:
    ESET Remote Administrator Server Installer (version: 6.1.450.0), Copyright © 1992-2015 ESET, spol. s r.o. - All rights reserved.
    Extracting archive, please wait...
    Archive extracted to /tmp/tmp.Dh94vIqU60.
    Checking OpenSSL ... done [OpenSSL 1.0.2a 19 Mar 2015]
    Checking installed version... done
    Status of current installation is: NEW
    Generating GUID ... done [GUID = ed7af15e-e0e5-40e3-94e8-5b7867e208e3]
    Checking database connection ... failure
    Error: Admin connection not working. Unable to continue.
    Pytanie co jest nie tak i jak to poprawić. Niestety w necie nie znalazłem odpowiedzi na to pytanie.
    Coś doradzicie? Pomożecie?

     

  4. Napisano · Raportuj odpowiedź

    Witam,
    mam taki problem i szukam jasnej jednoznaczniej (p)odpowiedzi, a niestety w tutorialach dotyczących konfiguracji nie do końca udało mi się ją znaleźć.
    Nie koniecznie chodzi mi o gotowca (choć pewnie by znacznie przyspieszył rozwiązanie moich problemów)
    tylko o wskazówki przy samodzielnym skonfigurowaniu i zrozumieniu gdzie obecnie jest błąd i dlaczego ;) Jakieś naprowadzenie czego powinienem szukać i gdzie.
    Założenie jest takie:
    • serwer z pełną obsługą htaccess i php5 i indywidualny plik php.ini dla każdego vhosta
    • dostep do vhostów/domen każdy z poziomu innego użytkownika.
    • ma być możliwie wydajny i bezpieczny.
    • docelowo obsługa też memcached
    • docelowo obsługa kilku stron www
    By to zrealizować póki co w środowisku maszyny wirtualnej (symulacja VPSa) z lokalnym serwerem nazw uruchomiłem:
    • Debian7 + apache2.2 z PHP-FCGI + SuExec
    • dostęp do plików tylko po SSH i SFTP
    Znalazłem w sieci kilka tutoriali, na bazie których uruchomiłem apache i kilka vhostów, ale nie jestem zadowolony z efektów.
    Efektem końcowym moich działań jest to, że na vhoście można zainstalować np. WordPressa, ale przy uploadowaniu jakiegoś pliku przy pomocy przeglądarki otrzymuję info, że nie mam wystarczających uprawnień do zapisu (np. dodając media w WP, albo aktualizując pluginy).
    Logując się jako użytkownik-właścicel vhosta muszę zmienić uprawnienia do folderów i jedynie prawa 777 dają możliwość zapisu do folderu dla operacji prowadzonych przez przeglądarkę. No a wiadomo 777 nie należą do najbezpieczniejszych w tym przypadku.

    Chciałbym docelowo osiągnąć sytuację w której problem z niewłaściwymi uprawnieniami do plików i folderów nie występuje. No i ciekawi mnie jak powinna wyglądać konfiguracja apache, by tak, jak to widać na niektórych hostingach, folder cgi-bin, czy fcgi był pusty a zarazem skrypty PHP były wykonywane jako FCGI. No i przede wszystkim jak wykonać taką konfigurację by zachować możliwie wysokie bezpieczeństwo serwera przy zachowaniu wysokiej wydajności.
    Docelowo chcę tę konfigurację przenieść na dość wydajnego VPSa, ale wiadomo najpierw dopracować w lokalnym środowisku.
    To jest pierwsza część problemu.

    Druga to właściwa konfiguracja dostępu SFTP.
    Chciałbym by dla użytkownika logującego się do swojego folderu domowego (w którym np. są foldery strony strony www), folder ten był najwyższym folderem do którego ma dostęp. Czyli by z poziomu właściciela vhosta nie było możliwości przejścia do / czy np. /etc lub by nie było możliwości podejrzenia zawartości tych folderów nie mówiąc już o możliwości ich modyfikacji.

    Teraz może troszkę o tym jak dokładnie wygląda obecnie konfiguracja.
    Z tego co widzę, główny proces apache2 domyślnie uruchomiony jest przez użytkownika www-data
    Na potrzeby vhostów utworzyłem kilka grup i kilku użytkowników: u1, g1 i u2, g2
    Vhosty są skonfigurowane według schematu:

    <VirtualHost *:80>
    SuexecUserGroup u1 g1
    <Location /fcgi/php5>
    SetHandler fastcgi-script
    Options +ExecCGI
    </Location>
    <Directory /var/www/domena.pl/htdocs/fcgi >
    Options FollowSymLinks
    AllowOverride None
    # Options None
    Order allow,deny
    Allow from all
    </Directory>
    AddHandler php5-fastcgi .php
    Action php5-fastcgi /fcgi/php5
    AddType application/x-httpd-php .php
    DocumentRoot /var/www/domena.pl/htdocs/
    ServerName domena.pl
    ErrorLog ${APACHE_LOG_DIR}/domena.pl-error_log
    CustomLog ${APACHE_LOG_DIR}/domena.pl-access_log common
    </VirtualHost>

    W pliku /etc/apache2/suexec/www-data
    /var/www
    htdocs/fcgi
    W strukturze plików vhosta jest htdocs/fcgi/php5
    z zawartością:
    #!/bin/sh
    export PHP_FCGI_CHILDREN=4
    export PHP_FCGI_MAX_REQUESTS=200
    export PHPRC="/var/www/domena.pl/php.ini"
    exec /usr/bin/php5-cgi
    Macie może jakieś sugestie, czy konkretne wskazówki co zmienić? Jak wyglądają Wasze konfiguracje
    Z góry dzięki za sugestie, pomoc i w ogóle :)

  7. Napisano · Raportuj odpowiedź

    Uruchomiłem w konfigu logowanie więc przetestuję co serwer gada...

    Dzięki za sugestię co do certyfikatów. Sprawdzę to

    Tak się zastanawiam czy da się szczegółowiej monitorować, kto się połączył z bramą i kiedy. Tzn. przydzielić każdemu klientowi prywatne IP identyfikowane mac-adresem i potem monitorować działania i jakoś w sposób atrakcyjny wizualnie je przedstawić.

  8. Napisano · Raportuj odpowiedź

    Witam,

    jestem w trakcie konfigurowania połączenia VPN pomiędzy klientami mobilnymi a bramą VPN (Debian). Chciałbym rozwiązać kilka wariantów połączeń w możliwie jednej bezpiecznej konfiguracji.

    Klienci VPN powinni mieć możliwość połączenia się z różnych systemów (OSX, iOS, Android, Windows)

    To już mniej więcej ogarnąłem.

    Natomiast różne są też struktury sieci z których łączą się poszczególne urządzenia. Generalnie nie powinno to być problemem ale...
    Nie ma problemu gdy np. tablet łączy się przez operatora komórkowego z bramą.

    Problem zaczyna się, gdy w sieci lokalnej jest np. 5 komputerów i każdy z nich chce się połączyć z zdalną bramą VPN.
    Gdy tylko jeden komputer się łączy LAN => VPN jest OK.

    Gdy kilka próbuje niestety wyskakuje błąd w postaci braku zmiany IP widzianego z internetu.
    Dla ułatwienia na początek stosuję dla wszystkich stacji klienckich tę samą konfigurację.
    Pytanie ... co w konfiguracji jest nie tak, albo czego brakuje?

    Bazuję tu na oprogramowaniu OpenVPN zarówno na bramie VPN jak i wszystkich urządzeniach klienckich.

     

    Konfig bramy VPN

    dev tun2
tls-server
dh easy-rsa/keys/dh2048.pem
ca easy-rsa/keys/ca.crt
cert easy-rsa/keys/server.crt
key easy-rsa/keys/server.key
server 10.0.0.0 255.255.255.0
comp-lzo
script-security 2
route-up "/sbin/ifconfig tun2 up"
port 443
proto tcp-server
keepalive 30 120
push "redirect-gateway def1 bypas-dhcp"
push "dhcp-option DNS 8.8.8.8"

    Konfig klienta:

    remote <ADRES BRAMY> 443 tcp-client
persist-key
tls-client
ns-cert-type server
pull
ca ca.crt
redirect-gateway def1
dev tun
persist-tun
cert MacOS.crt
comp-lzo adaptive
key  MacOS.key
dhcp-option DNS 8.8.8.8
resolv-retry infinite
client
proto tcp
nobind
ns-cert-type server
verb 3

    Co ciekawe problem występuje (najprawdopodobniej) tylko gdy łączą się komputery z systemem Windows.
    Macie jakieś sugestie?

     

     

×