вторник, 30 августа 2022 г.

Очередной косяк убунты

 За что я ненавижу убунту...

Ubuntu 21.10 - это далеко не EoL.

apt update

E: The repository 'http://archive.ubuntu.com/ubuntu impish Release' does not have a Release file.

N: Updating from such a repository can't be done securely, and is therefore disabled by default.

N: See apt-secure(8) manpage for repository creation and user configuration details.

E: The repository 'http://archive.ubuntu.com/ubuntu impish-updates Release' does not have a Release file.

N: Updating from such a repository can't be done securely, and is therefore disabled by default.

N: See apt-secure(8) manpage for repository creation and user configuration details.

E: The repository 'http://archive.ubuntu.com/ubuntu impish-security Release' does not have a Release file.

N: Updating from such a repository can't be done securely, and is therefore disabled by default.

N: See apt-secure(8) manpage for repository creation and user configuration details.

E: The repository 'http://archive.ubuntu.com/ubuntu impish-backports Release' does not have a Release file.

N: Updating from such a repository can't be done securely, and is therefore disabled by default.

N: See apt-secure(8) manpage for repository creation and user configuration details.

Нужно править /etc/sources.list и менять там какую-то ботву. В не-еол продукте! В той же центоси такой маразм начиная с 5 версии приходилось делать ровно 0 раз. А тут года не прошло. Уроды криворукие.

понедельник, 29 августа 2022 г.

про серты LE

 Для большинства баян, но.. если стоит очень старая система и не принимает даже валидные LE серты

curl: (60) SSL certificate problem: certificate has expired

sudo apt install -y ca-certificates
sudo sed -i '/^mozilla\/DST_Root_CA_X3.crt$/ s/^/!/' /etc/ca-certificates.conf
sudo update-ca-certificates

https://stackoverflow.com/questions/69408776/how-to-force-older-debian-to-forget-about-dst-root-ca-x3-expiration-and-use-isrg

воскресенье, 28 августа 2022 г.

2 возможные проблемы с rsyslogd в debian

 Это конечно не всё, но что было недавно актуально для меня:

1) привыкли что rsyslog работает от syslog:adm и есть скрипты, которые хотят юзера rsyslog? Забудьте, в дебе в отличие от убунты оно работает от рута. Можно добавить руками юзера (useradd -r -s /usr/sbin/nologin -g adm syslog)

А можно поставить убунту версию, где эта проблема решена изначально

deb http://ppa.launchpad.net/adiscon/v8-stable/ubuntu bionic main

2) apparmor испортит жизнь, если нужны логи не в стандартном месте.

https://documentation.suse.com/sles/15-SP1/html/SLES-all/cha-apparmor-profiles.html

Можно отключить профиль в аппармор

apt install apparmor-utils

aa-disable usr.sbin.rsyslogd

Можно добавить нужные папки в /etc/apparmor.d/local/usr.sbin.rsyslogd

и перечитать профиль



вторник, 23 августа 2022 г.

Сделать csr по существующему сертификату

 

openssl x509 -x509toreq  -copy_extensions copyall -in $SITENAME.crt -signkey $SITENAME.key -out $SITENAME-new.csr 

Для старых версий

openssl x509 -x509toreq -in $SITENAME.crt -signkey $SITENAME.key -out $SITENAME-new.csr 

https://security.stackexchange.com/questions/104139/generate-csr-from-existing-certificate


среда, 17 августа 2022 г.

Монтирование тома с дисками в систему

 Допустим, есть KVM машина, у которой проблемы с запуском/доступом.

Если диски подключены через LVM то:

1) ОБЯЗАТЕЛЬНО - остановить машину (virsh destroy ...)

2) # kpartx -av /dev/VG1/kvm001_system

3) в /dev/mapper появятся диски типа /dev/mapper/kvm001_system1

можно просто примонтировать руками нужный подраздел 

mount /dev/mapper/kvm001_system1 /mnt

4) потом umount

5) # kpartx -dv /dev/VG1/kvm001_system

Машину можно стартовать.

Если пишем в файлы - технология будет похожа.

Нюанс есть у нас "лвм в лвм", тогда после kpartx -av делаем lvscan и vgchange -ay ...

А для отключения - наоборот, сначала vgchange -an ...; kpartx -dv ...; pvscan 


Можно извратиться, вычислить смещения и 

sudo mount -o loop,offset=1048576 centos6.img /mnt/centos6

Также есть guestmount