Регистрация событий ('nss':'nss') was terminated by own WATCHDOG. Consult corresponding службы SSSD
Диагностические шаги:
~]# journalctl -u sssd.service
hostname.domain.ru sssd[sssd][36481]: Child [105359] ('nss':'nss') was terminated by own WATCHDOG. Consult corresponding logs to figure out the reason.
hostname.domain.ru sssd[nss][111051]: Starting up
hostname.domain.ru sssd[nss][111152]: Starting up
hostname.domain.ru sssd[nss][111165]: Starting up
hostname.domain.ru sssd[sssd][36481]: Exiting the SSSD. Could not restart critical service [nss].
hostname.domain.ru sssd[ssh][36566]: Shutting down
hostname.domain.russsd[pam][36565]: Shutting down
hostname.domain.russsd[be[DOMAIN.RU]][36497]: Shutting down
hostname.domain.ru systemd[1]: sssd.service: main process exited, code=exited, status=1/FAILURE
hostname.domain.ru systemd[1]: Unit sssd.service entered failed state.
hostname.domain.ru systemd[1]: sssd.service failed.
Решение:
В конфигурационный файл /etc/sssd/sssd.conf для секци [domain/...] добавить timeout
[domain/DOMAIN.RU]
timeout = 20
По умолчанию значение timeout = 10
Диагностические шаги:
~]# journalctl -u sssd.service
hostname.domain.ru sssd[sssd][36481]: Child [105359] ('nss':'nss') was terminated by own WATCHDOG. Consult corresponding logs to figure out the reason.
hostname.domain.ru sssd[nss][111051]: Starting up
hostname.domain.ru sssd[nss][111152]: Starting up
hostname.domain.ru sssd[nss][111165]: Starting up
hostname.domain.ru sssd[sssd][36481]: Exiting the SSSD. Could not restart critical service [nss].
hostname.domain.ru sssd[ssh][36566]: Shutting down
hostname.domain.russsd[pam][36565]: Shutting down
hostname.domain.russsd[be[DOMAIN.RU]][36497]: Shutting down
hostname.domain.ru systemd[1]: sssd.service: main process exited, code=exited, status=1/FAILURE
hostname.domain.ru systemd[1]: Unit sssd.service entered failed state.
hostname.domain.ru systemd[1]: sssd.service failed.
Решение:
В конфигурационный файл /etc/sssd/sssd.conf для секци [domain/...] добавить timeout
[domain/DOMAIN.RU]
timeout = 20
По умолчанию значение timeout = 10
Повышение безопасности путем отключения шрифтов шифрования
Создание резервной копии конфигурационного файла sshd_config:
~]# cp /etc/ssh/sshd_config /etc/ssh/sshd_config_$(date +%Y%m%d)
Убедиться в отсутствии строки с ciphers:
~]# grep ciphers /etc/ssh/sshd_config
В случае отсутствия строки, выполните команду для исключения слабых шрифтов шифрования:
~]# sshd -T | grep ciphers | sed -e "s/\(3des-cbc\|aes128-cbc\|aes192-cbc\|aes256-cbc\|arcfour\|arcfour128\|arcfour256\|blowfish-cbc\|cast128-cbc\|rijndael-cbc@lysator.liu.se\)\,\?//g" >> /etc/ssh/sshd_config
Перезапустите службу sshd для применения настроек
~]# systemctl restart sshd
Для отключения RC4 и использовать защищенные шифры на SSH-сервере:
~]# ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
Вы можете проверить шифры, используемые в настоящее время вашим сервером
~]# shd -T | grep ciphers | perl -pe 's/,/\n/g' | sort -u
Для согласованиия SSH-клиенту только безопасные шифры с удаленными серверами. Добавьте в /etc/ssh/ssh_config
Host *
ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
Создание резервной копии конфигурационного файла sshd_config:
~]# cp /etc/ssh/sshd_config /etc/ssh/sshd_config_$(date +%Y%m%d)
Убедиться в отсутствии строки с ciphers:
~]# grep ciphers /etc/ssh/sshd_config
В случае отсутствия строки, выполните команду для исключения слабых шрифтов шифрования:
~]# sshd -T | grep ciphers | sed -e "s/\(3des-cbc\|aes128-cbc\|aes192-cbc\|aes256-cbc\|arcfour\|arcfour128\|arcfour256\|blowfish-cbc\|cast128-cbc\|rijndael-cbc@lysator.liu.se\)\,\?//g" >> /etc/ssh/sshd_config
Перезапустите службу sshd для применения настроек
~]# systemctl restart sshd
Для отключения RC4 и использовать защищенные шифры на SSH-сервере:
~]# ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
Вы можете проверить шифры, используемые в настоящее время вашим сервером
~]# shd -T | grep ciphers | perl -pe 's/,/\n/g' | sort -u
Для согласованиия SSH-клиенту только безопасные шифры с удаленными серверами. Добавьте в /etc/ssh/ssh_config
Host *
ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
Интеграция RHEL8 с несколькими Active Directory. Multidomain
https://github.com/NotesLinuxAdministrator/Multidomain.RHEL8.git
https://github.com/NotesLinuxAdministrator/Multidomain.RHEL8.git
GitHub
GitHub - NotesLinuxAdministrator/Multidomain.RHEL8: Интеграция RHEL8 с несколькими Active Directory. Multidomain
Интеграция RHEL8 с несколькими Active Directory. Multidomain - GitHub - NotesLinuxAdministrator/Multidomain.RHEL8: Интеграция RHEL8 с несколькими Active Directory. Multidomain
Управление пакетами. Как часто вы управляете ими?
Часть команд рекомендуемые для Вас в использовании:
Вывести список установленнях пакетов:
~]# rpm -qa
Вывести требуемый пакет:
~]# rpm -qa | grep {name_pack}
Это достаточно приметивные команды в использовании.
Если требуется вывести вендора пакета
~]# rpm -qa --queryformat="%{NAME}: %{VENDOR} %{INSTALLTIME:date}\n"
Чтобы получить список всех тегов, о которых знает ваша версия RPM, выполните команду
~]# rpm -querytags
Выведет такой список:
BUILDHOST
BUILDTIME
DESCRIPTION
EPOCH
INSTALLTIME
NAME
RELEASE
SIZE
SUMMARY
VERSION
Часть команд рекомендуемые для Вас в использовании:
Вывести список установленнях пакетов:
~]# rpm -qa
Вывести требуемый пакет:
~]# rpm -qa | grep {name_pack}
Это достаточно приметивные команды в использовании.
Если требуется вывести вендора пакета
~]# rpm -qa --queryformat="%{NAME}: %{VENDOR} %{INSTALLTIME:date}\n"
Чтобы получить список всех тегов, о которых знает ваша версия RPM, выполните команду
~]# rpm -querytags
Выведет такой список:
BUILDHOST
BUILDTIME
DESCRIPTION
EPOCH
INSTALLTIME
NAME
RELEASE
SIZE
SUMMARY
VERSION
Как установить Linux на M1 или M2 Mac OS
1. Скачайте с официального сайта https://www.vmware.com/products/fusion.html dmg пакет VMware Fusion 13. Выполните установку.
2. Скачайте с официального сайта вендора iso дистрибутив Linux с архитектурой ARM64 (aarch64). На пример: centos.org
3. Подготовительные работы:
VMware -> Create a custom virtual machine -> Red Hat Enterprise Linux 64-bit Arm (при использовании centos || rhel). Остальное выбираем по желаемым характеристикам.
Перейти в настройки ВМ ->CD/DVD->Выбрать ISO диск с архитектурой arm -> Установить галочку «подключить компакт-диск или DVD-диск»
Приступайте к установке ОС
1. Скачайте с официального сайта https://www.vmware.com/products/fusion.html dmg пакет VMware Fusion 13. Выполните установку.
2. Скачайте с официального сайта вендора iso дистрибутив Linux с архитектурой ARM64 (aarch64). На пример: centos.org
3. Подготовительные работы:
VMware -> Create a custom virtual machine -> Red Hat Enterprise Linux 64-bit Arm (при использовании centos || rhel). Остальное выбираем по желаемым характеристикам.
Перейти в настройки ВМ ->CD/DVD->Выбрать ISO диск с архитектурой arm -> Установить галочку «подключить компакт-диск или DVD-диск»
Приступайте к установке ОС
Vmware
Fusion and Workstation | VMware
VMware Workstation and VMware Fusion desktop hypervisors are the industry leaders in local virtualization. Learn how VMware’s local virtualization solutions provide an easier way to build, test and deliver any app for any device or cloud.
Копирование файлов
~]# cp dir/file1 /home/dir
Приведенная выше комманда - распространенный метод копирования файла.
А что, если у Вас каталог содержит 1000 файлов, а вам необходимо на пример скопровать только 300.
Внесите путь и наименование файлов в file.txt
Пример:
~]# cat file.txt
/home/dir/file1
/home/dir/file2
...
/home/dir/file300
И выполните:
~]# for i in `cat file.txt`; do cp $i /home/dir2; done
~]# cp dir/file1 /home/dir
Приведенная выше комманда - распространенный метод копирования файла.
А что, если у Вас каталог содержит 1000 файлов, а вам необходимо на пример скопровать только 300.
Внесите путь и наименование файлов в file.txt
Пример:
~]# cat file.txt
/home/dir/file1
/home/dir/file2
...
/home/dir/file300
И выполните:
~]# for i in `cat file.txt`; do cp $i /home/dir2; done
Как включить поддержку RC4 в RHEL?
На каждом хосте RHEL, где происходит аутентификация на контроллерах домена AD:
Используйте:
~]# update-crypto-policies --set DEFAULT:AD-SUPPORT
чтобы включить криптографическую подполитику AD-SUPPORT в дополнение к криптографической политике DEFAULT.
На каждом хосте RHEL, где происходит аутентификация на контроллерах домена AD:
Используйте:
~]# update-crypto-policies --set DEFAULT:AD-SUPPORT
чтобы включить криптографическую подполитику AD-SUPPORT в дополнение к криптографической политике DEFAULT.
Опрос: о чем больше описать?
Anonymous Poll
44%
Больше man к системным утилитам
11%
Доменная авторизациях/ошибки
33%
BASH
0%
alias Linu
0%
Поднимаем секурность ssh
11%
Создать пост для добавления своих ХОЧУ ЗНАТЬ
ext4 acl record (s) cannot be restored into xfs filesystem on linux
При регистрации этой ошибки, можно подумать о применении fsck файловой системы.
На самом деле, система Вас информирует о не возможности восстановления ACL EXT4 в файловую систему XFS.
ACL (Access Control List) - позволяет задавать права доступа к объектам на диске для пользователей и групп
Самым верным решением найти объекты имеющие ACL, возможно:
~]# getfacl -R -s -p /dir | sed -n 's/^# file: //p'
Если вы знаете место положение объекта, проверить назначение ACL можно:
~]# ls -l
rwx-rw----+ 1 root file.conf
Предположим, пользователю devops необходимо выдать права на изменение на запись в определённые файлы/каталоги, выполните:
~]# setfacl -dm "u: devops:rwx" /opt/project
При регистрации этой ошибки, можно подумать о применении fsck файловой системы.
На самом деле, система Вас информирует о не возможности восстановления ACL EXT4 в файловую систему XFS.
ACL (Access Control List) - позволяет задавать права доступа к объектам на диске для пользователей и групп
Самым верным решением найти объекты имеющие ACL, возможно:
~]# getfacl -R -s -p /dir | sed -n 's/^# file: //p'
Если вы знаете место положение объекта, проверить назначение ACL можно:
~]# ls -l
rwx-rw----+ 1 root file.conf
Предположим, пользователю devops необходимо выдать права на изменение на запись в определённые файлы/каталоги, выполните:
~]# setfacl -dm "u: devops:rwx" /opt/project