ServerAdmin.ru
28.8K subscribers
293 photos
34 videos
13 files
2.62K links
Авторская информация о системном администрировании.

Информация о рекламе: @srv_admin_reklama_bot
Автор: @zeroxzed

Второй канал: @srv_admin_live
Сайт: serveradmin.ru
Download Telegram
Наконец-то написал и выверил большую статью про настройку почтового сервера на базе Centos 8 и postfix + dovecot. Прошлая версия для Centos 7 собрала рекордное количество комментариев - 500+. Тема актуальная и сложная. Хороших руководств почти нет. Надеюсь у меня получилось разложить все по полочкам и эта статья окажется такой же полезной.
https://serveradmin.ru/nastroyka-postfix-dovecot-centos-8/

#статья #centos #postfix #mailserver
Небольшая инструкция по обновлению php 7.2 до 7.4 на Centos 8. Вот и случилось то, к чему мы все так привыкли в Centos :) Начинаем обновлять старый софт из сторонних репозиториев, так как в базовых лежит устаревшее. Если кому-то это не нравится, лучше сразу использовать Ubuntu. Но лично мне Centos нравится больше, поэтому я прод стараюсь держать на нем.
https://serveradmin.ru/obnovlenie-php-7-2-do-php-7-4-v-centos-8/
Вы за Ubuntu или Centos?

#статья #webserver #centos
Буквально только что выстрелил себе в ногу. Настраивал iptables на одном из серверов. Надо было просто базовый набор правил сделать с заделом на будущее, если вдруг что-то понадобится ограничить. Я обычно за основу беру свой же список правил из статьи https://serveradmin.ru/centos-nastroyka-servera/#Nastraivaem_firewall

Просто копирую набор правил в bash скрипт и запускаю. Пользуюсь статьей уже несколько лет, поэтому точно знаю, что проблем с правилами быть не должно. Достаточно только заменить ip адрес и имя интерфейса. Но в этот раз что-то пошло не так. Применил правила, получил кучу ошибок синтаксиса iptables и меня отрубило от сервера.

Я то знаю заветное правило - настройка firewall без доступа к консоли - к дальней дороге. Я подключился по vnc к серверу и посмотрел, в чем проблема. Оказывается, после какого-то обновления движка сайта, он двойные тире -- стал заменять на одинарные и пробел. Соответственно, обычный копипаст правил с сайта приводит к тому, что правила не работают так, как задумывалось. Успевают примениться начальные правила блокировки, а до разрешений дело не доходит.

К чему я все это написал? Чтобы лишний раз напомнить, не надо лезть в настройки фаервола если нет доступа напрямую к консоли сервера, чтобы откатить настройки в случае проблем. У меня для минимизации вероятности опечаток и ошибок есть рецепт ansible для настройки iptables, но в данном случае стало лень его запускать, так как нужна была типовая пустая настройка, которую копипастом было сделать банально быстрее. В итоге получилось дольше :)

Кстати, предвидя подобные проблемы, в своей статье по настройке iptables я все правила сделал в виде картинок, а в конце привел текстовый файл с полным набором показанных правил. За такую заботу о людях получил немного негатива в комментах. Не все поняли такую заботу.

#статья #centos #iptables
Небольшая заметка на тему того, как получить бесплатный доступ к материалам сайта access.redhat.com. Частенько попадаю на него, когда гуглю информацию по Centos. Раньше просто пропускал эти статьи, но в один прекрасный момент мне это надоело и я решил разобраться, как получить туда доступ. Оказывается, нет никаких проблем. Можно получить бесплатную подписку. В статье рассказываю, как это сделать.

https://serveradmin.ru/kak-oformit-redhat-developer-subscription-dlya-dostupa-k-access-redhat-com/

#статья #centos
Обновил на днях старую статью про настройку ftp сервера. Она была написана года 4 назад и уже тогда я не пользовался ftp протоколом и не рекомендовал его никому. Есть же sftp, никакой особой настройки не надо, если есть ssh. Но тем не менее, иногда встречаю просьбы настроить ftp, либо от вебмастеров просьбу предоставить доступ по ftp. В общем, статью актуализировал и добавил туда настройку ftps, то есть ftp с tls. Так что можно пользоваться, если кому-то реально нужен ftp.
https://serveradmin.ru/ustanovka-i-nastroyka-ftp-servera-na-centos-7/
Используете ftp?

#статья #centos #ftp
​​Мне регулярно пишут и спрашивают на тему того, каким дистрибутивом linux для серверов лучше пользоваться и что ставлю я сам. В свете истории с Centos, такие вопросы стали появляться почти каждый день. Отвечаю разом всем, кто ко мне с таким вопросом обращался. Многих я проигнорировал, потому что нет возможности отвечать всем, кто мне пишет.

Сам я в настоящее время везде устанавливаю Centos 8. К концу 2021 года, я думаю, станет более ли менее ясно, на какой форк RHEL имеет смысл переключиться. Процесс этот простой и быстрый. Все текущие форки предоставляют такую возможность. Надо будет просто подключить их репу и поставить какой-нибудь пакет, либо запустить bash скрипт. И все, вы превратите свой Centos 8 в Oracle Linix 8 или что-то другое. Я не вижу в этом проблемы, поэтому не суечусь.

Мне видится неплохим вариантом использовать 16 бесплатных лицензий, которые предоставляет RedHat по Developer подписке. Если бы я был админом в небольшой компании, я бы наверное поставил RHEL и вообще не заморачивался. Но так как у меня много всевозможных проектов и не везде получится использовать RHEL или 16-ти лицензий будет недостаточно, я его скорее всего не буду ставить, чтобы сохранить единообразие дистрибутивов во всех проектах, что я администрирую. Так что я буду ждать и выбирать какой-то форк.

Много вопросов, почему не Ubuntu / Debian. Убунта мне не нравится, потому что там постоянно идут изменения. То одно поменяют, то другое, то третье. Сейчас опять выкатывают новый установщик. Мне не нравится эта вечная суета с обновлениями и переучиванием, когда я не получаю практической пользы от предложенных изменений. Мне, к примеру, нравится, что в Centos с 5-й версии плюс, минус один и тот же установщик. Зачем его менять?

В Debian изменений меньше, но мне не нравится жизненный цикл релиза в 5 лет. 5 лет вроде бы много, но это если ты ставишь систему сразу после ее релиза. А если прошло почти 2 года, нового релиза еще нет. Ты ставишь существующий и получаешь время поддержки чуть более трех лет. Это мало. Да, можно обновлять релизы, но лично я в проде этого никогда не делаю. Я считаю, что обновление релиза потенциально небезопасная процедура, так что подходить к ней надо со всевозможными подстраховками, тестированием и т.д. То есть тратить на это время.

Таким образом, лично мне оптимальна система типа Centos с жизненным циклом релиза в 10 лет. У меня так получается, что я всегда работаю в долгую. Есть сервера, которыми я управляю уже более 5-ти лет. Занимался обновлением Centos 5, 6. Сейчас еще есть сервера на 6-й версии, которые я ставил. Им предстоит обновление. Мне чем дольше актуален релиз, тем лучше.

А вы как на все это смотрите? На чем остановили свой выбор в качестве linux сервера для прода?

#centos #debian #ubuntu
​​Новости о выходе очередного бесплатного клона RHEL льются как из рога изобилия после прекращения развития Centos в том виде, как он был задуман изначально. Зоопарк операционных систем Linux множится с удвоенной скоростью и это печально. От этого проигрывают как пользователи, так и разработчики софта, для которых усложняется поддержка пакетов.

На сегодняшний день мне известны следующие форки RHEL:
🔹 Oracle Linux - https://www.oracle.com/ru/linux/
🔹 Rocky Linux - https://rockylinux.org
🔹 VzLinux - https://vzlinux.org
🔹 AlmaLinux - https://almalinux.org
🔹 Springdale Linux - https://puias.math.ias.edu

Кого забыл? Теперь не понятно, с какими заголовками писать новые статьи по этой теме. А так же какой дистрибутив ставить в строку поиска, когда гуглить что-то будешь. Пока можно по старинке centos использовать, но со временем от этого бренда все равно придется отходить, так как различия будут нарастать. Centos станет другой системой.

А самое главное, что системы то идентичные получаются. И не понятно, кого выбирать. Главное тут максимально долгий срок жизни дистрибутива, чтобы в какой-то момент не оказалось, что поддерживать его надоело. В этом плане привлекательнее всего смотрится Oracle, но нет гарантий, что они не решат каким-то образом монетизировать и ограничить доступ к своему дистру и брать за него деньги в том или ином виде. Какую-нибудь загрузку только после регистрации сделают или репы закрытые.

Пока остается только ждать или переходить на Debian / Ubuntu. 

#centos
​​Разработчики VzLinux, одного из форков RHEL, который может заменить Centos, активно форсят свою систему. Мне попадается реклама этой системы в рекламной сети гугла - Adsense (реклама может быть полезной). Из ссылки в рекламе я узнал некоторые полезные подробности этой системы.

На сайте https://vzlinux.org/ представлен roadmap проекта, в котором заявлено, что в третьем квартале 2021 года (до конца сентября) появится инструмент по переходу с Centos 7 на VzLinux 8. Это достаточно полезный и актуальный функционал. Насколько я знаю, сейчас нет простого и надежного способа обновить Centos 7 на 8. Для RHEL 7 есть такая утилита, но в бесплатный доступ она не попала.

Я видел в интернете статьи по ручному обновлению с 7 на 8-ю версию. Там сначала ядро переставляют, потом меняют репы и обновляют пакеты. Все эти рецепты костыльные и нестабильные. Прод по этим руководствам я бы обновлять не стал. Посмотрим, что удастся сделать команде VzLinux. Если получится рабочий инструмент, то он, по идее, без проблем разойдётся и по остальным форкам. У RockyLinux подобного функционала пока тоже нет.

#centos
​​Помните, я уже писал о проблеме Centos 7 и сертификатов Let's Encrypt? Не буду сильно повторяться, так как все подробности по ссылке. Кратко скажу, что из-за устаревшей версии Openssl, в Centos 7 не будет поддержки нового корневого сертификата, а старый протухает 30 сентября.

Вариантов решения этой проблемы несколько:

1️⃣ Обновить версию openssl на 1.1.1 или выше. Теоретически это может привести к каким-то проблемам с зависимостями, так как этой версии нет в базовых репах. Ставить придётся вручную.

2️⃣ Заблокировать протухающий сертификат. Сделать это можно так:
# trust dump --filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem
# update-ca-trust extract

Перед этим на всякий случай сохраните текущую цепочку CA сертификатов:
# cp -i /etc/pki/tls/certs/ca-bundle.crt ~/ca-bundle.crt-backup

3️⃣ Выпускать новые сертификаты с использованием другой цепочки CA:
# certbot renew --preferred-chain "ISRG Root X1"
Данная возможность появилась в версии certbot 1.6.0.

Подробности всей этой истории по ссылке:
https://blog.devgenius.io/rhel-centos-7-fix-for-lets-encrypt-change-8af2de587fe4
Я там новость подсмотрел.

#centos
​​Опять возвращаюсь к теме протухшего корневого сертификата Let's Encrypt и Centos 7. Писал об этом на днях. Делать самим ничего не надо. Один из способов, который я предложил - удалить протухший сертификат вручную. Делать этого теперь не надо, так как вчера вышло обновление пакета ca-certificates для Centos 7. Там этот сертификат уже удалён.

Лучше поздно, чем никогда. Но еще лучше, если бы они пораньше это обновление выпустили. Я уже вручную удалил, где вспомнил, что тема актуальна. А это практически все сервера со стандартным Bitrixenv, которое до сих пор на базе Centos 7 работает. И поддержка Let's Encrypt там встроена и активно используется.

#centos #webserver
​​У меня назрела глобальная задача по обновлению серверов Zabbix, установленных на Centos 7. Напомню, что начиная с версии 5.4, Zabbix Server больше не поддерживает эту систему. То есть простого способа обновления через установку из пакетов больше нет.

Я решил не откладывать задачу в долгий ящик и подготовиться к Zabbix 6.0 заранее. Для этого надо либо обновить, либо переехать с Centos 7. Я хотел пойти по следующему пути: Centos 7 -> Oracle Linux 7 -> Oracle Linux 8. Оба перехода поддерживаются официально. Вот эти способы:

Centos 7 -> Oracle Linux 7
Oracle Linux 7 -> Oracle Linux 8 (с помощью Leapp)

С переходом на Oracle Linux 7 проблем не возникло. Всё прошло быстро и штатно. А вот с обновлением на 8-ю версию возникли проблемы, которые лично я решить не смог.

Всё делал по документации. Прочитал очень внимательно, во всём разобрался, всё проверил. Но процесс не пошёл. Предварительная проверка показывает, что всё ок, обновление возможно. Но когда запускаю его, в середине все останавливается с ошибкой в зависимостях пакетов и модулей python. Причем пакетов несколько, как и модулей. То есть ошибка не единичная.

Я много гуглил, разбирался с проблемой, но так и не победил. Понял, что нет смысла тратить время. Быстрее будет мигрировать. Думаю, что предприму ещё одну попытку с другим сервером. Если не получится, то оставлю эту идею.

У кого-нибудь получалось обновить Centos 7 на любой форк 8-й версии? У меня очень много серверов на Centos 7 и рано или поздно их придётся обновлять. Не хочется это делать вручную переносом. С серверами Zabbix вопрос уже назрел прямо сейчас.

#centos
​​Последние посты на тему прекращения поддержки Centos 8 и перехода на какую-то другую систему позволили мне окончательно убедиться в том, какую систему буду использовать в будущем. Я увидел, что большинство людей используют deb дистрибутивы - Debian и Ubuntu.

В итоге решил, что старые системы с Centos 8 переведу на Oracle Linux 8, но все новые системы отныне будут Debian. Соответственно, все статьи на сайте теперь будут посвящены только Debian. Все примеры в заметках будут тоже на основе Debian, где-то Ubuntu. С rpm-based дистрибутивами буду потихоньку прощаться. Зоопарк дистрибутивов делает неудобным их использование.

Мой путь в Unix получился таким: Freebsd -> Debian -> Centos -> Debian. К истокам не вернулся, к сожалению. С удовольствием бы пользовался Freebsd, но в наше время это мало реализуемо на практике.

Состояние неопределённости прекратилось, в том числе благодаря вам и вашим комментариям. Всем спасибо, всем Debian 😀

#debian #centos
​​Для тех, кто ещё не сконвертировал все свои Centos 8 в какую-то другую систему, небольшая инструкция. Я ещё в декабре всё основное перевёл, что так или иначе контактирует с внешним миром. Теперь доделал потихоньку всё остальное (в основном свои системы - elk, gitlab и т.д.). Рекомендую всем это проделать, кто отложил на потом. Обновлений для Centos 8 больше нет. Более того, и репы основные закрыли.

Теперь перед конвертацией, нужно изменить репозитории. Идём в yum.repos.d и отключаем у всех базовых реп mirrorlist:
# cd /etc/yum.repos.d/
# sed -i 's/mirrorlist/#mirrorlist/g' /etc/yum.repos.d/CentOS-*

Вместо него раскомментируем baseurl и заменим mirror.centos.org на vault.centos.org:
# sed -i 's|#baseurl=http://mirror.centos.org|baseurl=http://vault.centos.org|g' /etc/yum.repos.d/CentOS-*

CentOS-Linux-BaseOS.repo должен выглядеть так:

[baseos]
name=CentOS Linux $releasever - BaseOS
baseurl=http://vault.centos.org/$contentdir/$releasever/BaseOS/$basearch/os/
gpgcheck=1
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial

Теперь можно конвертировать в Oracle Linux:
# git clone https://github.com/oracle/centos2ol.git
# cd centos2ol
# screen
# bash centos2ol.sh

Дальше пойдёт конвертация. У меня ни разу не было проблем с ней. А вот после возникали иногда, когда обновлял систему. Иногда появляются проблемы с зависимостями, приходится в каждом конкретном случае разбираться.

Как уже ранее говорил, я все Centos 8 перевёл на Oracle Linux, а все новые установки теперь делаю на Debian.

#centos
​​Ниже на картинке наглядное подтверждение того, что выбор дистрибутива Debian после прекращения поддержки Centos, был абсолютно верен. Всё вышло так, как я и предполагал. Появилось несколько форков, которые конкурируют друг с другом и создают разделение в сообществе.

Я выборочно взял трех провайдеров, где у меня есть учетные записи и виртуальные машины. И посмотрел, какие ОС они предлагают в своих шаблонах. Все три предложили разные замены Centos:
- Oracle Linux
- Rocky Linux
- AlmaLinux

Соответственно любой, кто выбрал что-то из этого списка у кого-то из хостеров получит проблему с тем, что шаблона с его системой там не будет. При этом тот же Debian или Ubuntu есть везде. Как и Freebsd. Пока непотопляемая тройка.

Так что мой выбор Debian как наиболее распространённой и консервативной системы с минимумом изменений пока оправдывает себя. Все новые установки теперь делаю только на ней, если выбор дистрибутива остаётся за мной.

Иногда использую Ubuntu, так как некоторый софт на ней быстрее и проще развернуть, но сам лично её не люблю за постоянные изменения от релиза к релизу, которые лично мне никаких удобств не добавляют, а только создают проблемы. Ну зачем постоянно менять установщик? На Debian он хуже что ли? Хотя не менялся уже лет 10.

Если нет трудно, напишите с пояснением на какой системе остановились в итоге и почему.

#debian #centos
​​Поддержка ОС Centos 7 будет продолжаться до 30 июля 2024 года. Ещё примерно 2 года. Но уже сейчас появляются инструменты по миграции с этой ОС на что-то другое. Как все уже знают, Cenots 8 прекратила своё существование, так что переезжать придётся на какой-то форк.

Причин, по которым уже сейчас стоит переехать на что-то более свежее на самом деле много. Простой пример - Zabbix Server больше не поддерживает эту систему. Основная причина - очень устаревшие пакеты.

Команда дистрибутива Almalinux разработала свой инструмент Elevate на базе leapp по миграции с Centos 7 на одну из альтернатив:
AlmaLinux OS 8
CentOS Stream 8
EuroLinux 8
Oracle Linux 8
Rocky Linux 8

Я попробовал его для миграции Centos 7 ⇨ Rocky Linux 8. На удивление всё прошло более ли менее гладко. Пару лет назад, когда пробовал с помощью leapp переехать с Centos 7 на 8, не получилось, бросил попытки.

А тут всё прошло хорошо за одним исключением. Сначала конвертация не хотела выполняться из-за того, что проверка находила драйверы ядра, которые больше не поддерживаются в 8-й версии. Стал разбираться, оказалось, что это драйвер floppy, который был загружен в текущей системе. Просто выгрузил его:
# modprobe -r floppy
и успешно провел конвертацию.

Так что инструмент рабочий, рекомендую присмотреться, у кого остались старые системы.

Информация об Elevate - https://almalinux.org/elevate
Инструкция - https://wiki.almalinux.org/elevate/ELevate-quickstart-guide.html
Видео процесса - https://www.youtube.com/watch?v=WJpa1E6jnok

#centos
​​Чтобы закрыть тему с Centos, ещё немного информации про конвертацию. У меня есть одна машина с Centos Stream 8. Оставил её, чтобы следить за развитием этой системы. Довольно много людей используют Stream. У хостеров вижу шаблоны для её установки. Так что хоронить, её судя по всему, не стоит.

В конце прошлого года был релиз CentOS Stream 9, в которой SElinux теперь отключается не SELINUX=disabled, а selinux=0 😁. Официальных инструментов для перехода с 8-й на 9-ю версию нет, но можно это сделать кустарными способами. Я один из таких проверил, он реально рабочий.

Идея там такая же, как и раньше использовалась в обычной Centos, для которой тоже не было готовых конвертеров для перехода с ветки на ветку. Подключается репозиторий от новой ветки, обновляются все пакеты, удаляется старое ядро. Я вот тут всё по шагам сделал и получил новую версию системы. Способ рабочий.

Кто-то постоянно пользуется Stream? По идее для какого-то веб сервера пойдёт, где побыстрее свежие пакеты нужны. Для этого Ubuntu хорошо подходит, но если нужен rpm дистрибутив, то Stream в самый раз.

#centos
Эх, ребята. Неправильная сегодня пятница. Не до шуток стало. Опять новость в виде исключения. Но уж очень информация знаковая, не могу её пропустить. К тому же случилось то, что я предсказывал ещё пару лет назад, когда RedHat прикрыли проект Centos. Теперь они потихонечку поддушивают все клоны RHEL.

Слышали уже новость? Приведу сразу ссылки с заголовками:
Furthering the evolution of CentOS Stream
CentOS Stream станет единственным публичным источником кода пакетов RHEL
А вот ответ на это от AlamLinux:
Impact of RHEL changes to AlmaLinux

Суть в том, что RedHat перестали выкладывать в публичный доступ исходники своего дистрибутива RHEL, которые все использовали для создания форков. Теперь они выкладывают исходники через свой клиентский портал. То есть уже как минимум нужно быть клиентом, чтобы иметь к ним доступ.

Не трудно догадаться, какой будет следующий шаг. Быть клиентом подразумевает договорные отношения. Следующим шагом будут какие-то изменения в договоре, которые не позволят использовать представленные исходники. Даже сейчас уже не понятно, а можно ли их брать и использовать для создания форка. AlmaLinux прямо об этом заявляет.

Для меня это не сюрприз. Прямо и несколько раз об этом говорил в своих публикациях и комментариях, когда прикрывали Centos. Я выбрал Debian, как основной дистрибутив для себя, именно из этих соображений. Нетрудно предугадать действия огромной коммерческой компании, практически монополиста на некоторых рынках.

Я уже давно все новые установки делаю на Debian, но у меня до сих пор имеются в управлении немало серверов под Centos 7 и Oracle Linux 8. Надо потихоньку готовить миграцию. Для меня уже очевидно, что с rpm дистрибутивов надо уходить. Debian практически единственный подходящий вариант. Ubuntu в этом плане я тоже не очень доверяю. Мне кажется, в какой-то момент они договорятся с IBM и что-то ещё придумают, чтобы заработать.

Интересно узнать, что будет в итоге с Oracle Linux. Думаю, они потянут самостоятельно поддерживать и развивать этот дистрибутив дальше своими силами. Это будет логично с их стороны, хотя и потребует дополнительных финансовых затрат.

Эх, жаль, такой удобный и надёжный дистрибутив загубили. Буду скучать по Centos, хоть и не так сильно, как по Freebsd. Может ещё вернёмся к нему.

#centos
​​У меня до сих пор осталось некоторое количество серверов под управлением Centos 7. Совсем уже отвык от этой системы. Последние пару лет все новые сервера только Debian. Соответственно, они уже почти везде. Где-то делал миграцию с Centos на Debian, но Centos всё равно остались. Всё работает, обновления приходят, поэтому нет смысла суетиться и делать лишнюю работу.

Поддержка Centos 7 закончится 30 июня 2024 года. В принципе, ещё есть время подготовиться. Но тут основной вопрос, на какую систему в итоге перейти. Когда конвертировал 8-ю версию, как раз пару лет назад, выбрал Oracle Linux и сконвертировал системы в него. Думаю, что ошибся, надо было на AlmaLinux переходить. В тот момент не был уверенности, что этот форк получит хорошее развитие. К примеру, анонсированный VzLinux от Virtuozzo в итоге быстро стух и больше не развивается. По факту AlmaLinux стал наиболее распространённым форком. А вы что думаете на этот счёт?

Если решите в итоге Centos 7 сконвертировать в AlmaLinux, то у них есть хорошая инструкция, как получить сразу актуальную 9-ю версию. Я проверил, получилось без проблем. Я скорее всего на этом варианте остановлюсь. Только обязательно тестируйте такое обновление, так как 9-я версия требует дополнительный набор процессорных команд, обозначаемых как x86-64-v2 (SSE4.2, SSSE3, POPCNT и возможно что-то ещё). Иногда может потребоваться дополнительная настройка виртуальных машин. Хорошо, если гипервизор свой. А если арендованный, то обновление не установится. Не пройдёт проверку требований к железу. В PVE достаточно тип процессора с kvm64 заменить на host. Это актуально для всех форков RHEL9.

#centos #almalinux