Messages posted by: shuichi_akai

bigname wrote:

Em chào mọi người.
Em mới làm công việc sysadmin được 1 thời gian ngắm, kinh nghiệm có rất ít.
Em đang gặp khó khăn với việc cấu hình cho pfsense.
Hệ thống của em như sau:
Pfsense có 2 interface:
-1WAN: 210.x.x.Y
-1LAN: 10.0.2.1
Server Centos 6.3 có 2 interface:
-1WAN: 210.x.x.Z
-1LAN: 10.0.2.243
-default gateway: 10.0.2.1
Từ ngoài internet em ping 210.x.x.Z thì ok.
Địa chỉ internet ping là: 118.x.x.x
Nhưng khi telnet vào 210.x.x.Z:3306 thì không được
(Connecting To 210.x.x.Y...Could not open connection to the host, on port 3306: Connect failed)

<snip>

Tại sao bên trên bảo telnet vào x.x.x.Z nhưng kết quả lại là x.x.x.Y ?

Tại sao server CentOS lại cần public IP nếu đã có pfSense rồi?

Hi, mình đang có một máy chủ HP RP2400 PA-RISC 9000/800 đang chạy HP-UX 11i v1 (B.11.11). Thực sự thì mình chưa có kiến thức về HP-UX nhưng đang cố gắng đọc cuốn HP-UX 11i System Administration Handbook and Toolkit. Nhưng hiện tại vẫn còn mơ hồ về hệ thống HP-UX.

Mục đích của mình là tận dụng server này để làm web server nội bộ hoặc chạy MySQL thay cho Oracle đã hết contract. Mình kiểm tra thì version các software có trong server đã quá cũ nên muốn update lên để chạy các software mới hơn.

Đầu tiên là LD library, version hiện tại là B.11.18, các software phiên bản mới thì đều yêu cầu update LD mới hơn. Vậy thì mình có thể update từng software cụ thể được không? Có thể tải các phiên bản mới ấy ở đâu?

Mình có email hỏi HP nhưng có vẻ hết contract nên không nhận được câu trả lời. Mong các bạn giúp đỡ. Thanks.

anhtuanvo wrote:

tmp hiện đang trống trơn

Xem lại permission của mysql hoặc là kiểm tra selinux.

Thử clear /tmp chưa?

Code:

/usr/libexec/mysqld: Can't create/write to file '/tmp/ibQRidFL' (Errcode: 28)
121014 10:14:38 InnoDB: Error: unable to create temporary file; errno: 28

Trường hợp này bạn nên cấu hình reverse proxy rồi mới chuyển hướng từ domain.vn về domain.com.

Cấu hình của bạn có thể gộp lại như này:

Code:

server {
listen xxx.xxx.xxx.xxx:443;
server_name abc.domain.vn abc.domain.com;
<snip>
}

Tất nhiên là rewrite rule bên dưới sẽ vô nghĩa.

P/S: Bạn tham khảo thêm về Nginx Pitfalls tại: http://wiki.nginx.org/Pitfalls

Code:

Name (192.168.1.10:root): ftpuser
331 Please specify the password.
Password:
530 Login incorrect.
Login failed.

Lỗi rõ ràng như thế này còn gì?

Bạn phải tạo password cho user: ftpuser thì mới đăng nhập được chứ.

Code:

#server {
listen 80;
<snip>
}

Lỗi cũng đúng thôi.

nginx được build như thế nào? Bạn quăng thử file config đầy đủ lên xem sao, chứ cấu hình server như vậy không có lý gì mà báo lỗi cả.

Thử bỏ từ "default" đi xem, listen mỗi một port 80 thì cần gì phải thêm vô.

Đầu tiên thì dùng ssh-key để tạo key pair (public và private key) cách làm có thể google hoặc xem tại http://rcsg-gsir.imsb-dsgi.nrc-cnrc.gc.ca/documents/internet/node31.html.

Tiếp theo thì chỉnh sửa file sshd_config:

Code:

PubkeyAuthentication yes
PasswordAuthentication no

Done.

.lht. wrote:

Nếu dùng Nginx làm Webserver rồi thì cần gì Nginx làm Reverse Proxy nữa ?

Reverse proxy có tác dụng để host nhiều site trên cùng server.

Để làm reverse proxy thì có rất nhiều phần mềm khác cũng có thể làm được, ngay cả Apache HTTPD, Cherokee, rồi Squid, Apache TrafficServer, etc ...

Reverse proxy có thể ngăn chặn một số kiểu attack, nhưng để chống đỡ DDoS thì một mình nó là không đủ.

Code:

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
4640 mysql 0 -15 767m 161m 4948 S 748.5 2.0 412:12.01 mysqld

Mình nghĩ bạn nên tìm hiểu từ source code ra vì sao mà MySQL tốn quá nhiều tài nguyên và chiếm CPU quá lâu như vậy?

Nếu bạn có daily backup job thì mình đề xuất sau khi backup DB xong nên stop và start lại MySQL để tránh việc CPU bị chiếm dụng quá lâu.

jerrykun wrote:

Cái này đã được thảo luận cách đây hơn 2 năm rồi. =]]. requests mà chạy thẳng vào apache là website đơ luôn.

/hvaonline/posts/list/29851.html

Bạn nhầm với Slowloris rồi.

Qualsys Security Labs researcher Sergey Shekyan has created a proof-of-concept tool that could be used to essentially shut down websites from a single computer with little fear of detection. The attack exploits the nature of the Internet's Transmission Control Protocol (TCP), forcing the target server to keep a network connection open by performing a "slow read" of the server's responses.

The Slow Read attack, which is now part of Shekyan's open-source slowhttptest tool, takes a different approach than previous "slow" attacks such as the infamous Slowloris—a tool most notably used in 2009 to attack Iranian government websites during the protests that followed the Iranian presidential election. Slowloris clogs up Web servers' network ports by making partial HTTP requests, continuing to send pieces of a page request at intervals to prevent the connection from being dropped by the Web server.

Slow Read, on the other hand, sends a full request to the server, but then holds up the server's response by reading it very slowly from the buffer. Using a known vulnerability in the TCP protocol, the attacker could use TCP's window size field, which controls the flow of data, to slow the transmission to a crawl. The server will keep polling the connection to see if the client—the attacker—is ready for more data, clogging up memory with unsent data. With enough simultaneous attacks like this, there would be no resources left on the server to connect to legitimate users.

Shekyan said in his post about the tool that this type of attack could be prevented by setting up rules in the Web server's configuration that refuse connections from clients with abnormally small data window settings, and limit the lifetime of an individual request.

Không nhất thiết phải phang nhau với tốc độ ánh sáng, thú vui bây giờ khá là nhã: gửi TCP header đàng hoàng nhưng TCP payload không chứa data khiến target server hết connnection để phục vụ.

References:
http://arst.ch/s1d
http://www.kb.cert.org/vuls/id/723308

Như mình đã nói rồi, nếu bạn muốn dùng thử Solaris-like trên hệ máy cũ thì nên dùng OpenIndiana 151a. OI không khác gì nhiều OpenSolaris cả.

Solaris 11 chỉ chạy trên nền 64bit, nên nếu cài S11 lên CPU chỉ hỗ trợ 32bit thì sẽ gặp thông báo lỗi như này.

Nếu bạn muốn dùng thử thì có thể tải về OpenIndiana 151a, là phân nhành của OpenSolaris sau khi bị Oracle khai tử.

Why so serious?

Nếu mà bắt bẻ ra ngô ra khoai thì phải goi là CPU Intel 80386 thế hệ thứ n mới chính xác. x86 nói chung là cách gọi các CPU (Intel, AMD, VIA) nói chung trên nền tảng x86 chứ không phải là SPARC hay PowerPC hay cái gì khác. AMD x86_64 là tập lệnh thêm vào sau này trong các CPU x86 để gia tăng không gian địa chỉ bộ nhớ lớn hơn. Nói vậy chắc bạn hiểu rồi chứ?

Xin lỗi vì hơi OT. smilie

Bây giờ nói x86 thì nên hiểu là đã bao gồm x86_64, có phải là thời Pentium 4 nữa đâu mà CPU không hỗ trợ 64bit rồi cãi nhau.

Làm việc với Oracle DB mà bảo chọn Windows Server thì có vẻ não hơi thiếu máu.

Trước tiên thì bạn nên kiểm tra cái lsphp5 trước đã, bạn cho phép tối đa bao nhiêu process, connection mà php được phép mở? Web bạn dùng source code gì?

Kiểm tra ở một thời điểm bất kỳ xem có bao nhiêu process đang chạy? (ps -ef)

MySQL có thể hơi tốn tài nguyên nhưng không hẳn là lý do đầu tiên.

Nghĩa là nginx (ở đây là reverse proxy) sẽ chèn thêm vào header giá trị $host tương ứng với server_name đã khai báo.

Dpm wrote:

Bạn thử đẩy cái
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
lên phía server hoặc http xem.

3 dòng đó chỉ tác dụng để logging thôi bạn ạ.

Trong reverse proxy mình cấu hình nhiều server với server_name khác nhau trong đó có proxy_pass tới từng máy tương ứng, mình copy một cấu hình thể hiện cho a.com mà thôi.

10.0.0.1 là ip của a.com còn reverse proxy có ip khác và server_name khác so với a.com smilie

Vâng, em cũng có thử rewrite để thêm dấu / vào như anh chỉ, đường link được thêm dấu / vào như mong muốn nhưng nó vẫn là dạng http://a.com:8001/folder/ nên vẫn không truy cập được. Em chỉ thắc mắc ở cái vụ a.com:8001, không biết vì lý do gì mà browser lại bị chuyển sang đường dẫn đó.

Để tìm hiểu kỹ hơn, em bật wirechark lên xem thì nhừng đường dẫn dạng http://a.com/folder/ thì http SYN, ACK sau đó GET bình thường ví dụ

Code:

219 8.851357 10.0.0.178 10.0.0.1 TCP 54 43678 > http [ACK] Seq=9163 Ack=7165 Win=64732 Len=0
222 9.265226 10.0.0.178 10.0.0.1 HTTP 603 GET /home/ HTTP/1.1

Còn khi mở đường dẫn dạng http://a.com/folder thì:

Code:

324 12.780183 10.0.0.178 10.0.0.1 TCP 66 43681 > vcom-tunnel [SYN] Seq=0 Win=65535 Len=0 MSS=1460 WS=2 SACK_PERM=1
326 12.784051 10.0.0.1 10.0.0.178 TCP 60 vcom-tunnel > 43681 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0

Như vậy là truy cập tới a.com/folder bị nhầm sang giao thức VCOM tunnel, em quên check well-known port mà cứ nghĩ là trong dãy port 8000 có thể sử dụng tuỳ ý.

Em đã đổi a.com listen sang port khác và có vẻ hoạt động bình thường rồi ạ.

Bình thường thì dùng server_name_in_wwwect off; là được, như trên file conf của mình có rồi đó, nhưng vẫn không tác dụng.

Không giống nhau đâu, nếu standalone nginx thì vấn đề 2 năm trước giải quyết xong rồi. Còn bây giờ thì khác.

Mình đang có vài website chạy các chức năng khác nhau trong nội bộ với các domain khác nhau (một số chỉ chạy web và một số chứa static files các loại). Mục đích chính của việc đưa nginx ra làm reverse thì các bạn cũng rõ là nginx đáp ứng số req lớn và nhanh, ngoài ra quan trọng hơn là cache control cho static contents (.js, .jpg, .gif, v.v ...)

Mô hình của mình là

Code:

+---------+
port 8001| |
+--------+ nginx 1 | a.com
| | |
| +---------+
+-----------------+ |p 8002 +---------+
port80| nginx 0 |---|--------| nginx 2 | b.com
INTERNET----------| (reverse proxy) | | +---------+
+-----------------+ |
+--------+---------+
port n | nginx n | n.com
+---------+

Cấu hình của mình như sau:
- Ở reverse proxy, dùng chỉ thị proxy_pass trong nginx để chuyển hướng đối với từng server phía sau.

Code:

server {
listen 80;
server_name a.com;
access_log on;
error_log on;
# proxy to Apache 2 and mod_python
location / {
proxy_pass  http://10.0.0.1:8001;
server_name_in_wwwect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_max_temp_file_size 0;
}
}

Cấu hình trên server a.com

Code:

server {
listen 8001;
server_name a.com;
server_name_in_wwwect off;
charset utf8;
access_log logs/host.access.log;
location / {
root /www;
index index.html index.htm index.php;
}

Sau đấy thì reverse proxy chuyển hướng chính xác tới từng web server phía sau nó, nhưng có vấn đề là nếu mở đường dẫn dạng http://a.com/folder/ thì bình thường còn nếu mở http://a.com/folder (không có dấu gạch ở cuối) thì sẽ bị báo lỗi không tìm thấy máy chủ vì browser được kết nối tới http://a.com:8001/folder

Như vậy vấn đề có thể là ở con reverse proxy, nhưng mình không hiểu tại sao nếu không có dấu gạch ở cuối thì người dùng lại bị chuyển sang a.com:8001 ??? Vì nếu browser tìm tới a.com:8001 thì sẽ không đi qua con reverse và bị từ chối.

Xin nhờ các bạn cho ý kiến để tìm lý do và khắc phục việc này.

Xin cảm ơn

Đơn giản là 1 con Sun UltraSPARC hỗ trợ tới 256 threads, khả năng xử lý cực kỳ cao nên dĩ nhiên phục vụ số lượng lớn người dùng, cung cấp đa dịch vụ trên cùng một server, ... chứ không đơn thuần là chỉ vì dùng Java.

Oracle Solaris (trước kia là OpenSolaris) đâu phải mục đích chính là "thử nghiệm". Oracle cho phép người dùng thử nghiệm Solaris với mục đích dùng thử miễn phí, nhưng nếu muốn mang Solaris lên Production Server thì phải mua license, nếu muốn nhận được hỗ trợ từ Oracle thì phải mua gói Support nếu không sử dụng phần cứng từ Oracle.

Đã nhắc đến Oracle thì đâu có gì là miễn phí, cũng không phải ngẫu nhiên mà Oracle họ close source OpenSolaris. So với S11 thì Oracle Linux mới chỉ đang ở giai đoạn dev chứ chưa hoàn thiện (thiếu ZFS filesystem, Dtrace, etc ...).