Блог Александра Руденко aka ras. » Администрирование

Ограничение доступа при помощи mod_auth_mysql

ras — Fri, 09 Jul 2010 12:06:01 +0000

Если нужно ограничить доступ к определённому каталогу web-сайта по логину и паролю, причём эти данные нужно хранить в базе данных MySQL, можно использовать модуль web-сервера Apache mod_auth_mysql. В этой статье я покажу простой пример настройки данного модуля, но, я решил немного улучшить защиту, добавив дополнительно к логину и паролю ограничение доступа по IP-адресу, диапазону IP-адресов, а также будет осуществляться проверка на активность/заблокированность пользователя.

Создание таблицы пользователей, добавление функции:

Для начала нужно создать базу данных ползователей (или использовать существующую, в примере используется база test). Я не буду подробно описывать работу с базой данных MySQL, думаю, те кому нужен данный модуль авторизации – способны изучить документацию к базе данных. Итак, создаём таблицу с пользователями, ввести в консоли базы MySQL (mysql test):

CREATE TABLE accounts (
login VARCHAR(16) NOT NULL,
password VARCHAR(64) NOT NULL,
active TINYINT(1) NOT NULL DEFAULT 1,
ip_range TEXT,
PRIMARY KEY (login)
);

Пароль будет храниться в зашифрованном виде. Я использовал функцию unix_md5_crypt() из модуля Crypt::PasswdMD5, язык программирования Perl. Структура таблицы простая: имя пользователя, пароль в зашифрованном виде, признак активности (1 или 0), неактивных аторизировать не будем, и ограничение по IP. Если поле ip_range будет пустым, то проверка IP-адреса не будет осуществляться. Ограничения по IP записываются в следующем формате: если ограничений несколько, они разделяются запятой (без пробелов), если нужно ограничить доступ с диапазона IP-адресов, то диапазон записывается через чёрточку (без пробелов). Пример: “192.168.0.1,10.0.0.0-10.255.255.255,172.16.0.1″. Проверить валидность данного поля можно следующим регулярным выражением:

^((\d|[1-9]\d|1\d\d|2[0-4]\d|25[0-5])\.){3}(\d|[1-9]\d|1\d\d|2[0-4]\d|25[0-5])(-((\d|[1-9]\d|1\d\d|2[0-4]\d|25[0-5])\.){3}(\d|[1-9]\d|1\d\d|2[0-4]\d|25[0-5]))?(,((\d|[1-9]\d|1\d\d|2[0-4]\d|25[0-5])\.){3}(\d|[1-9]\d|1\d\d|2[0-4]\d|25[0-5])(-((\d|[1-9]\d|1\d\d|2[0-4]\d|25[0-5])\.){3}(\d|[1-9]\d|1\d\d|2[0-4]\d|25[0-5]))?)*$

Ограничения по IP осуществляются написанной мной хранимой функцией MySQL, ввести с консоли MySQL (mysql test):

DROP FUNCTION IF EXISTS ip_in_range;
DELIMITER //
CREATE FUNCTION ip_in_range (test_ip VARCHAR(15), ip_range TEXT)
RETURNS TINYINT(1)
BEGIN
DECLARE temp TEXT;
DECLARE coma INT(10);
DECLARE ip BIGINT(10);
IF ip_range IS NULL OR ip_range = '' THEN
RETURN 1;
END IF;
SET ip = INET_ATON(test_ip);
REPEAT
SET coma = LOCATE(',', ip_range);
IF coma = 0 THEN
SET temp = ip_range;
SET ip_range = '';
ELSE
SET temp = LEFT(ip_range, coma - 1);
SET ip_range = RIGHT(ip_range, LENGTH(ip_range) - coma);
END IF;
SET coma = LOCATE('-', temp);
IF coma = 0 THEN
IF ip = INET_ATON(temp) THEN
RETURN 1;
END IF;
ELSE
IF ip >= INET_ATON(LEFT(temp, coma - 1)) AND ip <= INET_ATON(RIGHT(temp, LENGTH(temp) - coma)) THEN
RETURN 1;
END IF;
END IF;
UNTIL ip_range = '' END REPEAT;
RETURN 0;
END;
//
DELIMITER ;

Настройка web-сервера:

Настраиваем httpd.conf, нужно добавить модуль и ограничить доступ к каталогу (в случае с тестируемой системой, Fedora 13, был установлен пакет mod_auth_mysql, и модуль автоматически прописался файлом конфигурации /etc/httpd/conf.d/auth_mysql.conf):

LoadModule mysql_auth_module modules/mod_auth_mysql.so

Options FollowSymLinks
AllowOverride All
AuthBasicAuthoritative Off
AuthName "Authentication"
AuthType Basic
AuthMySQLEnable On
AuthMySQLHost localhost
AuthMySQLUser user
AuthMySQLPassword password
AuthMySQLDB test
AuthMySQLUserTable accounts
AuthMySQlNameField login
AuthMySQLPasswordField password
AuthMySQLUserCondition "active AND ip_in_range('%a', ip_range)"
AuthMySQLPwEncryption crypt
AuthUserFile /dev/null
Require valid-user

Тут нужно скорректировать базу данных, если нужно (используется test), ну и ввести нужные имя пользователя с паролем (используется user и password).

Заключение:

Как видно из статьи, всё просто настраивается, даёт возможность гибко ограничивать доступ пользователей, изменяя данные в базе данных. Плюс мы получаем ограничение доступа блокированных пользователей, а так же получаем защиту от подбора паролей, открывая доступ только с определённых хостов.

Резервирование жёсткого диска при помощи dd поверх ssh

ras — Fri, 02 Jul 2010 07:33:03 +0000

Появилась задача – снять образ с диска ноутбука, залить его на другой компьютер, чтобы переставить систему на ноутбуке, провести определённые тесты, а затем полностью восстановить жёсткий диск ноутбука в состояние до тестов.

Для проведения данной операции, была произведена загрузка на ноутбуке с CD-привода в Fedora Linux 13 rescue, настроена сеть, диски не монтировались. Компьютер, на который будет сбрасываться образ диска ноутбука находится в одной сети с ноутбуком, на нём установлен и настроен демон sshd.

Резервирование данных:

dd if=/dev/sda | ssh ras@backup-host "dd of=book/sda"

Восстановление данных:

ssh ras@backup-host "dd if=book/sda" | dd of=/dev/sda

Здесь backup-host – компьютер, на который сохраняется образ, ras – имя пользователя, book/sda – каталог и название файла бэкапа, /dev/sda – устройство-жёсткий диск ноутбука. В моей ситуации был не очень быстрый ноутбук, а компьютер, на который осуществлялось резервирование, обладал объёмным жёстким диском. При резервировании можно применять сжатие, тогда получим меньший образ, меньше трафика передачи по сети, если диск или сеть будут узким местом, но возрастёт нагрузка на процессор резервируемой системы, соответственно увеличится время резервирования. Вариации на эту тему:

dd if=/dev/sda | gzip | ssh ras@backup-host "dd of=book/sda.gz"
ssh ras@backup-host "dd if=book/sda.gz" | gzip -d | dd of=/dev/sda

dd if=/dev/sda | bzip2 | ssh ras@backup-host "dd of=book/sda.bz2"
ssh ras@backup-host "dd if=book/sda.bz2" | bzip2 -d | dd of=/dev/sda

Перевод дисков после инсталляции Proxmox в RAID1 (mirror)

ras — Sat, 05 Jun 2010 12:25:40 +0000

В повседневной работе появилась привычка резервировать данные. Обязательно RAID 1 (зеркало), резервное копирование. После установки Proxmox VE в дефолтном режиме, но с двумя дисками – было обнаружено что система разметила и использует только один диск, что неприемлемо. Ниже приведёно краткое руководство по переводу разделов диска в режим RAID 1. Итак, приступим (данное руководство делалось для версии 1.5 со стандартным ядром).

Установить Proxmox только на один первый диск (/dev/sda).

Доустановить необходимые пакеты для работы с RAID, создания рамдиска с драйверами:

aptitude install mdadm initramfs-tools

Загрузить модуль raid1:

modprobe raid1

Записать необходимые модули в /etc/modprobe.conf, пересоздать initrd:

echo alias md-personality-3 raid1 >> /etc/modprobe.conf
mkinitramfs -o /boot/initrd.img-`uname -r`-raid1 -r /dev/mapper/pve-root

Отредактировать GRUB, чтобы загрузка производилась с новым initrd:

title Proxmox Virtual Environment, kernel 2.6.18-2-pve on RAID1
root (hd0,0)
kernel /vmlinuz-2.6.18-2-pve root=/dev/mapper/pve-root ro.
initrd /initrd.img-2.6.18-2-pve-raid1

Разметить второй диск (/dev/sdb) примерно так:

Device Boot Start End Blocks Id System
/dev/sdb1 * 1 63 506016 fd Linux raid autodetect
/dev/sdb2 64 60801 487877985 fd Linux raid autodetect

Т. е. первый раздел под /boot – 512 Mb, остальное под второй раздел для LVM (данный раздел не должен быть меньше используемого на первом диске).

Далее создаются RAID-разделы с использованием пока только второго диска:

mdadm --create /dev/md0 --level=1 --raid-devices=2 missing /dev/sdb1
mdadm --create /dev/md1 --level=1 --raid-devices=2 missing /dev/sdb2
mdadm --detail --scan >> /etc/mdadm/mdadm.conf

Теперь нужно создать LVM-раздел на втором диске, добавить его в группу pve, переместить данные с LVM-раздела первого диска, на RAID-LVM-раздел второго диска, убрать из LVM первый диск:

pvcreate /dev/md1
vgextend pve /dev/md1
pvmove /dev/sda2 /dev/md1
vgreduce pve /dev/sda2

Теперь нужно подготовить RAID-раздел второго диска, скопировать на него /boot:

mkfs.ext3 /dev/md0
mkdir /mnt/md0
mount /dev/md0 /mnt/md0
cp -ax /boot/* /mnt/md0
umount /mnt/md0
rmdir /mnt/md0

Исправить /etc/fstab, поменять запись о /boot так, чтобы она указывала на RAID-раздел:

/dev/md0 /boot ext3 defaults 0 1

Можно перемонтировать /boot:

umount /boot
mount /boot

Переразметить первый диск в соответствии со вторым (у меня так почему-то не получилось, переразмечал вручную):

sfdsk -d /dev/sdb | sfdisk /dev/sda

Теперь можно добавлять в RAID-массивы разделы первого диска:

mdadm --add /dev/md0 /dev/sda1
mdadm --add /dev/md1 /dev/sda2

Нужно подождать пока RAID синхронизируется, контролировать процесс можно при помощи такой команды:

watch -n 1 "cat /proc/mdstat"

Теперь нужно переинсталировать загрузчик (GRUB) на обоих дисках:

grub
> find /grub/stage1
find /grub/stage1
(hd0,0)
(hd1,0)
> root (hd0,0)
> setup (hd0)
> root (hd1,0)
> setup (hd1)
> quit

Или такой вариант (не проверял лично):

grub-install /dev/sda
grub-install /dev/sdb

Всё, система работает на RAID1 (зеркале).

Ссылки:

pve.proxmox.com/wiki/Downloads – сайт загрузки Proxmox

Перевод серверов с KOI8-R на UTF-8

ras — Thu, 18 Jun 2009 08:11:33 +0000

Лучше поздно чем никогда, решил перевести пару серверов на UTF-8, в связи с чем возникла проблема перекодировки русских имён файлов и текстовых файлов. Решил поделиться скриптами. Итак, для перекодировки имён файлов с KOI8-R в UTF-8, вот такой скрипт, который перекодирует файлы в текущем каталоге.

convert_filenames_from_koi8-r_to_utf-8.sh:

#!/bin/bash

ls -1 | while read name ; do
newname=`echo $name | iconv -f KOI8-R -t UTF-8`
if [ "$name" != "$newname" ] ; then
echo "$name => $newname"
mv -f "$name" "$newname"
fi
done

Для перекодировки файлов решено было расширить меню Midnight Commander-а (mc) соответствующим пунктом. Т. е. выбираются файлы, которые нужно перекодировать, нажимается кнопка F2, выбирается последний пункт. Для внесения изменений в меню Midnight Commander-а, необходимо добавить в конец файла /etc/mc/mc.menu следующие строки:

= t r
+ ! t t
i Convert from KOI8-R to UTF-8 current file
cp %f %f.KOI8-R
iconv -f KOI8-R -t UTF-8 < %f.KOI8-R > %f
rm -f %f.KOI8-R

+ t t
I Convert from KOI8-R to UTF-8 tagged files
for i in %t
do
cp $i $i.KOI8-R
iconv -f KOI8-R -t UTF-8 < $i.KOI8-R > $i
rm -f $i.KOI8-R
done