Squid proxy

Ubuntu 22.04 installation

1. Install qemu-quest-agent

apt-get install qemu-guest-agent

systemctl start qemu-guest-agentv

systemctl enable qemu-guest-agentv

systemctl status qemu-guest-agent.service

2. Install squid-openssl

apt install squid-openssl

2a. Generate SSL DB

/usr/lib/squid/security_file_certgen -c -s /var/lib/ssl_db -M 4MB

3. Generate CERTs

openssl req -new -newkey rsa:2048 -days 365 -nodes -x509 -keyout /etc/squid/ssl_cert/new/squidCAkey.pem -out /etc/squid/ssl_cert/new/squidCA.pem

Update CA crt

cp squidCA.pem /usr/local/share/ca-certificates/local-ca.crt

update-ca-certificates

4. Squid proxy configuratin - SSL BUMP

http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB tls-cert=/etc/squid/ssl_cert/new/squidCA.pem tls-key=/etc/squid/ssl_cert/new/squidCAkey.pem

sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/ssl_db -M 4MB

sslcrtd_children 5

ssl_bump server-first all

ssl_bump stare all

5. Squid proxy configuratin - CACHE_PEER

cache_peer XXX.XXX.XXX.XXX parent 3218 0 no-query no-digest login=<user>:<pass>

never_direct allow all

Comands

curl --proxy http://localhost:3128 https://www.bing.com/rp/xv0jcUoITNBEWhvJr907WdKfo9I.br.js

curl --proxy http://localhost:3128 ifconfig.me

openssl komande

Komande za generisanje zahteva i potpisivanje

1. Generisanje privatnog RSA ključa:

openssl genrsa -out nazivservera.key.pem 2048

2. Generisanje zahteva na osnovu privatnog ključa:

openssl req -new -config openssl.cnf -key nazivservera.key.pem -out nazivservera.csr

3. Potpisivanje certifikata:

openssl ca -config openssl.cnf -extensions server_cert -days 356 -in nazivservera.csr -out nazivservera.cer

------------------------------------------------------------------------------------

Komande za proveru certifikata, zahteva i ključa

Provera CSR zahteva

openssl req -text -noout -verify -in CSR.csr

Provera privatnog ključa

openssl rsa -in privateKey.key -check

Provera certifikata

openssl x509 -in certificate.crt -text -noout

Provera PKCS#12 (.pfx or .p12)

openssl pkcs12 -info -in keyStore.p12

---------------------------------------------------------------------------------

Kreiranje Root CA 

1. Generisasnje ROOT kljuca

openssl genrsa -aes256 -out private/ca.key.pem 4096

2. Generisanje ROOT sertifikata:

openssl req -new -x509 -days 10000 -sha256 -extensions v3_ca -config openssl.cnf -key private/ca.key.pem -out certs/ca.cert.pem

-----------------------------------------------------------------------------------

Obustava izdatih certifikata

Pregled izdatih certifikata:

cat newcerts/serial

Komanda za povlačenje certifikata:

openssl ca -config openssl.cnf -revoke /newcerts/1013.pem

------------------------------------------------------------------------------

Konvertovanje iz cer u crt

openssl x509 -inform PEM -in <filepath>/certificate.cer -out certificate.crt

------------------------------------------------------------------------------

Generisanje CSR zahteva i ključa jednom komandom

openssl req -new -sha256 -nodes -out nazivservera.csr -newkey rsa:2048 -keyout nazivservera.key -config <(

cat <<-EOF

[req]

default_bits = 2048

prompt = no

default_md = sha256

req_extensions = req_ext

distinguished_name = dn

[ dn ]

C=RS

ST=Serbia

L=Belgrade

O=Firma

emailAddress=email@domen.com

CN = nazivservera.com

[ req_ext ]

subjectAltName = @alt_names

[ alt_names ]

DNS.1 = nazivservera.com

DNS.2 = nazivservera.rs

EOF

)

----------------------------------------------------------------------

Brisanje DNS cache na vCenter serveru

Potrebno je restartovati:

systemctl restart dnsmasq

Brisanje VIBa sa vSphere hosta

Prikaži sve instalirane VIBs na hostu:

esxcli software vib list

Brisanje VIBa sa hosta:

esxcli software vib remove --vibname=ssacli 

Backup vCenter ne radi - Db health is UNHEALTHY

Opis problema:

Ne može da se uradi backup vCenter servera verzije: VC-7.0U3b. Javlja grešku:

Db health is UNHEALTHY, Backup Failed.Disable health check to take backup in current state.

Rešenje:

1. Ulogovati se preko SSH na vCenter kao root korisnik

2. Otkucati komandu shell za pokretanje bash:

3. Pokrenuti komandu:

/usr/bin/dbcc -fbss embedded 

VMware datastore se ne prikazuje na hostovima

Dešava se da je datastore već konfigurisan na drugim hostovima, ali sa na nekim hostovima ne vidi u Datastores.

U Storage Devices se videi taj disk i kapacitet i LUN, a u polju gde treba da je naveden Datastore piše Not Consumed.

Korisne komande:

Izlistaj sve volume koji nisu mountovani. Prikazuje VMFS UUID i naziv Datastore-a:

esxcfg-volume --list

Mountuje zadati volume:

esxcfg-volume --mount <VMFS UUID|label> 

UnMountuj zadati volume:

esxcfg-volume --umount <VMFS UUID|label> 

Trajno (i nakon restarta) mauntovanje datastore-a:

esxcfg-volume  --persistent-mount <VMFS UUID|label>

Instalacija MariaDB klastera na Centos 7 OS

Ova podešavanja konfigurisati na svakom serveru koji će biti deo MariaDB kalstera.

#isključivanje selinux-a
sudo setenforce 0

#dodavanje mariadb repository-a
vi /etc/yum.repos.d/mariadb.repo
#rad u VI editoru
[mariadb]
name = MariaDB
baseurl = http://yum.mariadb.org/10.0/centos7-amd64
gpgkey=https://yum.mariadb.org/RPM-GPG-KEY-MariaDB
gpgcheck=1
#kraj rada u VI editoru

#instalacija socat paketa
sudo yum install socat

#instalacija MariaDB Galera Cluster-a
yum install MariaDB-Galera-server MariaDB-client rsync galera

#inicijalno podešavanje mysql-a

sudo service mysql start

sudo /usr/bin/mysql_secure_installation

#kreiranje korisničkog naloga za sinhronizaciju

mysql -u root -p

#rad u mysql konzoli

GRANT USAGE ON *.* to sst_user@'%' IDENTIFIED BY 'dbpass';

GRANT ALL PRIVILEGES on *.* to sst_user@'%';

FLUSH PRIVILEGES;

quit

#kraj rada u mysql konzoli

#zaustavljane mysql servisa pre setovanja klastera

sudo service mysql stop

#konfiguracija servera za klaster mod

vi /etc/my.cnf.d/server.cnf

#rad u VI editoru

[server]

[mysqld]

[galera]

binlog_format=ROW

default-storage-engine=innodb

innodb_autoinc_lock_mode=2

innodb_locks_unsafe_for_binlog=1

query_cache_size=0

query_cache_type=0

bind-address=0.0.0.0

datadir=/var/lib/mysql

innodb_log_file_size=100M

innodb_file_per_table

innodb_flush_log_at_trx_commit=2

wsrep_provider=/usr/lib64/galera/libgalera_smm.so

wsrep_cluster_address="gcomm://192.168.1.101,192.168.1.102" # dodati sve servere u klasteru

wsrep_cluster_name='galera_cluster'

wsrep_node_address='192.168.1.101' # na ostalim serverima staviti njihovu adresu

wsrep_node_name='db1' # staviti drugo ime za ostale servere

wsrep_sst_method=rsync

wsrep_sst_auth=sst_user:dbpass

#kraj rada u VI editoru

Kada se na svim nodovima instalira i podesi mysql potrebno je startovati klaster.

Na prvom nodu se startuje mysql klaster komandom:

#startovanje prvog servera u klaster mod

sudo /etc/init.d/mysql start --wsrep-new-cluster

Na ostalim nodovima se samo startuje mysql servis komandom:

sudo service mysql start

Startovanje MariaDB klastera nakon planiranog isključivanja svih servera iz klastera

Serveri iz klastera se mogu nesmetano isključivati i uključivati, ali je potrebno da bar jedan server klastera radi. U ovom slučaju, ako se mysql servis ne startuje automatski, treba pokrenuti komandu: sudo service mysql start.

U situaciji kada imamo isključene sve nodove iz klastera, pre startovanja klastera potrebno je proveriti koji se nod poslednji isključio, a zatim startujemo klaster na prvom serveru:

sudo tail -100 /var/lib/mysql/grastate.dat

sudo /etc/init.d/mysql start --wsrep-new-cluster

Kada je isključivanje servera bilo neplanirano i u /var/lib/mysql/grastate.dat fajlu se javlja vrednost -1, potrebno je uraditi recover baze komandom:

 sudo /usr/sbin/mysqld -u root -wsrep-recover