Blog by Alen Nikolić

openssl komande

Komande za generisanje zahteva i potpisivanje

1. Generisanje privatnog RSA ključa:

openssl genrsa -out nazivservera.key.pem 2048

2. Generisanje zahteva na osnovu privatnog ključa:

openssl req -new -config openssl.cnf -key nazivservera.key.pem -out nazivservera.csr

3. Potpisivanje certifikata:

openssl ca -config openssl.cnf -extensions server_cert -days 356 -in nazivservera.csr -out nazivservera.cer

------------------------------------------------------------------------------------

Komande za proveru certifikata, zahteva i ključa

Provera CSR zahteva

openssl req -text -noout -verify -in CSR.csr

Provera privatnog ključa

openssl rsa -in privateKey.key -check

Provera certifikata

openssl x509 -in certificate.crt -text -noout

Provera PKCS#12 (.pfx or .p12)

openssl pkcs12 -info -in keyStore.p12

---------------------------------------------------------------------------------

Kreiranje Root CA

1. Generisasnje ROOT kljuca

openssl genrsa -aes256 -out private/ca.key.pem 4096

2. Generisanje ROOT sertifikata:

openssl req -new -x509 -days 10000 -sha256 -extensions v3_ca -config openssl.cnf -key private/ca.key.pem -out certs/ca.cert.pem

-----------------------------------------------------------------------------------

Obustava izdatih certifikata

Pregled izdatih certifikata:

cat newcerts/serial

Komanda za povlačenje certifikata:

openssl ca -config openssl.cnf -revoke /newcerts/1013.pem

------------------------------------------------------------------------------

Konvertovanje iz cer u crt

openssl x509 -inform PEM -in <filepath>/certificate.cer -out certificate.crt

------------------------------------------------------------------------------

Generisanje CSR zahteva i ključa jednom komandom

openssl req -new -sha256 -nodes -out nazivservera.csr -newkey rsa:2048 -keyout nazivservera.key -config <(

cat <<-EOF

[req]

default_bits = 2048

prompt = no

default_md = sha256

req_extensions = req_ext

distinguished_name = dn

[ dn ]

C=RS

ST=Serbia

L=Belgrade

O=Firma

emailAddress=email@domen.com

CN = nazivservera.com

[ req_ext ]

subjectAltName = @alt_names

[ alt_names ]

DNS.1 = nazivservera.com

DNS.2 = nazivservera.rs

EOF

)

----------------------------------------------------------------------

Brisanje DNS cache na vCenter serveru

Potrebno je restartovati:

systemctl restart dnsmasq

Brisanje VIBa sa vSphere hosta

Prikaži sve instalirane VIBs na hostu:

esxcli software vib list

Brisanje VIBa sa hosta:

esxcli software vib remove --vibname=ssacli

Backup vCenter ne radi - Db health is UNHEALTHY

Opis problema:

Ne može da se uradi backup vCenter servera verzije: VC-7.0U3b. Javlja grešku:

Db health is UNHEALTHY, Backup Failed.Disable health check to take backup in current state.

Rešenje:

1. Ulogovati se preko SSH na vCenter kao root korisnik

2. Otkucati komandu shell za pokretanje bash:

3. Pokrenuti komandu:

/usr/bin/dbcc -fbss embedded

VMware datastore se ne prikazuje na hostovima

Dešava se da je datastore već konfigurisan na drugim hostovima, ali sa na nekim hostovima ne vidi u Datastores.

U Storage Devices se videi taj disk i kapacitet i LUN, a u polju gde treba da je naveden Datastore piše Not Consumed.

Korisne komande:

Izlistaj sve volume koji nisu mountovani. Prikazuje VMFS UUID i naziv Datastore-a:

esxcfg-volume --list

Mountuje zadati volume:

esxcfg-volume --mount <VMFS UUID|label>

UnMountuj zadati volume:

esxcfg-volume --umount <VMFS UUID|label>

Trajno (i nakon restarta) mauntovanje datastore-a:

esxcfg-volume --persistent-mount <VMFS UUID|label>

Instalacija MariaDB klastera na Centos 7 OS

Ova podešavanja konfigurisati na svakom serveru koji će biti deo MariaDB kalstera.

#isključivanje selinux-a
sudo setenforce 0

#dodavanje mariadb repository-a
vi /etc/yum.repos.d/mariadb.repo
#rad u VI editoru
[mariadb]
name = MariaDB
baseurl = http://yum.mariadb.org/10.0/centos7-amd64
gpgkey=https://yum.mariadb.org/RPM-GPG-KEY-MariaDB
gpgcheck=1
#kraj rada u VI editoru

#instalacija socat paketa
sudo yum install socat

#instalacija MariaDB Galera Cluster-a
yum install MariaDB-Galera-server MariaDB-client rsync galera

#inicijalno podešavanje mysql-a

sudo service mysql start

sudo /usr/bin/mysql_secure_installation

#kreiranje korisničkog naloga za sinhronizaciju

mysql -u root -p

#rad u mysql konzoli

GRANT USAGE ON *.* to sst_user@'%' IDENTIFIED BY 'dbpass';

GRANT ALL PRIVILEGES on *.* to sst_user@'%';

FLUSH PRIVILEGES;

quit

#kraj rada u mysql konzoli

#zaustavljane mysql servisa pre setovanja klastera

sudo service mysql stop

#konfiguracija servera za klaster mod

vi /etc/my.cnf.d/server.cnf

#rad u VI editoru

[server]

[mysqld]

[galera]

binlog_format=ROW

default-storage-engine=innodb

innodb_autoinc_lock_mode=2

innodb_locks_unsafe_for_binlog=1

query_cache_size=0

query_cache_type=0

bind-address=0.0.0.0

datadir=/var/lib/mysql

innodb_log_file_size=100M

innodb_file_per_table

innodb_flush_log_at_trx_commit=2

wsrep_provider=/usr/lib64/galera/libgalera_smm.so

wsrep_cluster_address="gcomm://192.168.1.101,192.168.1.102" # dodati sve servere u klasteru

wsrep_cluster_name='galera_cluster'

wsrep_node_address='192.168.1.101' # na ostalim serverima staviti njihovu adresu

wsrep_node_name='db1' # staviti drugo ime za ostale servere

wsrep_sst_method=rsync

wsrep_sst_auth=sst_user:dbpass

#kraj rada u VI editoru

Kada se na svim nodovima instalira i podesi mysql potrebno je startovati klaster.

Na prvom nodu se startuje mysql klaster komandom:

#startovanje prvog servera u klaster mod

sudo /etc/init.d/mysql start --wsrep-new-cluster

Na ostalim nodovima se samo startuje mysql servis komandom:

sudo service mysql start

Startovanje MariaDB klastera nakon planiranog isključivanja svih servera iz klastera

Serveri iz klastera se mogu nesmetano isključivati i uključivati, ali je potrebno da bar jedan server klastera radi. U ovom slučaju, ako se mysql servis ne startuje automatski, treba pokrenuti komandu: sudo service mysql start.

U situaciji kada imamo isključene sve nodove iz klastera, pre startovanja klastera potrebno je proveriti koji se nod poslednji isključio, a zatim startujemo klaster na prvom serveru:

sudo tail -100 /var/lib/mysql/grastate.dat

sudo /etc/init.d/mysql start --wsrep-new-cluster

Kada je isključivanje servera bilo neplanirano i u /var/lib/mysql/grastate.dat fajlu se javlja vrednost -1, potrebno je uraditi recover baze komandom:

sudo /usr/sbin/mysqld -u root -wsrep-recover

Instalacija loganalyzer-a, rsyslog i konfiguracija mariadb na Centos 7 OS

#instalacija httpd
sudo yum install httpd
sudo systemctl start httpd.service
sudo systemctl enable httpd.service

#instalacija mariadb i konfiguracija
sudo yum install mariadb-server mariadb
sudo systemctl start mariadb
sudo mysql_secure_installation
sudo systemctl enable mariadb.service

#instalacija PHP
sudo yum install php php-mysql php-gd
sudo systemctl restart httpd.service

#instalacija rsyslog dodatnih paketa
yum install rsyslog-mysql

#pronaći fajl za kreiranje baze podataka
cd /usr/share/doc
ls | grep rsyslog

#proveriti naziv baze podataka u fajlu za kreiranje baze podataka
more /usr/share/doc/rsyslog-7.4.7/mysql-createDB.sql
#u fajlu na testnom serveru je: CREATE DATABASE Syslog; Ovo znači da je naziv baze Syslog.

#kreiranje baze podataka
mysql -u root -p < /usr/share/doc/rsyslog-7.4.7/mysql-createDB.sql

#kreiranje naloga u bazi podataka
mysql -u root -p Syslog
#rad u mysql konzoli
GRANT ALL ON Syslog.* TO rsyslogdbadmin@localhost IDENTIFIED BY 'PasswordHere';
FLUSH PRIVILEGES;
exit;
#kraj rada u mysql konzoli

#podešavanje rsyslog servisa da prihvata UDP i TCP konekcije
vi /etc/rsyslog.conf
#rad u VI editoru
module(load="imudp") # needs to be done just once
input(type="imudp" port="514")
module(load="imtcp") # needs to be done just once
input(type="imtcp" port="514")
#kraj rada u VI editoru

#restart rsyslog servisa
sudo systemctl restart rsyslog.service

#provera da li je otvoren port 514
yum install nmap
nmap localhost

#podešavanje rsyslog servisa da logove spušta u maridadb bazu podataka
vi /etc/rsyslog.conf
#rad u VI editoru
module(load="ommysql")
*.* :ommysql:127.0.0.1,Syslog,rsyslogdbadmin,PasswordHere
#kraj rada u VI editoru

#podešavanje rsyslog servisa da samo logove sa drugih servera spušta u maridadb bazu podataka
vi /etc/rsyslog.conf
# rad u VI editoru
module(load="ommysql")# ovaj red samo jednom dodati

if ($hostname != 'localhost') then :ommysql:127.0.0.1,Syslog,rsyslogdbadmin,PasswordHere
if ($fromhost-ip != '172.0.0.1') then :ommysql:127.0.0.1,Syslog,rsyslogdbadmin,PasswordHere
#kraj rada u VI editoru

#restart rsyslog servisa
sudo systemctl restart rsyslog.service

#provera da li se logovi upisuju u bazu podatka
mysql -u rsyslogdbadmin -p Syslog
#rad u mysql konzole
select count(*) from SystemEvents;
quit;
#kraj rada u mysql konyoli

#brisanje svih logova iz baze
mysql -u rsyslogdbadmin -p Syslog
#rad u mysql konzole
delete from SystemEvents where 1;
quit;
#kraj rada u mysql konyoli
###############################################################
################ INSTALACIJA LOGANALYZERA #####################
#preuzimanje fajla loganalyzer-3.6.6.tar.gz
yum install wget
wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.6.tar.gz

#raspakivanje tar.gz fajla
tar zxvf loganalyzer-3.6.6.tar.gz

#kopiranje fajlova u html direktorijum i konfiguracija
cd /root
cp -r loganalyzer-3.6.6/src/ /var/www/html/loganalyzer/
cp -r loganalyzer-3.6.6/contrib/* /var/www/html/loganalyzer/
cd /var/www/html/loganalyzer
chmod u+x configure.sh secure.sh
./configure.sh

#podešavanje SElinux-a
chcon -t httpd_sys_content_t /var/www/html/loganalyzer -R
chcon -t httpd_sys_rw_content_t /var/www/html/loganalyzer/config.php

# ostatak konfiguracije se radi iz browsera ubacivanjem parametara baze podataka
http://ipadresa/loganalyzer

Pages