Proxmox VE, firewall, nf_conntrack_max, nf_conntrack_count

Є Hypervisor, Proxmox VE з ввімкненим firewall на рівні Proxmox, через те, що запущені VM з Proxy сервером "Squid", і бажано обмежити доступ до потенційного доступу до локальної мережі.

Але за великої кількості підключень спрацьовують  обмеження на кількість одночасних сесій підключень.

Proxmos VE, Shell, dmesg

Для стандартних рішень з Ubuntu є змінна файлу з додавань певних рядків у  /etc/sysctl.conf, але усі значення перевизначаються і бачимо постійно значення за замовчуванням.

Not help, /etc/sysctl.conf

Але знайшов давній пост де є пропозиція використати налаштування GUI Proxmox. І це допомогло.

Proxmox VE, GUI, Node, Firewall. Options. nf_conntrack_max

Моніторинг значень - nf_conntrack_count: "watch -n 1 "cat /proc/sys/net/netfilter/nf_conntrack_count"

watch -n 1 "cat /proc/sys/net/netfilter/nf_conntrack_count"

 

Моніторинг температури та сповіщення про критичні значення. Оновлення проєкту. Python.

Metrics of temperature and alerts.

 Вступ

До складних часів, коли було ще де і ради чого жити, я поступово впроваджував елементи розумного будинку. 

Одним із таких кроків стала інтеграція Bluetooth BLE термометрів Xiaomi Mijia (LYWSD03MMC), прошитих альтернативною прошивкою для зручності взаємодії через MQTT брокер.

Перша версія проєкту

До часів навчання на курсах Python Developer я створив невеликий консольний проєкт (v.0.1.0). Хоча спершу я не повністю розумів внутрішню логіку, проєкт дозволяв збирати інформацію про температуру, використовуючи ноутбук як локальний сервер.

Мотивація для оновлення

З набуттям нових знань та навичок під час навчання я почав сприймати код по-новому. А тут ще й зима настала: овочі на балконі потрібно було вчасно заносити до кімнати, щоб уникнути їх промерзання. Заморозки наближалися, тому я вирішив вдосконалити проєкт, додавши функцію сповіщень про критичні температури.

Restore a VM from a backup file on a ZFS snapshot over NFS in Proxmox VE by use GUI.

Умови:

Proxmox VE server  періодично робить резервні копії до NFS спільної теки котра розміщена на NAS сервері.

NAS це TrueNAS сервер що зберігає дані у ZFS файловій системі. TrueNAS автоматично налаштований робити періодичні знімки (snapshots) ZFS dataset де розміщенні дані для NFS теки.

У VM сервера знайдено підозрілі файли за назвою "." розміром 1024 bytes з бінарним вмістом. Необхідно провести аналіз в "offline copy" сервера.

Задача:

Відновити віртуальну машину з попередньої резервної копії. 

Рішення:

Під'єднати попередні періодичні знімки (snapshots) ZFS dataset, що створені на стороні NAS сервера, для відновлення віртуальної машини з її резервної копії.

Підключення до консолі Proxmox Node.

• Proxmox node: ns21
• NFS share: nfs-ns58-10g
• Target data: 2024-10-11
• Target VM ID: 150
  

Proxmox console.

ZFS snapshots зберігаються за замовчуванням у прихованій теці ".zfs".

Знайдено цільовий шлях де зберігаються потрібні резервні копії: /mnt/pve/nfs-ns58-10g/.zfs/snapshot/auto-2024-10-11_00-00

Note. FreeBSD. pkg create. Backup of erlang-21. Сталася класична ситуація з оновленнями. Postmortem Report.

Умови:

Є віртуальна машина з FreeBSD під керуванням Proxmox VE.

Є застосунок 'pleroma' котрий працює на базі erlang. 

Причини:

Для підтримання інфраструктури операційна система оновлюється і пакунки підтримуються в актуальному стані.
Застосунок працює, в пам'яті, все нормально. Користувачі заносять нові дані...

Нотатка для себе. UPS, NUT. Ubuntu (Proxmox VE, Proxmox Backup), FreeBSD, Windows

UPS CyberPower CP 1500C - USB connection

В материнці підключати до портів USB що не є версією 3.0 і вище.

USB 3.0 - Error

USB 2.0 - OK

Note. Restore the old physical server by moving it to a virtual machine on the Proxmox VE. Creating an iSCSI disk and mounting it at boot. FreeBSD 9.0.

Примітка. Відновлення старого фізичного сервера, перемістивши його на віртуальну машину на Proxmox VE. Створення iSCSI диску та його монтування при завантажені операційної системи. FreeBSD 9.0.

Історія

Основне правило адміністратора, працює не чіпай. Призводить то того що рано чи пізно це вилазить боком. На кшталт не можеш нічого оновити та встановити.

Тому мені історично діставався цей сервер котрий треба перемістити до віртуального середовища поки "/raid1" масив ще працює після нового його збою, але варто зауважити міцний горішок.

Є декілька способів як перемістити систему з фізичного до віртуального. Але я не хотів переносити усі накопиченні проблеми, і вирішив перенести все окрім ядра та базової системи використовуючи    rsync.

FreeBSD 14. Mail server POSTFIX and mariadb-client instead of mysql-client

Маю операційну систему FreeBSD 14.1-RELEASE у віртуальному середовищі Proxmox VE. 

Щойно оновив поштовий сервер з FreeBSD 13.1-RELEASE, і з'ясувалося що я не можу тепер встановити POSTFIX та mariadb-client одночасно, як це було раніше. Тому це нотатка мені як я  розв'язав цю проблему, щоб не наступати на ті самі граблі двічі.

Коли встановлено у Вас mariadb-server та mariadb-client на одному сервері, то при встановленні поштового сервера postfix як пакунок через pkg install postfix-mysql, або з портів з опцією MySQL.

postfix freebsd port, mysql option

 Вам буде пропоновано видалити mariadb-server та mariadb-client і встановити mysql-client.

Proxmos VE v.8.X and MB with VGA Matrox MGA G200eW WPCM450

Зараз є проблема оновлення з 7 до 8 версій Proxmos у власників не нових серверів з  VGA Matrox MGA G200eW WPCM450 - є чорний екран.

Собі щоб не забути зробив нотатки. 

Upgrade 7 to 8

Спочатку етапи оновлення але без перезавантаження.

lspci | grep VGA
08:01.0 VGA compatible controller: Matrox Electronics Systems Ltd. MGA G200eW WPCM450 (rev 0a)

Основні зміни в /etc/default/grub:

GRUB CMDLINE LINUX="nomodeset"
GRUB TERMINAL=console
GRUB GFXMODE=nomodeset

/etc/default/grub

Google Cybersecurity Professional Certificate - Sound the Alarm: Detection and Response - Completed on July 30, 2023

Ось це 6-й курс "Sound the Alarm: Detection and Response" з 8-ми курсів за напрямком Google Cybersecurity Professional Certificate на платформі Coursera та за підтримки (2022-2023 UA Prometheus)  - успішно завершено.

Google Cybersecurity Professional Certificate - Sound the Alarm: Detection and Response

Google Cybersecurity Professional Certificate - Assets, Threats, and Vulnerabilities - Completed on July 26, 2023

Ось це 5-й курс "Assets, Threats, and Vulnerabilities" за напрямком Google Cybersecurity Professional Certificate на платформі Coursera та за підтримки (2022-2023 UA Prometheus)  - успішно завершено.

Google Cybersecurity Professional Certificate - Assets, Threats, and Vulnerabilities

Google Cybersecurity Professional Certificate - Tools of the Trade: Linux and SQL - Completed on July 24, 2023

Ось це 4-й курс "Tools of the Trade: Linux and SQL" за напрямком Google Cybersecurity Professional Certificate на платформі Coursera та за підтримки (2022-2023 UA Prometheus)  - успішно завершено.

Google Cybersecurity Professional Certificate - Tools of the Trade: Linux and SQL

 

Нотатка: IPMI Watchdog timer, скидання та встановлення через ipmitool

Сучасні серверні материнські плати мають можливість контролювати свій "живий" стан через спеціальний сторожовий таймер (Watchdog timer).

Налаштування Watchdog Timer у BIOS.

 

Нотатка для себе. Proxmox Ceph

Ceph destroy

#rm -rf /etc/systemd/system/ceph*
#killall -9 ceph-mon ceph-mgr ceph-mds
#rm -rf /var/lib/ceph/mon/  /var/lib/ceph/mgr/  /var/lib/ceph/mds/
#pveceph purge
#apt purge ceph-mon ceph-osd ceph-mgr ceph-mds
#rm /etc/init.d/ceph 

LVM

#pvdisplay
File descriptor 7 (pipe:[1486785]) leaked on pvdisplay
  invocation. Parent PID 382397: bash
  --- Physical volume ---
 
  PV
  Name              
  /dev/sdc
  VG
  Name              
  ceph-adc898bc-44ea-43a1-8279-964e06acc8d5
  PV
  Size              
  931.51 GiB / not usable 1.71 MiB
 
  Allocatable           yes
  (but full)
  PE
  Size              
  4.00 MiB
  Total
  PE             
  238467
  Free
  PE              
  0
  Allocated
  PE          238467
  PV
  UUID              
  3LBrIs-Eh8t-wljP-WDMv-DxiX-CKAd-vXCyHf

#vgremove ceph-adc898bc-44ea-43a1-8279-964e06acc8d5
File descriptor 7
  (pipe:[1486785]) leaked on vgremove invocation. Parent PID 382397: bash
Do
  you really want to remove volume group
  "ceph-adc898bc-44ea-43a1-8279-964e06acc8d5" containing 1 logical volumes?
  [y/n]: y
Do you really want to remove and DISCARD active logical volume
  ceph-adc898bc-44ea-43a1-8279-964e06acc8d5/osd-block-ca1b00e7-bafc-4c7a-97aa-a83bcd784173?
  [y/n]: y
  Logical volume
  "osd-block-ca1b00e7-bafc-4c7a-97aa-a83bcd784173" successfully removed
 
  Volume group "ceph-adc898bc-44ea-43a1-8279-964e06acc8d5" successfully removed

#pvremove   /dev/sdc
File descriptor 7 (pipe:[1486785]) leaked
  on pvremove invocation. Parent PID 382397: bash
  Labels on physical
  volume "/dev/sdc" successfully wiped.

Нотатка для себе. SR-IOV VLAN Linux Proxmox

Для використання в віртуальних машинах у Proxmox віртуальних мережевих інтерфейсів.

Пристрої SR-IOV можуть спільно використовувати один фізичний порт з кількома віртуальними машинами.

Віртуальні функції мають майже рідну продуктивність і забезпечують кращу продуктивність, ніж паравіртуалізовані драйвери та емуляційний доступ. Віртуальні функції забезпечують захист даних між віртуальними машинами на тому ж фізичному сервері, коли дані управляються та контролюються апаратним забезпеченням.

How SR-IOV works

16.2. PCI Device Assignment with SR-IOV Devices Red Hat Enterprise Linux 7

Advantages of SR-IOV

SR-IOV devices can share a single physical port with multiple virtual machines.
When an SR-IOV VF is assigned to a virtual machine, it can be configured to (transparently to the virtual machine) place all network traffic leaving the VF onto a particular VLAN. The virtual machine cannot detect that its traffic is being tagged for a VLAN, and will be unable to change or eliminate this tagging.
Virtual Functions have near-native performance and provide better performance than paravirtualized drivers and emulated access. Virtual Functions provide data protection between virtual machines on the same physical server as the data is managed and controlled by the hardware.
These features allow for increased virtual machine density on hosts within a data center.
SR-IOV is better able to utilize the bandwidth of devices with multiple guests.  

Нотатки: Hardware modding TP-Link TL-MR3420 v2 встановлення пам'яті на 8МБ. OpenWrt 19.07.6.

У продовженні попередньої реанімації роутера TP-Link TL-MR3420 встановлюю flash пам'ять на 8МБ. І нотую для себе крок за кроком.

Нотатки: TP Link MP 3420 відновлення. OpenWrt 19.07.5.

TP-LINK MP 3420v2 extUSB

[OpenWrt Wiki] TP-Link TL-MR3420 & TL-MR3220  

Нотую для себе, деякі послідовності.
Так як за своєї помилки прибив роутер, то мені і відновлювати.
Так як мені потрібен функціонал якого не має в рідній прошивці, такі як VLAN, MultiAP ... То компілюю OpenWrt для цього роутера з останньою версією. Але флеш пам'ять цього пристрою всього 4МБ і 32МБ оперативної пам'яті, тому використовую зовнішній USB диск, як розширений простір (ext_root). А у подальшому можливо буде заміна флеш на 8МБ.

renew SSL certificate Let'Script by ACME script (DNS) for Tomcat web server

Я використовую проект OpenMeeting котрий працює на Tomcat web server (Java).

Стала задача використати SSL сертифікати від Let's Encript для OpenMeeting.

Але безкоштовні сертифікати мають особливість, короткий термін життя, і їх періодично потрібно оновлювати. Для звичайних Web серверів, існують скрипти які автоматично спрощують життя.

Для OpenMeeting і відповідно для Tomcat web server, дещо інше рішення так як сховищами ключів та сертифікатів є Java KeyStore.

Для генерації та оновлення сертифікати від Let's Encript є скрипт наш кшталт ACME. Я використовую цей скрипт під операційною системою Ubuntu 18.04 LTS в режимі DNS manual mode.

Використання аппаратного токену та сховища серифікатів у OpenVPN

Знов пишу нотатку для себе.
Тема сьогодні робота у середовищі Windows 10, апаратний токен та  OpenVPN.

Як використовувати для сховища сертифікатів апаратний токен

Є такий токен. Я працював з ним раніше:

• eToken PKSC11 створення та використання ключів у Ubuntu 
• Ініціалізація модуля OTP у токені "Aladdin eToken NG-OTP" за допомогою SDK
• Одноразові паролі (OTP) та сервер Apache (mod_authn_otp) 
• eToken доступ через сертифікати та одноразові паролі

 На вигляд він ось такий:

eToken NG-OTP 72k (Java)

OpenWRT додати виключення DNS для певних доменів

Для домашнього роутера (OpenWRT) я використовую додатковий захист мережі у вигляді використання DNS сервісу - opendns.com.
Але інколи треба швидко додати виключення у DNS запитах і наприклад використовувати open dns google сервери.
Так, сервіс медіа каталогу uafilm потребує доступ до доменів, на кшталт: mxase.clmbtech.com, а він у свою чергу блокується сервісом opendns.com, тому я додав виключення для домену і піддоменів "clmbtech.com" додавши перенаправлення запиту до іншого DNS серверу 8.8.8.8.
Реалізація додавання параметру DNS forwardings - /clmbtech.com/8.8.8.8

custom DNS forward, OpenWRT 18.06

Для постійних виключень також можна додати виключення і у налаштуваннях opendns.com.

dashboard.opendns.com/settings

Повний список що я додав для програвання у програмі HD VideoBOX ресурсів з uafilm:
/clmbtech.com/8.8.8.8, /crashlytics.com/8.8.8.8, /apollostream.xyz/8.8.8.8

Компіляція браузера Chromium для Ubuntu (x265, HEVC)

Є перевірена новина, що у експериментальній версії браузера Chromium 55.0.2850 для Windows з'явилася можливість програвати медіа файли формату (HEVC або він же h265).

Але стала необхідність скомпілювати браузера Chromium для операційної системи linux у моєму випадку це Ubuntu 16.04 з можливістю відтворювати формату (HEVC або він же h265).