Рубрика: Linux

Настройка Postfix на Arch Linux

Последнее время мне приглянулся дистрибутив Arch Linux. Вообще я симпатизирую «rolling release» философии — поддержка постоянного актуального состояния системы. Я пока не проверил на практике, насколько стабильно работает Arch Linux, но в целом идея замечательная. Сервера я использую в рабочих целях, поэтому, необходимо обеспечить стабильную работу системы. Проблема в том, что установка обновлений, есть угроза что-то сломать. Для компенсации этого недостатка, я намерен компенсировать регулярными бэкапами, что которые и так у меня регулярно выполняются. Сейчас я использую Alma Linux. Но мне надоели форки RHEL, поэтому, возникла задача на практике пощупать Arch Linux и понять, насколько эта система подходит мне для рабочей среды.

Статья будет длинной, поэтому, буду разбивать ее на логические части. Начну с самого начала и всех подробностей, которые мне могут пригодится в будущем.

IPv4 у меня настроен на этапе установки Arch Linux, поэтому, мне останется только прописать настройки IPv6. На этом этапе я остановлюсь более подробно. В моем случае IPv6 адрес 2001:41d0:11c:c700::/56, а шлюз fe80:0000:0000:0000:0000:0000:0000:0001. В сокращенном виде шлюз fe80::1, его я и буду использовать далее.

Настройка IPv6

Сейчас нам необходимо прописать IPv6 на уровне настроек сети. У меня настройки хранятся в файле 20-ens18.network, имя конфига может отличаться от вашего.

nano /etc/systemd/network/20-ens18.network

В секцию [Network] нужно добавить IPv6 адрес и параметр IPv6AcceptRA=no

[Network]
Address=2001:41d0:11c:c700::777/64
IPv6AcceptRA=no

Далее ниже еще одну дублирующую секцию [Route]

[Route]
Gateway=fe80::1
GatewayOnLink=yes

В итоге конфиг стал выглядеть следующим образом:

[Match]
Name=ens18

[Network]
Address=51.51.5.15/32
Gateway=100.64.0.1
DNS=1.1.1.1
DNS=8.8.8.8

Address=2001:41d0:11c:c700::777/64
DNS=2001:4860:4860::8888
DNS=2606:4700:4700::1111
IPv6AcceptRA=no

[Route]
Gateway=100.64.0.1
GatewayOnLink=yes

[Route]
Gateway=fe80::1
GatewayOnLink=yes

Сохраняем файл и применяем настройки командой:

systemctl restart systemd-networkd

Проверяем, что IPv6 поднялся:

# ping -6 -c 3 2001:4860:4860::8888
PING 2001:4860:4860::8888 (2001:4860:4860::8888) 56 data bytes
64 bytes from 2001:4860:4860::8888: icmp_seq=1 ttl=112 time=4.52 ms
64 bytes from 2001:4860:4860::8888: icmp_seq=2 ttl=112 time=4.52 ms
64 bytes from 2001:4860:4860::8888: icmp_seq=3 ttl=112 time=4.52 ms

Настройка синхронизации времени

Находим свой часовой пояс и меняем настройки синхронизации:

timedatectl list-timezones | grep -i helsinki
timedatectl set-timezone Europe/Helsinki

Включаем автоматическую синхронизацию времени:

timedatectl set-ntp true

Проверяем статус:

timedatectl
timedatectl timesync-status

Настройка DNS записей

На этом этапе необходимо создать A, AAAA и MX записи для нашего почтового домена. Я не буду подробно описывать этот процесс.

Прописываем SPF запись для всех ip с которых будет вестись отправка почты:

"v=spf1 ip4:1.1.1.1 -all"

Если у вас два или более почтовых сервера:

"v=spf1 ip4:1.1.1.1 ip4:2.2.2.2 -all"

Следует отметить, что для SPF записи нужно используются кавычки, как указано у меня в примере.

Установка Postfix

Устанавливаем Postfix, включаем автозапуск, проверяем статус:

pacman -Syu postfix postfix-lmdb
systemctl enable --now postfix
systemctl status postfix --no-pager

Проверить версию Postfix можно командой:

# postconf mail_version
mail_version = 3.10.7

Проверяем открытые порты:

# ss -lnpt | grep master
LISTEN 0      0            0.0.0.0:25        0.0.0.0:*    users:(("master",pid=11439,fd=13))

Видно, что с настройками по умолчанию используется только IPv4 адрес.

Убедимся, что имя хоста соответствует нашему почтовому домену:

# cat /etc/hostname
mx.codebeer.ru

Приводим /etc/hosts к следующему виду:

127.0.0.1   localhost
::1         localhost
51.51.5.15 mx.codebeer.ru mx

Далее набор настроек Postfix, которые необходимы для работы почтового сервера. Вам необходимо выполнить команды по порядку:

Базовая идентификация сервера:

postconf -e "inet_interfaces = all"
postconf -e "myhostname = mx.codebeer.ru"
postconf -e "mydomain = codebeer.ru"
postconf -e "myorigin = codebeer.ru"
postconf -e "mydestination = codebeer.ru, \$myhostname, localhost.\$mydomain, localhost"

Доверенные сети:

postconf -e "mynetworks = 127.0.0.0/8 [::1]/128"

Локальная доставка:

postconf -e "home_mailbox = Maildir/"

Ограничения на релей и получателей:

postconf -e "smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, defer_unauth_destination"
postconf -e "smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination"

Лимиты размеров:

postconf -e "message_size_limit = 36700160"
postconf -e "mailbox_size_limit = 0"

SMTP AUTH (SASL через Dovecot):

postconf -e "smtpd_sasl_auth_enable = no"
postconf -e "smtpd_sasl_type = dovecot"
postconf -e "smtpd_sasl_path = private/auth"
postconf -e "smtpd_sasl_security_options = noanonymous"
postconf -e "smtpd_sasl_tls_security_options = noanonymous"

OpenDKIM:

postconf -e "milter_default_action = accept"
postconf -e "milter_protocol = 6"
postconf -e "smtpd_milters = unix:/run/opendkim/opendkim.sock"
postconf -e "non_smtpd_milters = unix:/run/opendkim/opendkim.sock"

TLS для исходящих соединений:

postconf -e "smtp_tls_security_level = may"
postconf -e "smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt"
postconf -e "smtp_tls_loglevel = 1"
postconf -e "smtp_tls_session_cache_database = btree:\${data_directory}/smtp_scache"
postconf -e 'smtp_tls_session_cache_database = lmdb:/var/lib/postfix/smtp_scache'
postconf -e 'smtpd_tls_session_cache_database = lmdb:/var/lib/postfix/smtpd_scache'

VRFY и ETRN — лучше выключить:

postconf -e 'disable_vrfy_command = yes'
postconf -e 'smtpd_etrn_restrictions = reject'
postconf -e 'smtpd_banner = $myhostname ESMTP'

Теперь необходимо сгенерировать базу алиасов.

Для начала создадим алиас для root:

echo "root: admin" >> /etc/postfix/aliases

Эта команда пригодится в будущем, если необходимо будет прописать алиасы для почтовых ящиков.

# postalias /etc/postfix/aliases
# ls -l /etc/postfix/aliases*
-rw-r--r-- 1 root root 11516 Dec  7 15:08 /etc/postfix/aliases
-rw-r--r-- 1 root root 20480 Feb  2 14:29 /etc/postfix/aliases.lmdb

Если нужно что бы Postfix работал только через IPv4 протокол:

postconf -e "inet_protocols = ipv4"

Для IPv4 и IPv6:

postconf -e "inet_protocols = all"

Применяем настройки Postfix:

systemctl restart postfix

Проверка, что Postfix слушает 25 порт:

# ss -lntp | grep ':25'
LISTEN 0      0            0.0.0.0:25        0.0.0.0:*    users:(("master",pid=15085,fd=13))
LISTEN 0      0                  *:25              *:*    users:(("master",pid=15085,fd=14))

Отправляем тестовое письмо на свою почту. Адрес в конце команды нужно поменять на свой.

echo "Test from mx.codebeer.ru" | sendmail -v [email protected]

Включить автоматический запуск Postfix в случае падения

Необходимо создать drop-in файл :

mkdir -p /etc/systemd/system/postfix.service.d

cat > /etc/systemd/system/postfix.service.d/restart.conf <<'EOF'
[Unit]
StartLimitIntervalSec=300
StartLimitBurst=5

[Service]
Restart=on-failure
RestartSec=5s
EOF

Применяем настройки:

systemctl daemon-reload
systemctl restart postfix

Проверяем работает ли автоматическое поднятие сервиса:

pkill -9 master
sleep 2
systemctl status postfix --no-pager

В случае проблем, для анализа причины и устранения используем лог:

journalctl -u postfix -n 200 --no-pager

Следующий этап настройки Postfix настройка TLS шифрования

Очистить журнал systemd

Дата: 10.11.2016Метки:

На сегодняшний день systemd стал де-факто стандартом для современных Linux-систем. Его компонент journal cобирает все системные сообщения: сообщения ядра, служб и приложений. После чего происходит их запись в виде бинарных файлов. Для просмотра и управления файлами логов используется утилита journalctl.

Не вижу проблем, если логи занимает несколько десятков мегабайт, но в моем случае после месяца непрерывной работы системы, файлы журнала systemd занимали уже несколько гигабайт памяти. Не факт, что у вас может проявится такая проблема, тут все зависит от специфики использования сервера.

Однако ситуация требует внимания и нуждается в периодическом мониторинге. Чтобы посмотреть общий размер файлов журнала systemd, достаточно выполнить команду:

journalctl --disk-usage

Что бы ограничить бесконтрольное хранение журнала, нам необходимо выполнить настройку ротации логов. С помощью опций −−vacuum-size и −−vacuum-time мы можем соответственно установить предельно допустимый размер и срок хранения для хранимых на диске логов.

Команда ниже устанавливает предельно допустимый размер для хранимых на диске логов в 1 ГБ, после его превышения лишние файлы будут автоматические удалены.

journalctl --vacuum-size=1G

Подобным образом образом работает опция −−vacuum-time. Команда установит для логов срок хранения, по истечении которого они будут удалены автоматически:

journalctl --vacuum-time=1years

Дополнительно нужно прописать настройки ротации логов в конфигурационный файл:

vi /etc/systemd/journald.conf

Настройки ротации логов включают следующие параметры:

# Максимальный объём логов на диске
SystemMaxUse=
# Объём свободного места на диске после сохранения логов
SystemKeepFree=
# Объём файла лога, по достижении которого он должен быть удален
SystemMaxFileSize=
# Максимальный объём, который логи могут занимать в /run
RuntimeMaxUse=
# Объём свободного места, которое должно оставаться в /run после сохранения логов
RuntimeKeepFree=
# Объём файла лога, по достижении которого он должен быть удален из /run.
RuntimeMaxFileSize=

Применяем настройки без перезапуска системы:

systemctl restart systemd-journald

Автоматическая установка Debian

Установку Debian можно полностью автоматизировать путем использования специального файла с заранее указанным сценарием ответов на все вопросы инсталлятора. Данный способ автоматической установки называется Debian Preseed. Далее созданный файл-сценарий ответов preseed.cfg запаковывается в initrd установочного iso-образа Debian.

Информацию с описанием параметров сценария Preseed можно можно найти на официальном сайте. И я не вижу смысла дублировать эту информацию в своем блоге. Вместо этого я сразу размещу содержимое используемого мной файла preseed.cfg, а если у вас возникнут вопросы, то описание параметров вы всегда сможете найти по указанной выше ссылке.

В файле сценариев для своих нужд я использовал такие переменные параметры, как: ($IP), ($NETMASK), ($GATEWAY). Ниже привожу пример моего файла сценария Debian Preseed. Внимание! Особенно обратите внимание на блок ### Partitioning, вначале которого я полностью забиваю нулями содержимое диска. Данные будут полностью стерты со всех дисков в системе, будьте крайне осторожны.

### Localization
d-i debian-installer/locale string en_US
d-i console-setup/ask_detect boolean false
d-i keyboard-configuration/xkb-keymap select us

### Network configuration
d-i netcfg/choose_interface select auto
d-i netcfg/disable_autoconfig boolean true
# IPv4
d-i netcfg/get_ipaddress string ($IP)
d-i netcfg/get_netmask string ($NETMASK)
d-i netcfg/get_gateway string ($GATEWAY)
d-i netcfg/get_nameservers string ($NAMESERVER)
d-i netcfg/confirm_static boolean true
# Hostname
d-i netcfg/get_hostname string ($HOSTNAME)

### Mirrors
d-i mirror/country string manual
d-i mirror/http/hostname string ($MIRROR)
d-i mirror/http/directory string /debian
d-i mirror/http/proxy string ($HTTPPROXYv4)
d-i mirror/suite string stable

### Account setup
d-i passwd/root-login boolean true
d-i passwd/make-user boolean false
d-i passwd/root-password-crypted password ($PASS_CRYPT)
d-i user-setup/allow-password-weak boolean true
d-i user-setup/encrypt-home boolean false

### Clock
d-i clock-setup/utc boolean true
d-i time/zone string ($TIMEZONE)
d-i clock-setup/ntp boolean false

### Partitioning
d-i partman/early_command string \
for DISK in $(list-devices disk); do \
    parted -s ${DISK} mklabel gpt; \
    parted -s ${DISK} mklabel msdos; \
        dd if=/dev/zero of=${DISK} bs=512 count=1; \
done;

d-i partman-auto/method string regular
d-i partman-basicfilesystems/no_swap boolean false
d-i partman-auto/expert_recipe string                         \
      root ::                                                 \
              5000 5000 -1 ext4                               \
                      method{ format } format{ }              \
                      use_filesystem{ } filesystem{ ext4 }    \
                      mountpoint{ / }                         \
              .                                               \
d-i partman-partitioning/confirm_write_new_label boolean true
d-i partman/choose_partition select finish
d-i partman/confirm boolean true
d-i partman/confirm_nooverwrite boolean true
d-i partman/mount_style select uuid

### Apt setup
d-i apt-setup/contrib boolean true
d-i apt-setup/services-select multiselect security, volatile
tasksel tasksel/first multiselect minimal
d-i pkgsel/include string openssh-server
popularity-contest popularity-contest/participate boolean false

### Grub
d-i grub-installer/only_debian boolean true
d-i grub-installer/with_other_os boolean true
d-i grub-installer/bootdev string default

### Finish install
d-i finish-install/keep-consoles boolean true
d-i finish-install/reboot_in_progress note

d-i preseed/late_command string \
        sed -i '/^PermitRootLogin/c PermitRootLogin yes' /target/etc/ssh/sshd_config ;\
        if [ -n "($SSHPUBKEYS)" ]; then \
                mkdir -p /target/root/.ssh ;\
                chmod 700 /target/root/.ssh ;\
                echo "($SSHPUBKEYS)" > /target/tmp/keyfile ;\
                cat /target/tmp/keyfile | /target/usr/bin/base64 -d > /target/root/.ssh/authorized_keys ;\
                in-target rm -f /tmp/keyfile ;\
        fi ;\
        sed -i '/^GRUB_CMDLINE_LINUX_DEFAULT/c GRUB_CMDLINE_LINUX_DEFAULT="quiet"' /target/etc/default/grub ;\
        sed -i '/^GRUB_TIMEOUT/c GRUB_TIMEOUT=0' /target/etc/default/grub && in-target update-grub

Failed to execute ban jail ‘sshd’ action ‘iptables-multiport’

Связи с тем, что для выхода в интернет я использую статический IP, мне достаточно редко приходится использовать fail2ban на своих серверах. Я предпочитаю просто закрыть доступ к SSH в iptables. После настройки VMmanager, был автоматически установлен пакет fail2ban. После чего в логах стали регулярно появляться ошибки следующего содержания:

2016-08-13 05:43:23,463 fail2ban.actions        [1011]: NOTICE  [sshd] Ban 91.224.160.106
2016-08-13 05:43:23,565 fail2ban.action         [1011]: ERROR   iptables -w -n -L INPUT | grep -q 'f2b-sshd[ \t]' -- stdout: ''
2016-08-13 05:43:23,565 fail2ban.action         [1011]: ERROR   iptables -w -n -L INPUT | grep -q 'f2b-sshd[ \t]' -- stderr: ''
2016-08-13 05:43:23,565 fail2ban.action         [1011]: ERROR   iptables -w -n -L INPUT | grep -q 'f2b-sshd[ \t]' -- returned 1
2016-08-13 05:43:23,565 fail2ban.CommandAction  [1011]: ERROR   Invariant check failed. Trying to restore a sane environment
2016-08-13 05:43:23,667 fail2ban.action         [1011]: ERROR   iptables -w -D INPUT -p tcp -m multiport --dports ssh -j f2b-sshd
iptables -w -F f2b-sshd
iptables -w -X f2b-sshd -- stdout: ''
2016-08-13 05:43:23,667 fail2ban.action         [1011]: ERROR   iptables -w -D INPUT -p tcp -m multiport --dports ssh -j f2b-sshd
iptables -w -F f2b-sshd
iptables -w -X f2b-sshd -- stderr: "iptables v1.4.21: Couldn't load target `f2b-sshd':No such file or directory\n\nTry `iptables -h' or 'iptables --help' for more information.\niptables: No chain/target/match by that name.\niptables: No chain/target/match by that name.\n"
2016-08-13 05:43:23,667 fail2ban.action         [1011]: ERROR   iptables -w -D INPUT -p tcp -m multiport --dports ssh -j f2b-sshd
iptables -w -F f2b-sshd
iptables -w -X f2b-sshd -- returned 1
2016-08-13 05:43:23,667 fail2ban.actions        [1011]: ERROR   Failed to execute ban jail 'sshd' action 'iptables-multiport' info 'CallingMap({'ipjailmatches':  at 0x182b050>, 'matches': u'2016-08-13T05:43:07.237432 skvm1.powervps.ru sshd[850]: Invalid user admin from 91.224.160.106\n2016-08-13T05:43:09.504130 skvm1.powervps.ru sshd[852]: Invalid user admin from 91.224.160.106\n2016-08-13T05:43:11.811482 skvm1.powervps.ru sshd[856]: Invalid user admin from 91.224.160.106\n2016-08-13T05:43:14.043115 skvm1.powervps.ru sshd[858]: Invalid user admin from 91.224.160.106\n2016-08-13T05:43:22.962543 skvm1.powervps.ru sshd[878]: Invalid user support from 91.224.160.106', 'ip': '91.224.160.106', 'ipmatches':  at 0x181ded8>, 'ipfailures':  at 0x182b0c8>, 'time': 1471056203.463139, 'failures': 5, 'ipjailfailures':  at 0x182b140>})': Error stopping action

Сначала я грешил на использования ключа iptables -w в добавляемых правилах.

nano /etc/fail2ban/action.d/iptables-common.conf

В конце файла вы увидите параметр lockingopt и комментарий к нему:

# Option:  lockingopt
# Notes.:  Option was introduced to iptables to prevent multiple instances from
#          running concurrently and causing irratic behavior.  -w was introduced
#          in iptables 1.4.20, so might be absent on older systems
#          See https://github.com/fail2ban/fail2ban/issues/1122
# Values:  STRING
lockingopt = -w

Тогда я решил проверить версию установленного пакета:

# iptables --version
iptables v1.4.21

Но причина была не в этом. После продолжительного гугления, проблема оказалась связана с конфигом jail.local, в который вносит изменения VMmanager в процессе установки. Чтобы починить fail2ban, откройте файл:

nano /etc/fail2ban/jail.local

Закомментируйте содержимое файла, и добавьте строки как в примере ниже:

# ISPsystem start
#[sshd]
#maxretry = 5
#enabled = true
# ISPsystem end

[DEFAULT]
bantime = 3600
banaction = iptables-multiport

[sshd]
maxretry = 5
enabled = true

После перезапуска fail2ban, с довольным видом любуемся на результат:

2016-08-14 10:36:01,828 fail2ban.jail           [23203]: INFO    Jail 'sshd' started
2016-08-14 10:36:01,947 fail2ban.actions        [23203]: NOTICE  [sshd] Ban 78.47.79.193

Failed to get D-Bus connection: Connection refused

Дата: 02.08.2016Метки:

С данной проблемой столкнулся в Debian 8, когда мне понадобилось создать новый сервис для запуска rtorrent в режиме демона. При попытке запуска нового сервиса я получил ошибку:

$ systemctl --user enable rtorrent
Failed to get D-Bus connection: Connection refused

Как оказалась проблема кроется зависимостях для systemd:

$ apt-cache depends systemd
systemd
  Depends: libacl1
  Depends: libaudit1
  Depends: libblkid1
  Depends: libcap2
  Depends: libcryptsetup4
  Depends: libkmod2
  Depends: libpam0g
  Depends: libselinux1
  Depends: libsystemd0
  Depends: util-linux
  Depends: mount
  Depends: initscripts
  Depends: sysv-rc
    openrc
  Depends: udev
  Depends: acl
  Depends: adduser
  Depends: libcap2-bin
  PreDepends: libc6
  PreDepends: libgcrypt20
  PreDepends: liblzma5
  PreDepends: libselinux1
  Suggests: systemd-ui
  Recommends: libpam-systemd
  Recommends: dbus
  Conflicts: 
  Breaks: lsb-base
  Breaks: lvm2
  Breaks: systemd-shim

Из рекомендованных зависимостей для systemd в Debian 8 был установлен только пакет dbus. Выполните установку пакета libpam-systemd, после чего необходимо перезагрузить систему. После чего проблема с запуском systemd должна быть решена.

Сборка PHP7 для PrestaShop 1.7

Ранее я уже писал о сборке PHP7 из исходников. Предыдущая статья была написана в качестве примера, в ней я использовал набор параметров PHP, который необходим для работы блога WordPress. Изначально я отключил все неиспользуемые модули, поэтому теперь возникла необходимость заставить работать PrestaShop 1.7 на PHP7.

Я предпочитаю сразу отключать все лишнее. Указанные мною параметры — это минимальный набор модулей PHP7, который необходим для установки PrestaShop 1.7. Используйте статью по ссылке выше в качестве исходного материала. За исключением того, что вам необходимо указать следующие параметры сборки:

CONFIGURE_STRING="--prefix=/usr/local/php7-fpm \
--enable-fpm \
--with-fpm-user=www-data \
--with-fpm-group=www-data \
--with-mcrypt \
--enable-intl \
--enable-zip \
--enable-mysqlnd \
--enable-mbstring \
--enable-sockets \
--disable-cgi \
--disable-phar \
--with-config-file-scan-dir=/usr/local/php7-fpm/etc/conf.d \
--with-curl \
--with-gd \
--with-mysql-sock=/var/run/mysqld/mysqld.sock \
--with-mysqli \
--with-pdo-mysql \
--with-openssl \
--with-zlib \
--without-sqlite3 \
--without-pdo-sqlite"

После добавление новых модулей потребовалась установить дополнительные пакеты, необходимые для сборки. В противном случае, после работы команды configure вы можете получить следующие ошибки:

configure: error: Unable to detect ICU prefix or no failed. Please verify ICU install prefix and make sure icu-config works.
configure: error: mcrypt.h not found. Please reinstall libmcrypt.

Проблему легко устранить, выполнив установку следующих пакетов:

apt-get install libicu-dev libmcrypt-dev

Дополнительно на сервере где будет работать PHP7 нужно установить пакет:

apt-get install mcrypt

Установка PHP7 и Apache2 в Debian 8

Дата: 21.06.2016Метки: ,

Много лет назад, когда еще не было Nginx, в мире интернета де-факто стандартом была связка из PHP и Apache. В те времена не было ни Amazon Web Services, Azure, Cloud Platform и прочих облачных систем. А VPS хостинг только начинал набирать популярность. Как правило, виртуальные машины стоили дорого и имели очень мало оперативной памяти. На моем первом VPS c Jail мне приходилось бороться за каждый мегабайт оперативной памяти. Даже после отключения всех неиспользуемых модулей Apache и прочей оптимизации, VPS периодически не справлялся с нагрузкой.

Сегодня я всеми путями пытаюсь отказаться от использования Apache. Но бывают ситуации, когда по той или иной причине приходится использовать Apache2. В данной записи я расскажу о установке связки из PHP7 и Apache2. Для установки свежей версии PHP7 я буду использовать репозиторий Dotdeb.

Для начала обновим локальный кеш пакетов и обновим нашу систему:

apt-get update && apt-get dist-upgrade

Выполните команду ниже для того чтобы установить Apache2:

apt-get install apache2

Для установки PHP7 для начала нам необходимо добавить репозиторий Dotdeb. Откройте файл:

nano /etc/apt/sources.list

Добавьте в конец файла две строки:

deb http://packages.dotdeb.org jessie all
deb-src http://packages.dotdeb.org jessie all

Скачиваем и устанавливаем ключ:

wget https://www.dotdeb.org/dotdeb.gpg
apt-key add dotdeb.gpg

Обновляем локальный кеш пакетов:

apt-get update

Список доступных пакетов для установки:

# apt-cache search php7
libapache2-mod-php7.0 - server-side, HTML-embedded scripting language (Apache 2 module)
libphp7.0-embed - HTML-embedded scripting language (Embedded SAPI library)
php-all-dev - package depending on all supported PHP development packages
php7.0 - server-side, HTML-embedded scripting language (metapackage)
php7.0-apcu - APC User Cache for PHP
php7.0-apcu-bc - APCu Backwards Compatibility Module
php7.0-bz2 - bzip2 module for PHP
php7.0-cgi - server-side, HTML-embedded scripting language (CGI binary)
php7.0-cli - command-line interpreter for the PHP scripting language
php7.0-common - Common files for packages built from the PHP source
php7.0-curl - CURL module for PHP
php7.0-dbg - Debug symbols for PHP7.0
php7.0-dev - Files for PHP7.0 module development
php7.0-enchant - Enchant module for PHP
php7.0-fpm - server-side, HTML-embedded scripting language (FPM-CGI binary)
php7.0-gd - GD module for PHP
php7.0-geoip - GeoIP module for PHP
php7.0-gmp - GMP module for PHP
php7.0-igbinary - igbinary serializer for PHP
php7.0-imagick - Provides a wrapper to the ImageMagick library
php7.0-imap - IMAP module for PHP
php7.0-interbase - Interbase module for PHP
php7.0-intl - Internationalisation module for PHP
php7.0-json - JSON module for PHP
php7.0-ldap - LDAP module for PHP
php7.0-mcrypt - libmcrypt module for PHP
php7.0-memcached - memcached extension module for PHP, uses libmemcached
php7.0-mongodb - MongoDB driver for PHP
php7.0-msgpack - MessagePack serializer for PHP
php7.0-mysql - MySQL module for PHP
php7.0-odbc - ODBC module for PHP
php7.0-opcache - Zend OpCache module for PHP
php7.0-pgsql - PostgreSQL module for PHP
php7.0-phpdbg - server-side, HTML-embedded scripting language (PHPDBG binary)
php7.0-pspell - pspell module for PHP
php7.0-readline - readline module for PHP
php7.0-recode - recode module for PHP
php7.0-redis - PHP extension for interfacing with Redis
php7.0-snmp - SNMP module for PHP
php7.0-sqlite3 - SQLite3 module for PHP
php7.0-ssh2 - Bindings for the libssh2 library
php7.0-sybase - Sybase module for PHP
php7.0-tidy - tidy module for PHP
php7.0-xdebug - Xdebug Module for PHP
php7.0-xmlrpc - XMLRPC-EPI module for PHP
php7.0-xsl - XSL module for PHP

Запускаем установку PHP7:

apt-get install php7.0 php-pear

Перезапустим Apache2:

service apache2 restart

Файл конфигурации виртуального хоста находятся в файле:

nano /etc/apache2/sites-enabled/000-default.conf

Находим директиву DocumentRoot:

DocumentRoot /var/www/html

И в корне указанного каталога создаем файл, который выведет информацию о PHP7:

nano /var/www/html/info.php

Добавьте в файл следующие строки:

<?php phpinfo();
?>

Открываем страницу в браузере:

http://exemple.com/info.php

Если открылась страница с конфигурацией PHP7, то вы все сделали правильно.

Possible missing firmware bnx2

При установке Debian частой проблемой, с которой можно столкнутся это отсутствие драйвера для установленного в системе сетевого адаптера. В моем случае установку Debian я выполнял через утилиту Debootstrap и в процессе получил вот такое сообщение:

W: Possible missing firmware /lib/firmware/bnx2/bnx2-rv2p-09ax-6.0.17.fw for module bnx2
W: Possible missing firmware /lib/firmware/bnx2/bnx2-rv2p-09-6.0.17.fw for module bnx2
W: Possible missing firmware /lib/firmware/bnx2/bnx2-mips-09-6.2.1b.fw for module bnx2
W: Possible missing firmware /lib/firmware/bnx2/bnx2-rv2p-06-6.0.15.fw for module bnx2
W: Possible missing firmware /lib/firmware/bnx2/bnx2-mips-06-6.2.3.fw for module bnx2

Для решения проблемы необходимо загрузить пакет по следующей ссылке и запустить его установку командой:

dpkg -i firmware-bnx2_20160110-1_all.deb

Установка Windows 7 на KVM

Ранее я уже описывал процесс установки Windows 2003 в контейнере KVM, в этой статье я коротко опишу процесс для Windwos 7. Для начала с помощью консольной утилиты virt-install мы создадим новый контейнер. Для того чтобы создать новый контейнер KVM для установки Windows 7 выполните команду:

virt-install \
--name windows_7 \
--ram=2048 \
--vcpus=1 \
--os-type windows \
--os-variant win7 \
--disk pool=storage,size=30,bus=virtio,cache=none \
--network=bridge:br0,model=virtio \
--graphics vnc,password=xxx \
--disk device=cdrom,path=/iso/ru_windows_7_professional_with_sp1_x86_dvd_u_677084.iso \
--disk device=cdrom,path=/iso/virtio-win-0.1.102.iso \
--boot cdrom,hd

Для параметра password необходимо указать свой пароль для подключения к консоли по VNC. Порт VNC принимает входящие соединения на локальном адресе 127.0.0.1. Чтобы подключиться к консоли виртуальной машины вам нужно создать в PuTTY ssh-туннель.

Используя параметр disk device указываем расположение установочного образа диска Windows 7 и образа с драйверами устройств Virtio. Образ с драйверами можно скачать по этой ссылке.

После создания и запуска контейнера нужно определить порт, на котором работает VNC сервер виртуальной машины:

virsh vncdisplay windows_7

Во время установки Windows 7 не найдет жесткий диск и предложит вам установить драйверы. Нажмите кнопку загрузка и перейдите в папку viostor. Когда установщик обнаружит жесткий диск можно продолжать установку.

После установки Windows 7 откройте Диспетчер устройств, здесь вы увидите три неопознанных устройства. Установить драйвер для каждого из них можно стандартным способом используя ранее подключенный iso-образ.

Установка Windows Server 2003 R2 на KVM

В этой записи я расскажу о установке Windows Server 2003 R2 на виртуальную машину KVM. Несмотря на полное окончание поддержки, эта система до сих пор востребована на рынке виртуализации. Благодаря надежности и низкому потреблению ресурсов, Windows Server 2003 будет хорошим выбором для установки в качестве гостевой операционной системы на виртуальную машину с достаточно скромными ресурсами.

Для установки на виртуальную машину KVM я выбрал Windows Server 2003 R2 Standard, но вы можете использовать любую другую редакцию. В процессе установки нам понадобятся драйвера для virtio устройств, которые можно скачать по этой ссылке. Ссылки на нужные файлы находятся в подразделе «Direct download». Скачайте iso-образ с архивом драйверов и vfd-образ для установки virtio-scsi в процессе установки системы.

Первый раз я загрузил стабильную версию драйвером, с которыми система зависала на этапе установки. Тогда я попробовал скачать последнюю версию драйверов, с которым Windows Server 2003 R2 установилась без проблем.

Для создания новой виртуальной машины я буду использовать консольную утилиту virt-install. Чтобы создать новый контейнер KVM для установки Windows Server 2003 R2 выполните следующую команду:

virt-install \
--name win_srv_2003r2 \
--ram=2048 \
--vcpus=2 \
--os-type windows \
--os-variant win2k3 \
--disk pool=images,size=30,bus=virtio \
--network=bridge:br0,model=virtio \
--graphics vnc,password=xxx \
--cdrom=/images/en_win_srv_2003_web_with_sp2_vl_x13-42999.iso \
--disk path=/images/virtio-win-0.1.102_x86.vfd,device=floppy

Для подключения к консоли сервера нужно использовать localhost интерфейс сервера, в процессе вам понадобится создать ssh-туннель для подключения к vnc-серверу. Команда выведет порт подключения к виртуальной машине:

virsh vncdisplay win_srv_2003r2

После создания контейнера вам нужно успеть подключиться по VNC и нажать F6 для добавления драйвера virtio-scsi. После окончания установки скрипт virt-install завершится.

После установки системы нам необходимо установить другие драйвера из скачанного ранее iso-образа. Если быть точнее, нам понадобится установить утилиту guest-agent и драйвера из папки Balloon и NetKVM.

Смонтируем образ с драйверами в приводе:

# virsh
# change-media win_srv_2003r2 hda /storage/virtio-win-0.1.117.iso

Затем заходим в диспетчер устройств и устанавливаем недостающие драйвера.

Для установки службы Balloon Service необходимо скопировать содержимое папки Balloon\2k3\x86 в каталог Program Files. Установим службу командой:

"C:\Program Files\Balloon\blnsvr.exe" -i