Community-list May 2019

community-list@lists.vpsfree.cz

11 participants
7 discussions

by Jindřich Sadílek

Ahoj, chystám se po dlouhé době (*vlastně od výpadků s glibc*) přeinstalovat svoji VPSku a půjdu na to novou instalací do playgroundu a kopírováním toho, co chci přenést - ne migrací. Funguje již vše tak nějak normálně (*původní vps jsem si nainstaloval*) nebo jsou potřeba nějaké úpravy, aby to běhalo spolehlivě? Díky, Jindra

5 years, 7 months

Změna v konfiguraci sítě ve Fedoře 30 na vpsAdminOS

by Jakub Skokan

Ahoj, doteď se ve VPS s Fedorou a CentOSem nastavovala síť pomocí init skriptu /etc/init.d/network. Ten je už nějakou dobu označen za zastaralý a v nových verzích se musí doinstalovávat. Místo init skriptu se má používat NetworkManager (NM), takže od Fedory 30 to tak na vpsAdminOS budeme dělat. Stejně by to mělo fungovat v CentOS 8, až ho vydají. Pokud budete aktualizovat z Fedory 29, můžete na nový způsob konfigurace přejít. Dokud bude ve vpsAdminu nastaveno, že ve VPS je Fedora 29, všechno bude fungovat jako doposud. Když to přenastavíte na Fedoru 30, bude potřeba nejdříve několik změn ve VPS. NM sice umí číst konfigurační soubory v /etc/sysconfig/network-scripts tak jako init skript, ale není to pořádně kompatibilní a jsou tam rozdíly, takže NM nefunguje správně s konfigurací pro init skript a naopak. Pro přechod na NM nejprve ve VPS proveďte: dnf remove network-scripts systemctl unmask NetworkManager.service systemctl unmask NetworkManager-wait-online.service systemctl unmask NetworkManager-dispatcher.service cat <<EOT > /etc/NetworkManager/conf.d/vpsadminos.conf [main] plugins+=ifcfg-rh rc-manager=file configure-and-quit=true EOT Pak ve vpsAdminu přenastavte distribuci na Fedoru 30 a restartujte. Jakub

5 years, 7 months

(Podruhé) Dvoufaktorové přihlašování do vpsAdminu pomocí TOTP / Two-factor authentication in vpsAdmin using TOTP

by Jakub Skokan

(Posílám tu samou zprávu podruhé, protože to některým lidem nebylo doručeno kvůli špatnému spamfilteru.) Ahoj, (English version below) Ve vpsAdminu si nyní můžete nastavit dvoufaktorovu autentizaci (2FA) pomocí TOTP [1]. Pro autentizaci můžete používat např. mobil s aplikací Google Authenticator [2], FreeOTP [3], nebo libovolný program implementující TOTP. Pro nastavení stačí do aplikace naskenovat QR kód, popř. opsat tajný klíč. Aplikace je pak kdykoli schopna zobrazit aktuální heslo pro přihlášení, které se mění každých 30 sekund. Do vpsAdminu si takto můžete přidat více autentizačních zařízení a k přihlášení půjde využít kterékoli z nich, co máte zrovna po ruce. Dvoufaktorová autentizace je vynucena máte-li nastaveno a povoleno alespoň jedno zařízení. Bez tohoto zařízení se do vpsAdminu nepřihlásíte: ani do webového rozhraní [4], ani u API [5]. Pokud náhodou o svoje autentizační zařízení přijdete, můžete použít obnovovací kód, který vám vpsAdmin při nastavení zařízení jednorázově zobrazí. Postup nastavení i se screenshoty je popsán v KB: https://kb.vpsfree.cz/navody/vps/uzivatele#dvoufaktorove_prihlasovani_2fa Zavedení 2FA si vyžádalo zpětně nekompatibilní změnu v protokolu HaveAPI [6], takže pokud používáte vpsfreectl [7] nebo jinou knihovnu pro přístup k API [8], musíte aktualizovat. ENGLISH: TOTP [1] based two-factor authentication (2FA) can now be configured in vpsAdmin. You can use it e.g. with smartphone applications like Google Authenticator [2], FreeOTP [3], or really any program implementing TOTP. It is very easy to configure, vpsAdmin will show you a QR code which you then scan into the application. Alternatively, you can enter the secret key manually. The application is then able to show you the current one-time password to log in. The password changes every 30 seconds. It is possible to configure multiple authentication devices like this. Any one of the configured devices can be used to log in. 2FA is enforced when there is at least one authentication device enabled. Without this device, you will not be able to log into vpsAdmin. Both the web interface [4] and the API [5] support and enforce 2FA. Should you lose your only authentication device, you can use a recovery code which vpsAdmin will show you after the device has been configured. See our KB for more information: https://kb.vpsfree.org/manuals/vps/users#two-factor_authentication_2fa The introduction of 2FA forced us to make a backward-incompatible change in the HaveAPI protocol [6], which powers our API. If you're using vpsfreectl [9] or any other client library [10], you will have to upgrade. [1] https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm [2] https://play.google.com/store/apps/details?id=com.google.android.apps.authe… [3] https://freeotp.github.io/ [4] https://vpsadmin.vpsfree.cz [5] https://api.vpsfree.cz [6] https://github.com/vpsfreecz/haveapi [7] https://kb.vpsfree.cz/navody/vps/api#cli [8] https://kb.vpsfree.cz/navody/vps/api#prace_s_api [9] https://kb.vpsfree.org/manuals/vps/api#cli [10] https://kb.vpsfree.org/manuals/vps/api#working_with_the_api Jakub

5 years, 7 months

Dvoufaktorové přihlašování do vpsAdminu pomocí TOTP / Two-factor authentication in vpsAdmin using TOTP

by Jakub Skokan

Ahoj, (English version below) Ve vpsAdminu si nyní můžete nastavit dvoufaktorovu autentizaci (2FA) pomocí TOTP [1]. Pro autentizaci můžete používat např. mobil s aplikací Google Authenticator [2], FreeOTP [3], nebo libovolný program implementující TOTP. Pro nastavení stačí do aplikace naskenovat QR kód, popř. opsat tajný klíč. Aplikace je pak kdykoli schopna zobrazit aktuální heslo pro přihlášení, které se mění každých 30 sekund. Do vpsAdminu si takto můžete přidat více autentizačních zařízení a k přihlášení půjde využít kterékoli z nich, co máte zrovna po ruce. Dvoufaktorová autentizace je vynucena máte-li nastaveno a povoleno alespoň jedno zařízení. Bez tohoto zařízení se do vpsAdminu nepřihlásíte: ani do webového rozhraní [4], ani u API [5]. Pokud náhodou o svoje autentizační zařízení přijdete, můžete použít obnovovací kód, který vám vpsAdmin při nastavení zařízení jednorázově zobrazí. Postup nastavení i se screenshoty je popsán v KB: https://kb.vpsfree.cz/navody/vps/uzivatele#dvoufaktorove_prihlasovani_2fa Zavedení 2FA si vyžádalo zpětně nekompatibilní změnu v protokolu HaveAPI [6], takže pokud používáte vpsfreectl [7] nebo jinou knihovnu pro přístup k API [8], musíte aktualizovat. ENGLISH: TOTP [1] based two-factor authentication (2FA) can now be configured in vpsAdmin. You can use it e.g. with smartphone applications like Google Authenticator [2], FreeOTP [3], or really any program implementing TOTP. It is very easy to configure, vpsAdmin will show you a QR code which you then scan into the application. Alternatively, you can enter the secret key manually. The application is then able to show you the current one-time password to log in. The password changes every 30 seconds. It is possible to configure multiple authentication devices like this. Any one of the configured devices can be used to log in. 2FA is enforced when there is at least one authentication device enabled. Without this device, you will not be able to log into vpsAdmin. Both the web interface [4] and the API [5] support and enforce 2FA. Should you lose your only authentication device, you can use a recovery code which vpsAdmin will show you after the device has been configured. See our KB for more information: https://kb.vpsfree.org/manuals/vps/users#two-factor_authentication_2fa The introduction of 2FA forced us to make a backward-incompatible change in the HaveAPI protocol [6], which powers our API. If you're using vpsfreectl [9] or any other client library [10], you will have to upgrade. [1] https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm [2] https://play.google.com/store/apps/details?id=com.google.android.apps.authe… [3] https://freeotp.github.io/ [4] https://vpsadmin.vpsfree.cz [5] https://api.vpsfree.cz [6] https://github.com/vpsfreecz/haveapi [7] https://kb.vpsfree.cz/navody/vps/api#cli [8] https://kb.vpsfree.cz/navody/vps/api#prace_s_api [9] https://kb.vpsfree.org/manuals/vps/api#cli [10] https://kb.vpsfree.org/manuals/vps/api#working_with_the_api Jakub

5 years, 7 months

VPS a seccomp

by Johnny

Ahoj, snazim se rozbehat Collabora Online - CODE version na CentOS7.6. Narazim, ale na problem se startem sluzby loolwsd. Dostavam tuto chybu: May 19 18:56:36 <fqdn> loolwsd[18845]: kit-18850-18847 2019-05-19 16:56:36.047871 [ loolkit ] ERR Failed to install seccomp syscall filter| common/Seccomp.cpp:204 May 19 18:56:36 <fqdn> loolwsd[18845]: kit-18850-18847 2019-05-19 16:56:36.047958 [ loolkit ] FTL LibreOfficeKit seccomp security lockdown failed. Exiting.| kit/Kit.cpp:2468 Jak jsem pochopil, tak v OpenVZ zrejme nei seccomp podporovan. Ale Docker, lze na OpenVZ spustit, ale jen do verze 1.10 (to me napadlo, ze do teto verze Docker seccomp nevyzaduje, pak jiz ano?). Nasel jsem moznost, jak pro CODE vypnout podporu seccomp, aby ji nevyzadoval, ale zase se mi to zda, ze to neni bezpecne. Dalsi moznost je zkusit rozjet CODE v dockeru, ale nic v dockeru v tuo chvili neprovozuji a je otazka jak je na tom s bezpecnosti starsi verze dockeru orpoti provozu aplikace bez dockeru bez seccomp filtru - ok, jasne odpovedel jsem si sam, docker vede. Resil toto nekdo na OpenVZ "virtualizaci"? Co byste mi doporucili, jako bezpecnejsi reseni? Bude seccomp dostupny na vpsAdminOS (resp. na VPSkach bezicich ve vpsAdminOS)? Predem diky za napady. Johnny

5 years, 7 months

increased the local port range

by Radim Daniel Pánek

Ahoj, potrebuji zvysit lokalne rozsah portu echo 1024 65535 > /proc/sys/net/ipv4/ip_local_port_range -su: /proc/sys/net/ipv4/ip_local_port_range: Permission denied A docetl jsem se toto: This server is a VPS and it is running in a OpenVZ container and I'm not allowed to modify any kernel parameter of that container. Jak toho muzu docilit? Diky Dan

5 years, 7 months

Forwarding z public IPv4 na privátní

by Pavel Hruška

Ahojte, potřeboval bych poradit, resp. ujistit, že je to možné a nedělám nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou VPSku pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp porty) z venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit SSH přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT dělám přes iptables. Tohle jsem zkoušel: iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match multiport --dports 222 -j DNAT --to-destination y.y.y.y:22 iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady přesně nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje) Plus toto: iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT sysctl net.ipv4.ip_forward (vrací net.ipv4.ip_forward = 1) Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu první VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak mi jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím takový: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 0.0.0.0 0.0.0.0 U 0 0 0 venet0 traceroute to seznam.cz (77.75.74.172), 30 hops max, 60 byte packets 1 172.16.0.27 (172.16.0.27) 0.050 ms 0.017 ms 0.014 ms 2 vl128.cr3.r1-8.dc1.4d.prg.masterinter.net (81.31.40.97) 0.389 ms 0.629 ms 0.60 ... Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje OpenVZ, atd... Budu rád za každou radu, díky. P.

5 years, 7 months

2024

2023

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

Community-list May 2019